Home » Posts tagged 'Gestion des services informatiques'

Tag Archives: Gestion des services informatiques

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

ITIL : renaissance ou dernier soupir?

ITIL, le référentiel phare en matière de gestion des services informatiques commence à prendre de l’âge. Aucune évolution notable n’a été publiée depuis 2011. Et encore, la version 2011 n’était elle-même qu’une révision cosmétique (en anglais « refresh ») de la version ITIL V3 publiée en 2007. Cela fait donc dix ans que rien de vraiment nouveau n’a été publié. A l’occasion du salon ITSMF Fusion 2017, AXELOS a levé le voile sur l’avenir d’ITIL en 2018.

ITIL: renaissance en 2018?
Crédits: © AXELOS

On peut comprendre qu’une méthodologie n’évolue pas beaucoup. Mais justement le problème d’ITIL c’est qu’il ne s’agit aucunement d’une méthodologie. ITIL est un cadre de bonnes pratiques pour améliorer les services informatiques délivrés aux métiers. Or, durant ces dix dernières années, les Entreprises et leurs métiers ont subi une transformation radicale. Il est donc clair que leurs besoins de services informatiques ont également énormément changé. Les attentes des affaires sont très différentes aujourd’hui de ce qu’elles étaient il y a dix ans. Les risques auxquels tout service TI est exposé ont également évolué. L’environnement technologique a subi un bouleversement encore jamais vu auparavant.

L’annonce faite par AXELOS

Selon AXELOS, propriétaire du référentiel, ITIL® est «l’approche la plus largement utilisée pour la gestion des services informatiques dans le monde». La société indique qu’il existe des millions de praticiens d’ITIL dans le monde. Elle indique également que le référentiel est utilisé par la majorité des grandes organisations pour gérer leurs  opérations informatiques.

Il aurait donc été naturel que l’annonce d’une mise à jour d’ITIL suscite de nombreux commentaires. Cependant, comme vous l’avez sûrement constaté, tant la presse que les réseaux sociaux ne s’y sont guère intéressés.

La raison de ce manque d’intérêt est la raison même pour laquelle AXELOS veut faire cette mise à jour. ITIL a désormais atteint un point de non pertinence dans un monde économique dynamique et agile. L’environnement économique est aujourd’hui très différent de celui dans lequel ITIL a été développé.

De nouveaux modèles d’architecture, de nouvelles approches de management et, plus généralement, la transformation numérique des organisations ont relégué ITIL au stade de relique du passé.

Pourtant, des investissements substantiels ont été réalisés par nombre d’organisations dans le monde. Il s’agit notamment de la certification de leurs collaborateurs. Le grand nombre de fournisseurs de technologie qui ont vu le jour autour de ce framework et le vaste réseau de consultants et de sociétés de formation qui ont bâti leurs offres autour d’ITIL suggèrent que ce référentiel ne disparaîtra pas tranquillement du jour au lendemain.

Mais cette mise à jour annoncée sera-t-elle suffisante pour une renaissance d’ITIL en 2018? Ou marquera-t-elle son dernier soupir?

ITIL est-il en core pertinent dans un monde qui change?

Lors de l’annonce faite à ITSMF Fusion 2017, Margo Leach, Chef de produit chez AXELOS a admis la nécessité de faire évoluer ITIL pour pouvoir s’aligner sur un monde en pleine évolution tout en revendiquant sa pertinence au jour d’aujourd’hui.


« Les principes fondamentaux d’ITIL sont valables et restent essentiels pour permettre aux entreprises de se transformer et d’évoluer », a déclaré M. Leach. « Mais nous devons ajouter un élément supplémentaire au cœur d’TIL: la rapidité de mise sur le marché et l’agilité, c’est-à-dire la capacité d’une entreprise à répondre aux menaces commerciales, aux demandes et aux opportunités du marché. »


AXELOS a également reconnu que d’autres approches, (DevOps, …) traitent déjà de ces problèmes. « Le nouvel ITIL doit inclure des conseils pratiques et explicites sur la façon d’intégrer les principes des nouvelles méthodes de travail contemporaines« , a déclaré Margo Leach.

L’évolution rapide des technologies basées sur le cloud, les nouvelles approches telles que DevOps et l’enracinement des méthodologies agiles ont remis en question bon nombre de méthodes, apparemment rigides et bureaucratiques, souvent associées à ITIL.

En conséquence, et en dépit de leurs investissements importants dans le référentiel sous la forme de formation et d’outils, de nombreuses Organisations mettent maintenant l’accent sur la nécessité d’investissement futur sur de nouveaux cadres plus pertinents.

Alors n’est-il pas trop tard pour un nouvel ITIL?

La mise à jour d’ITIL ne devrait donc pas surprendre. Même si l’éditeur a affirmé il y a plusieurs années qu’il n’y aurait plus d’autres mises à jour. Néanmoins, le manque de pertinence perçu s’est également traduit par la perte de position dominante comme en témoigne l’arrivée d’une approche de gestion de service et d’un programme de certification concurrents, appelé VeriSM.

VeriSM prétend également représenter une approche moderne de «Gestion des services pour l’ère numérique». Le nombre de leaders de l’industrie et d’organisations qui le soutiennent est éloquent. A tout le moins, c’est la reconnaissance évidente par l’industrie que le domaine traditionnel de la gestion des services est en train de perdre son sens original et risque de ne plus être pertinent.

La transformation digitale entraîne un changement d’orientation

Ce que je crains, c’est que la prochaine mise à jour ITIL et la nouvelle approche VeriSM passent à côté de ce qui se passe réellement. A mon sens, la transformation numérique ne concerne pas vraiment la technologie ni son utilisation particulière. Il s’agit de la transformation des modèles d’affaires et d’opérations. Cela se traduit par un transfert fondamental de pouvoir de l’Entreprise vers le Client. En d’autres termes il ne s’agit pas d’une transformation technologique. Il s’agit plutôt d’une transformation de la société.

En tant que tel, le paradigme organisationnel de l’organisation doit passer de l’optimisation et de l’efficacité à l’expérience client et à facilitation pour l’utilisateur tout au long de son parcours. Le problème est que l’accent principal, tant pour ITIL que pour la gestion des services au sein des organisations, est entièrement basé sur l’efficacité et l’optimisation des opérations (informatiques ou autres).

De plus, les adoptions de la gestion des services TI sont largement basées sur des processus linéaires. A l’opposé, le monde libre-service et centré sur le client crée une abondance d’interactions client asynchrones et asymétriques avec l’organisation et la technologie qui doit les supporter.

Le résultat net est un cadre de bonnes pratiques de plus en plus déconnecté des besoins réels des Entreprises qu’il soutient. C’est d’ailleurs aussi le cas pour un secteur industriel tout entier.

Y a-t-il un avenir pour ITIL?

Je rencontre quotidiennement des dirigeants d’entreprises et des DSI. Nous discutons des défis auxquels ils sont confrontés et des stratégies qu’ils utilisent pour y répondre. L’accent est alors systématiquement mis sur l’efficacité et l’optimisation. Ce sont là les facteurs de valeur traditionnels de la gestion des services informatiques (ITSM).

Mais la priorité est aujourd’hui ailleurs. C’est l’agilité, l’adaptabilité et l’amélioration de l’expérience client qui sont la clé des affaires en 2018. L’objectif pour toute Organisation est de créer un avantage compétitif sur le marché. Ce sont là des moteurs qu’AXELOS a correctement identifiés. L’efficacité demeure bien sûr une préoccupation quotidienne. Pour ce faire, les entreprises se tournent de plus en plus vers les services et l’automatisation basés sur le cloud pour optimiser leurs opérations.

ITIL, VeriSM ou tout autre cadre ou approche de gestion de service souhaite reste pertinent? Alors leur objectif doit être la prise en compte des nouvelles priorités des Organisations. Leur axe principal doit donc être de réorienter les organisations vers l’expérience client et de les éloigner des modèles centrés sur les systèmes ou centrés sur le service.

Les praticiens de la gestion des services IT vous diront que cela a toujours été l’objectif principal. Je ne les contredis pas. Mais il est temps de reconnaître que, dans la pratique, ce n’est pas ce qui s’est passé. Si ITIL doit rester pertinent en 2018, cela doit changer radicalement. Il n’y aura d’avenir pour ITIL qu’à cette condition.

Vous avez sûrement un avis. N’hésitez pas à nous laisser votre commentaire…

ITIL Practitioner, une certification UTILE?

Au moment où la nouvelle certification ITIL Practitioner d’AXELOS arrive sur le marché, nous nous sommes posé la question de son utilité alors que le cursus ITIL est déjà bien fourni et que la grande majorité des informaticiens se contentent de la formation et de la certification ITIL Foundation. Alors était-ce vraiment utile de rajouter encore un niveau supplémentaire?

ITIL Practitioner

ITIL Practitioner, le chaînon manquant

La nouvelle certification introduite sur le marché par AXELOS début février 2016 vient compléter le cursus existant basé sur les niveaux Foundation, Intermediate, Expert et Master qui existent depuis la publication d’ITIL V3 en 2007, en y ajoutant un niveau se situant immédiatement au dessus de la certification ITIL Foundation. En gros ITIL Practitioner c’est en quelque sorte le chaînon manquant dans le parcours de certification d’AXELOS. Nous avons essayé, dans notre précédent article ITIL Foundation, Guide de survie, de clarifier quelque peu le schéma global hérité de celui défini par APMG il y a maintenant bientôt 10 ans. Le diagramme suivant illustre la structure du nouveau parcours de certification:

ITIL Practitioner dans le schema de certification

ITIL Practitioner, c’est quoi?

Il manquait donc, dans ce parcours de certification « historique », un niveau pratique destiné à certifier les aptitudes des praticiens et des consultants dont la tâche quotidienne est de travailler sur des projets d’implémentation ou d’amélioration des bonnes pratiques de gestion des services IT dans les Organisations. C’est bien là l’objectif de cette formation et de la certification ITIL Practitioner. A priori, c’est une excellente nouvelle pour tous les certifiés Foundation qui vont pouvoir maintenant apprendre comment mettre en oeuvre leurs connaissances dans la pratique. La mauvaise nouvelle c’est que le format de la formation préparant à cette qualification tel qu’il est été défini par AXELOS n’est pas vraiment adapté. En effet, cette session est prévue sur une durée de seulement deux jours (examen inclus), ce qui est nettement insuffisant pour couvrir la totalité d’un contenu extrêmement riche et dense. De plus cet examen de certification se déroule à livre ouvert et la formation associée va souvent, en fonction de votre organisme de formation et de la compétence de ses formateurs, se focaliser sur la façon d’utiliser le manuel dans un cas réel plutôt que sur un retour d’expérience sur les problématiques rencontrées par les consultants dans leur expérience concrète de conseil en Entreprise. C’est bien dommage. Bien sûr on m’objectera que les personnes concernées peuvent toujours demander une formation de durée plus longue pour appréhender l’ensemble des pratiques décrites mais, franchement, quelle Entreprise acceptera de financer une session plus longue que les deux jours préconisés par AXELOS?

Le parcours existant de certification était-il suffisant?

Nous avons clairement montré dans notre article sur le parcours « historique » de certification ITIL qu’il manquait de toute évidence un niveau de certification destiné à la fois aux consultants en charge de mener des projets d’implémentation et/ou d’amélioration des bonnes pratiques ITIL ainsi qu’aux personnels internes aux organisations concernés et impliqués dans les projets d’implémentation et/ou d’amélioration. Bien sûr, on m’objectera que c’était normalement la vocation des niveaux dits « Intermediates » et du niveau MALC conduisant à la certification ITIL Expert. Hélas, sur aucun de ces niveaux ne sont abordées les problématiques clés liées spécifiquement à un projet d’implémentation telles que la gestion du changement organisationnel, la facilitation du changement culturel, la communication à mettre en oeuvre pour viser à assurer la réussite d’un tel projet ou encore la conception d’un modèle de métriques et d’indicateurs nécessaires pour s’assurer que les bénéfices attendus en termes de création de valeur pour les parties prenantes de l’organisation sont bien réalisés conformément au cas d’affaire validé en début du projet. Ces aspects ne sont traités nulle part dans le parcours de certification ITIL « historique ». Cela signifie que même un « Expert ITIL » se trouve complètement démuni face à ces problématiques qui constituent cependant le quotidien des consultants et qu’il sera souvent incapable de mener avec succès un projet d’adoption et surtout d’adaptation des pratiques ITIL dans une Entreprise. Trop de lacunes existent!! Cela explique sûrement en partie les raisons de l’échec de tant de projets d’implémentation de bonnes pratiques ou de processus sur la base d’ITIL.

Les apports du cours et de la certification ITIL Practitioner

La publication par TSO de ITIL Practitioner Guidance vient combler quelque peu les lacunes existant dans les 5 publications centrales sur lesquelles sont basée les certifications historiques depuis ITIL Foundation jusqu’à ITIL Expert. Cette nouvelle publication sert de trame à la nouvelle certification ITIL Practitioner à laquelle elle donne son nom. On retrouve donc dans le syllabus de la formation et de la certification ITIL Practitioner les éléments clés de la publication qui est d’ailleurs autorisée pour le passage de l’examen.

Concrètement, elle s’articule autour 3 grands thèmes principaux correspondant aux trois compétences clés indispensables pour réussir un projet d’implémentation ou d’amélioration des pratiques de gestion des services en adaptant les processus ITIL au contexte de l’organisation :

  1. Communication
  2. Gestion des Changements Organisationnels (OCM)
  3. Mesures et métriques

Un consultant, certifié ITIL Expert, qui ne possèderait pas ces trois compétences clés se retrouverait un peu dans la situation du joueur de tennis avec un énorme potentiel qui possède parfaitement le jeu d’échange de fond de court mais qui est incapable de réussir un service ou de monter au filet face à son adversaire. Il ne pourrait que perdre la partie, étant dans l’impossibilité de s’adapter au contexte…

Elle est complétée par les 9 principes qui doivent guider toute initiative d’implémentation ou d’amélioration, hérités d’autres cadres tels que COBIT, DevOps, Agile, Lean etc.

La gestion de changement est un facteur-clé de réussite

Les neuf principes supportant une initiative d’implémentation

L’expérience a montré que la réussite de tout projet d’implémentation basé sur une approche d’amélioration continue résulte systématiquement de neuf principes directeurs suivis par le projet et permettant de délivrer les résultats attendus. Ces neuf principes, repris par de nombreux cadres de bonnes pratiques, s’appliquent bien évidemment aux projets ITSM.

1 – Focalisation sur la valeur

Tout projet d’implémentation ou d’amélioration des services IT doit créer de la valeur pour les parties prenantes de l’Entreprise et, seules ces mêmes parties prenantes sont à même d’évaluer les bénéfices résultant du projet.

2 – Focalisation sur l’expérience utilisateur

Les services et les processus IT doivent toujours être conçus pour satisfaire les besoins des clients et des utilisateurs afin de leur fournir une expérience positive de bout-en-bout.

3 – S’appuyer sur l’existant

Il ne faut jamais repartir de zéro. Un projet ne peut réussir que si l’existant, avec ses forces et ses faiblesses est bien compris pour permettre l’adaptation des bonnes pratiques, génériques par essence, au contexte spécifique de l’Entreprise, en capitalisant sur ses forces existantes.

4 – Utiliser une approche holistique

Aucun composant ou service n’existe en isolation. Les services sont des systèmes complexes qui doivent toujours être envisagés depuis la conception jusqu’à l’exploitation et l’amélioration comme un tout.

5 – Progresser de façon itérative

Il faut résister à la tentation, souvent forte, de vouloir tout faire en même temps. Toujours découper le travail en « tranches » faciles à gérer et délivrant chacune un bénéfice mesurable sur lequel on pourra capitaliser pour conserver l’élan afin d’entamer la tranche suivante. Ce sont les petits cours d’eau qui créent les grands fleuves…

6 – Observer directement

Toujours baser ses décisions sur des informations vraies, pertinentes et incontestables. A chaque fois que c’est possible, toujours remonter à la source de l’activité et observer directement, en personne.

7 – Faire preuve de transparence

Toujours être clair et honnête sur ce qui se passe vraiment et pourquoi, dans le déroulement du projet de telle sorte que les rumeurs et bruits de couloir ne puissent pas miner la confiance des personnes concernées et que la vérité soit toujours clairement établie de telle sorte que chacun puisse toujours s’exprimer sereinement sur des bases claires et incontestables.

8 – Favoriser un approche collaborative

Toujours travailler ensemble de façon créative avec les personnes concernées par le projet dans la direction validée. Le partage des efforts et de l’engagement permettra ensuite de partager les résultats et les bénéfices.

9 – Garder les choses aussi simples que possible

Ne faire que ce qui est indispensable pour atteindre l’objectif fixé et toujours éliminer ce qui ne contribue pas directement à la création du bénéfice attendu et qui constitue, de fait, du gaspillage.

A qui s’adresse la certification ITIL Practitioner?

Cette certification, comme vous l’aurez certainement compris, s’adresse directement aux personnes impliquées dans un projet d’implémentation ou d’amélioration des services et processus IT en Entreprise, mais aussi, et de façon primordiale, aux consultants accompagnant ce type de projets chez leurs clients.

Cette certification se situe, dans le nouveau parcours de certification, au niveau immédiatement au dessus de la certification ITIL Foundation. Pourtant, il apparaît clairement que les professionnels qui en tireront le plus grand profit sont avant tout les certifiés ITIL Expert, car elle leur apportera le côté pratique qui leur manquait jusque là. Très sincèrement, après avoir passé (et réussi) cette certification, et malgré les nombreux projets de ce type que j’ai eu la chance de mener dans des Entreprises de toutes tailles et dans des régions du monde différentes, j’ai trouvé cet examen d’un niveau de difficulté tel que j’imagine que peu de candidats sans expérience et possédant seulement la certification ITIL Foundation seront capables de le réussir, surtout après une formation de deux jours.

Alors, ITIL Practitioner, UTILE ou pas?

Oui, bien sûr, ITIL Practitioner est une certification très utile pour tous les consultants, même s’ils risquent de « tomber de haut » à la lecture de leurs résultats à l’examen. Je la préconiserais plutôt à des consultants expérimentés qui y trouveront des réponses à des challenges qu’ils auront dû gérer de façon empirique dans le cadre de leurs missions. A mon sens, compte tenu du format de la formation qui tient sur deux journées, examen inclus, il est nécessaire que les participants aient déjà consacré un temps important à la lecture et à la compréhension du manuel ITIL Practitioner Guidance (Ed. TSO) qui doit impérativement faire partie du package pédagogique remis par votre organisme de formation accrédité (ATO), au minimum 3 semaines avant la session. La formation elle-même portera alors d’avantage sur les retours d’expériences délivrés par le formateur, sur un échange des bonnes pratiques et une bonne compréhension des compétences à mettre en oeuvre et, bien sûr, sur la préparation à l’examen.

Comment se former et se certifier ITIL Practitioner?

Aujourd’hui quelques ATOs proposent d’ores et déjà cette formation à leur catalogue, dont AB Consulting. Vous pouvez également vous auto-former en vous référant au manuel ITIL Practitioner Guidance (Ed. TSO). La meilleure approche consiste indéniablement à approfondir le manuel dans un premier temps avant de suivre la formation ITIL Practitioner auprès d’un ATO (Accredited Training Organization) d’AXELOS qui saura vous apporter les retours d’expérience indispensables à la réussite de cet examen assez difficile.

Pour en savoir plus

A l’occasion du lancement de la certification ITIL Practitioner, AXELOS organise le 25 Février 2016, une conférence internationale au travers de 6 webinaires gratuits accessibles en ligne, directement depuis votre poste de travail. AB Consulting, partenaire d’AXELOS sur cette initiative, vous invite à découvrir en exclusivité cette nouvelle certification avec la participation de l’équipe qui est à l’origine de cette initiative. Pour vous inscrire, cliquez simplement sur l’image ci-dessous:

ITIL Practitioner - Conférences gratuites

 

Si vous avez aimé ou détesté cet article et si vous souhaitez nous apporter vos commentaires, merci d’utiliser le formulaire de contact suivant :

ITIL Foundation – Guide de survie

Au moment où la nouvelle certification ITIL Practitioner d’AXELOS arrive sur le marché, nous nous sommes posé la question de son utilité alors que le cursus ITIL est déjà bien fourni et que la grande majorité des informaticiens se contentent de la formation et de la certification ITIL Foundation. Essayons d’y voir plus clair sur un cursus de certification hérité du passé.

ITIL Foundation - Point de départ des qualifications AXELOS

ITIL Foundation, point de départ de votre parcours

La certification ITIL Foundation est devenue le point d’accès incontournable au monde de la gestion des services IT (ITSM) depuis maintenant une quinzaine d’années. Le cursus de formation, imaginé par APMG en 2007, lors du lancement de la version 3 d’ITIL, n’a guère évolué depuis cette date, soit depuis près de dix ans. Est-il efficace? De mon point vue, le constat en terme d’efficacité est assez mitigé en dépit d’un succès commercial incontestable.

Revenons sur les différents niveaux de certification définis dans ce cursus.

ITIL Foundation – Le point de départ

La formation ITIL Foundation couvre les fondamentaux de la gestion des services IT selon l’ITIL et présente le contenu des 5 publications centrales ITIL (Stratégie des Services, Conception des Services, Transition des Services, Exploitation des Services et Amélioration Continue des Services) soit pas moins de 2000 pages de documentation. Son objectif est clairement défini dans le syllabus officiel comme l’apprentissage du vocabulaire et des concepts de gestion des services IT pour des personnes participant à la fourniture des services informatiques au sein d’une organisation.

Le cours délivré traditionnellement en trois jours (examen de certification inclus!!) est donc extrêmement dense et est fortement axé sur les processus et les fonctions. Cela se traduit généralement par un « bourrage de crâne » des participants qui, souvent, sont des techniciens sans grande culture du service desquels on attend de transformer largement leur vision de la façon dont ils contribuent à la création de valeur de leur Entreprise pour ses parties prenantes. Compte tenu de la densité du contenu à assimiler et du temps forcément limité qui leur est octroyé, il ne leur est clairement pas possible de prendre le recul nécessaire en aussi peu de temps, alors même que la session est sanctionnée par un examen de certification composé de 40 questions multi-choix censées tester leur connaissance et leur compréhension des concepts et du vocabulaire, totalement nouveaux pour eux le plus souvent.

Inutile de dire que lors de leur retour au sein de leur Entreprise, auréolés de leur nouvelle certification et arborant fièrement le pin’s « ITIL Foundation », ils sont totalement incapables de mettre en oeuvre l’ébauche du début du plus simple des concepts qui leur ont été présentés de façon extrêmement succinte durant ces trois jours de formation. Le résultat est souvent catastrophique, allant de l’implémentation de pratiques incomprises, pour de mauvaises raisons, jusqu’à l’impossibilité d’appliquer le moindre début d’amélioration dans la façon de travailler à cause de la résistance au changement des personnels qui ne comprennent pas pourquoi on devrait changer la manière dont on travaille (on a toujours fait comme ça et ça ne marche pas si mal…) et pourquoi ils devraient sortir de leur zone de confort uniquement à cause de pratiques décrites de façon théorique dans des livres dont on n’a même pas daigné faire l’acquisition et dont la plupart de sont pas traduits en Français ou si mal traduits qu’ils en sont incompréhensibles.

Pour remédier à cela, on va faire appel à un consultant qui, lui ,sera un véritable « gourou » des bonnes pratiques comme l’atteste sa certification ITIL Expert et qui sera responsable d’accompagner le changement attendu… Un Expert ITIL, cela devrait pouvoir nous aider à réussir notre projet d’amélioration… Comme son titre l’atteste, c’est un Expert. Ce n’est pas comme un certifié ITIL Foundation…

ITIL Expert? C’est quoi?

Pour répondre de façon pragmatique à cette question, disons qu’un Expert ITIL c’est quelqu’un qui a obtenu au minimum 22 crédits grâce aux certifications ITIL obtenues, se décomposant comme suit :

  • 2 crédits grâce à la certification Foundation (point d’entrée obligatoire),
  • au minimum 15 Crédits grâce aux certifications Intermediates
  • puis, enfin, lorsque le total de 17 crédits minimum est atteint, 5 crédits grâce à la certification MALC (Managing Across Life Cycle).

Le niveau « intermediate » s’adresse aux personnes déjà titulaires de la certification ITIL Foundation (la copie du certificat doit être fournie lors de l’inscription). Il se décompose en deux filières aux objectifs très différents.

ITIL Intermediate Lifecycle Modules

La filière ITIL Intermediate Lifecycle se compose de cinq modules correspondant chacun à l’une des publications principales d’ITIL et se terminant par un examen sous forme de QCM complexe basé sur un scénario.

Chaque module, suivi impérativement au sein d’un organisme de formation accrédité par AXELOS (ATO), prolonge la formation ITIL Foundation par l’étude approfondie des 400 à 500 pages de la publication à laquelle il se rapporte. Ainsi durant 3 jours, les participants vont étudier le détail des préconisations correspondant à une étape du cycle de vie des services. Ces formations s’adressent tout particulièrement à des managers chargés plus spécialement de travailler sur l’organisation de leurs équipes. Elles ne sont pas adaptées aux besoins des techniciens qui doivent répondre à des problématiques opérationnelles quotidiennes. En tout état de cause la réussite des certifications correspondantes ne garantissent en aucun cas la compétence des personnes pour tenir un rôle dans le cadre de l’implémentation d’une initiative d’amélioration. La connaissance acquise restera au final trop théorique pour être mise en pratique.

La réussite des 5 certifications ITIL Intermediate Lifecycle permettra à un candidat d’obtenir 15 crédits au niveau intermediate, soit le minimum requis pour pouvoir suivre la formation et passer la certification MALC.

ITIL Intermediate Capability Modules

La filière ITIL Intermediate Capability se décompose en quatre modules correspondant chacun à un type de compétence opérationnelle en gestion des services. Chaque session doit être suivie dans un organisme de formation accrédité par AXELOS (ATO) et se termine par un examen se présentant sous la forme d’un QCM complexe basé sur un scénario. Les quatre modules de la filière Capability sont :

Chaque module, suivi impérativement auprès d’un organisme de formation accrédité par AXELOS (ATO) approfondit les connaissances acquises dans le cadre de la préparation de la certification ITIL Foundation et se focalise sur la pratique opérationnelle dans chacun des 4 domaines correspondants. Ainsi, par exemple, OSA s’adresse tout particulièrement aux personnes en charge de la gestion des incidents, du service desk et de la gestion des problèmes qui, au gré des études de cas proposées par leur ATO, apprendront les bonnes pratiques « en situation ». Il est clair que chacun de modules s’adresse à des catégories différentes de personnels au sein des équipes IT. Par contre aucun de ces modules ne porte sur l’implémentation de ces bonnes pratiques dans une organisation existante.

La réussite de 4 certifications ITIL Intermediate Capability permettra au candidat d’obtenir 16 crédits au niveau intermediate, soit le minimum requis pour pouvoir suivre la formation MALC et passer la certification.

ITIL MALC – Le passeport vers le certificat ITIL Expert

A lumière de ce que nous avons pu voir, la réussite à toutes les certifications d’une filière ne présente donc pas vraiment de valeur ajoutée immédiate pour les parties prenantes de l’organisation qui emploie la personne concernée. De plus, les filières s’excluant mutuellement, il n’est pas vraiment possible de « mixer » les certifications LifeCycle et Capability. Aussi, on trouvera très peu de membres d’une équipe IT interne à une Entreprise qui se certifieront sur la totalité d’une filière pour pouvoir prétendre ensuite à la certification ITIL Expert. Les candidats qui vont poursuivre le parcours avec le MALC seront le plus souvent des consultants qui espèrent tirer parti, souvent au niveau financier, de leur certification Expert.

Managing Across Lifecycle (MALC) est un module de 5 jours (rapportant 5 crédits) permettant de « relier » les modules du niveau intermediate pour gérer les services IT tout au long de leur cycle de vie. Mais dans la vraie vie, qui a la charge de gérer les services tout au long de leur cycle de vie? Seul le DSI semble concerné… En tout cas, pas un consultant qui va intervenir en Entreprise dans le cadre d’une mission au périmètre limité et sur une durée relativement courte…

Ces certifications, aussi difficiles et prestigieuses soient-elles dans l’esprit des candidats, n’apportent absolument aucune compétence en matière d’implémentation ou d’amélioration des pratiques (bonnes ou moins bonnes) en matière des gestion des services. Elle ne donnent absolument aucune piste sur la façon de mener un programme d’amélioration des services, sur la communication à mettre en oeuvre pour assurer la réussite de ce programme et, encore moins, sur la façon de gérer le changement et d’accompagner la transformation culturelle et organisationnelle.

Alors que penser de notre consultant Expert qui va venir nous accompagner sur notre projet d’implémentation? Sauf s’il a une grande expérience de ce type de projets – qu’il convient de vérifier avant de lui faire appel – et des compétences et aptitudes complémentaires, il ne nous aidera sûrement pas à créer la valeur attendue par le top management de l’Entreprise grâce à l’utilisation efficace et efficiente de ses actifs informatiques.

ITIL Master? Ca sert à quoi?

ITIL Master a pour vocation de certifier votre aptitude à appliquer les principes, les méthodes et les techniques décrites dans la documentation ITIL dans le monde réel. Dans le principe, la certification ITIL Master serait celle qui correspondrait le mieux au besoin d’un consultant. Hélas, elle est tellement difficile à obtenir et son audience est tellement limitée qu’il n’y a guère plus de quelques dizaines de personnes certifiées dans le monde et très sincèrement, elle est totalement méconnue des Entreprises. Pour pouvoir prétendre passer cette certification, vous devez au préalable être certifié ITIL Expert et justifier de plus de 5 ans d’expérience dans la gestion des services IT à un niveau de direction, de management ou dans un poste de haut niveau de management dans le conseil. Alors seulement vous pouvez déposer votre candidature. Le processus de certification dure environ 30 semaines, soit environ 7 mois!! Donc, la réponse brutale à la question « ça sert à quoi? » serait que cette certification, telle qu’elle existe aujourd’hui ne sert à rien d’un point de vue pratique.

La pratique d’ITIL: le chaînon manquant

Il apparaît clairement que ce qui manque dans ce long et pénible parcours de certification, c’est l’aspect pratique lié à la mise en oeuvre de l’amélioration continue des services pour aider l’Entreprise à créer plus de valeur ajoutée pour ses parties prenantes en s’appuyant sur des services informatiques toujours plus efficaces et efficients.

Pour remédier à ce manque, AXELOS vient d’annoncer une nouvelle formation et certification ITIL Practitioner, qui complète la certification ITIL Foundation et que nous présenterons dans la deuxième partie de cette étude au travers d’un prochain post.

Pour commenter cet article et nous donner votre avis, merci d’utiliser le formulaire de contact suivant :

Implémentation d’ITIL: bien commencer

Implémentation d'ITIL - Raisons d'échecL’implémentation d’ITIL dans votre organisation n’est pas une partie de plaisir. Lorsque vous envisagez de mettre ITIL en œuvre, les premières questions qui vont inéluctablement se poser seront où commencer? Comment dois-je commencer? Qu’est-ce que je cherche à atteindre? Quelles informations me sont nécessaires pour y arriver, quelles personnes dois-je impliquer, et que doit produire ce projet?

Si vous ne disposez pas des réponses complètes à vos questions, votre implémentation d’ITIL va inéluctablement échouer. Nous allons dans cette série d’articles essayer d’identifier les causes d’échecs et vous donner quelques conseils pour pouvoir les éviter.

Implémentation d’ITIL, ça veut dire quoi?

Tout d’abord il est important de souligner qu’on n’implémente pas ITIL®. ITIL® est un référentiel de bonnes pratiques de gestion des services informatiques, publié par AXELOS®, basé, dans sa version 2011, sur les 5 étapes du cycle de vie des services, et couvrant 25 processus et 4 fonctions. Il est totalement impensable, même pour une très grande Entreprise, de tenter d’implémenter la totalité des bonnes pratiques décrites dans les cinq publications de base d’AXELOS®. De plus cela ne ferait absolument aucun sens. L’objectif est de décider, en accord avec les orientations portées par le Conseil d’Administration de l’Organisation et traduites en stratégies par le Comité de Direction, qu’est-ce qui pourrait, parmi les 25 processus et les 4 fonctions décrits dans ITIL®, améliorer le soutien de l’informatique au Business et lui permettre d’atteindre plus facilement les objectifs fixés par les stratégies de l’Entreprise. L’informatique a un rôle de « facilitateur » mais elle ne crée pas de valeur directe pour les parties-prenantes. Ca c’est le rôle des métiers de l’Entreprise.

Prenons le cas, par exemple, d’une banque. Tous les services bancaires s’appuient sur l’informatique qui est un élément clé du fonctionnement quotidien de la banque. Lorsque l’informatique s’arrête, la banque est dans l’impossibilité totale de délivrer ses services à ses clients. Cependant l’informatique ne crée aucune valeur directe pour la banque. L’informatique PERMET aux directions métiers de la banque d’élaborer des services financiers qui seront ensuite vendus aux clients de la banque et créeront de la valeur pour les parties-prenantes. Les véritables créateurs de valeurs sont les directions métiers qui vont « embarquer » des services informatiques dans les services qu’elles vendent et délivrent à leurs clients. Il est donc important que le département informatique soit en permanence aligné avec les besoins des directions métiers et en même temps suffisamment flexible pour leur permettre, dans un environnement extrêmement concurrentiel de créer de nouveaux services financiers afin de rester leaders sur leur marché en fonction des attentes nouvelles des clients.

Donc on implémente seulement des processus et des fonctions les plus indispensables pour permettre à l’Entreprise de créer de la valeur, c’est à dire ce qui est strictement nécessaire dans le cadre des stratégies de l’Entreprise. La décision relève donc des mêmes personnes en charge de valider les stratégies de l’Entreprise et « comptables » (Accountable) des ressources notamment humaines et financières de l’Organisation devant les parties-prenantes. C’est à dire que la décision se prend au niveau du Conseil d’Administration. Ce ne doit jamais être une décision prise par le DSI, ce qui conduirait inévitablement le projet à l’échec après avoir dépensé en pure perte beaucoup de temps, d’argent et gaspillé les ressources humaines disponibles au détriment d’autres projets plus importants. C’est la raison pour laquelle il est important de mettre en place une Gouvernance du SI et d’établir une stratégie informatique claire et validée.

Pour les processus et les fonctions, dans la mesure où il existe des bonnes pratiques reconnues de façon universelle pour la fourniture des services informatiques, on pourra bien sûr s’appuyer utilement sur ITIL®. Seul bémol, les processus et les fonctions ne suffiront pas. Il va également falloir travailler sur les ressources humaines et notamment leurs compétences techniques, bien sûr, mais, plus important encore, leur aptitude à adopter un comportement adéquat basé sur l’éthique de l’Organisation et la création d’une véritable culture du service. Et cela ne fait pas partie directement du périmètre d’ITIL® version 2011 même si les changements culturels et organisationnels sont effleurés dans la publication sur la transition des services.

Où commencer?

La première étape consiste à commencer par faire le constat d’un besoin de mise en oeuvre ou d’amélioration de la fourniture des services informatiques aux métiers de l’Entreprise et à obtenir le consentement à une telle initiative. Il faut cerner les points sensibles et les déclencheurs actuels, et créer un véritable désir de changement au sein de la haute direction.

Il est important de ne pas se focaliser uniquement sur comment on va s’y prendre mais de bien définir ce qui doit être fait pour soutenir les stratégies de l’Entreprise. Ce qui doit être fait doit entrer dans un cadre d’amélioration continue de l’Organisation en vue de créer davantage de valeur en alignement avec les stratégies de l’Entreprise et s’appuyer sur des points sensibles (« là où ça fait mal ») pour le business ou bien des déclencheurs tels que le remplacement de membres du Comité de Direction ou bien le résultat d’un audit externe ou bien encore un changement important sur notre marché ou une nouvelle exigence légale ou réglementaire à laquelle on ne pourra pas échapper. Les points sensibles sont des points de douleur ressentis par l’Entreprise vis à vis de son département informatique tels que par exemple l’incapacité de l’informatique à répondre favorablement à des demandes de nouveaux services IT correspondant à un besoin marché ou bien la perception par le business que la qualité des services IT qui lui sont livrés ne sont pas en adéquation avec ses besoins et sont finalement beaucoup trop chers comparativement à la valeur qu’ils permettent de créer.

Dans tous les cas il va falloir sensibiliser le top-management sur ces aspects pour arriver à transformer le besoin d’agir, dont tout le monde est bien conscient au niveau de l’Entreprise, en désir de changement en vue d’obtenir un sponsoring par au moins un des membres du Comité de Direction pour pouvoir lancer un pré-projet. Nous appellerons cette phase incontournable la « facilitation du changement ». C’est seulement lorsque vous aurez un sponsor pour ce projet que vous pourrez le démarrer, et cela commencera toujours par l’élaboration d’une ébauche de business case. Il s’agit d’un projet comme n’importe quel autre et il devra être géré comme tel, en s’appuyant sur une méthodologie de projet, comme par exemple PRINCE2®.

L’étape suivante se concentre sur la définition de la portée de l’initiative de mise en oeuvre ou d’amélioration et la mise en correspondance des objectifs de l’entreprise, des objectifs liés à l’informatique et des processus IT connexes, et en tenant compte des scénarios de risque qui pourraient également mettre en évidence des processus clés à cibler. Pour réaliser cela, on pourra utiliser par exemple la cascade d’objectifs décrite par COBIT® 5 et expliquée dans notre article sur la stratégie informatique.

Des diagnostics de haut niveau seront également utiles pour cerner la portée du projet et comprendre les domaines à prioriser. Une évaluation de l’état actuel doit ensuite être effectuée, de même qu’une évaluation de l’aptitude des processus existant pour cerner les problèmes ou lacunes. Les initiatives à grande échelle doivent être structurées sous forme d’itérations multiples du cycle de vie ne dépassant pas chacune une durée de six mois maximum. En effet, pour toute initiative de mise en oeuvre s’échelonnant sur plus de six mois, il existe un risque d’essoufflement, de perte de concentration et de démotivation des parties prenantes qui risque fort de conduire votre projet à l’échec.

Notre prochain article traitera des points suivants :

  1. Comment s’y prendre?
  2. De quoi ai-je besoin pour réussir une telle initiative?

Pour plus d’informations ou pour vous inscrire à notre newsletter, merci de compléter le formulaire de contact :

COBIT® is a trademark of ISACA® registered in the United States and other countries.
ITIL® is a registered trade mark of AXELOS Limited.
PRINCE2® is a registered trade mark of AXELOS Limited.

Jugez-vous votre organisation IT efficace?

Votre organisation IT est-elle efficace? Comment pouvez-vous évaluer son efficacité? Vos clients Business ont-ils la même perception que vous?

organisation IT efficace

 

L’évaluation de l’efficacité, tout comme celle de la qualité, peut être très subjective. Dans de nombreux cas, l’efficacité est évaluée par rapport au denier service que vous avez mis en production ou au travers d’un projet que votre organisation livré. En outre, on accordera beaucoup plus de poids à des résultats décevants qu’à des résultats positifs. C’est naturel n’est-ce pas ? Dans un monde idéal, vos services informatiques devraient fonctionner de façon optimale. Nous avons donc besoin de définir des caractéristiques objectives de l’efficacité des organisations informatiques avant de pouvoir travailler à les améliorer.

Commençons par définir la mission de l’informatique « fournir la capacité de traitement de l’information requise par le business à un coût qui représente une valeur« . Beaucoup d’entre vous sont en train de lire cette définition en se disant qu’elle est très floue. En effet, les besoins de l’entreprise évoluent en permanence et il en va de même de la perception de la valeur. L’efficacité ne peut être évaluée que par rapport aux attentes attentes actuelles, aux objectifs de niveau de service définis et aux ressources disponibles. Pour cette raison, l’une des caractéristiques les plus importantes d’une organisation informatique efficace est sa capacité à répondre rapidement à l’évolution des besoins du business.

Pour être considérées comme efficaces, les organisations IT devront satisfaire les contraintes suivantes :

Flexibilité

L’IT fournit des services à la demande (résolution de problème et assistance) ainsi que des services planifiés (amélioration et projets). Les problèmes à priorité élevée, les demandes toujours urgentes, et l’évolution des besoins de l’entreprise vont perturber les dates cibles d’achèvement, le périmètre planifié et l’effort estimé. Les organisations efficaces doivent trouver un juste équilibre entre la variabilité des demandes, l’évolution permanente des priorités, et les changements dans les besoins. Afin d’obtenir cette flexibilité, les entreprises doivent gérer les demandes, les horaires, les priorités, le périmètre / les exigences, la mise à disposition et les compétences du personnel afin d’optimiser les résultats et de minimiser les impacts.

Adaptabilité

Les organisations informatiques doivent répondre aux évolutions nécessaires dans les types de services fournis, elles doivent intégrer et soutenir les nouvelles technologies, et elles doivent adapter aux changements organisationnels de l’entreprise et de l’informatique. Afin de s’adapter, l’informatique doit redéfinir ses rôles, transformer ses processus de planification et de livraison, et investir fortement dans la formation (notamment les bonnes pratiques telles que ITIL, COBIT ou encore Lean IT).

Prévisibilité

Des résultats reproductibles ne peuvent être atteints que par l’exécution de processus normalisés et par un engagement vis à vis de la qualité qui évite l’héroïsme et les solutions sur mesure.

Efficience

Chacune de ces caractéristiques est en conflit avec les autres. Une approche équilibrée est donc nécessaire. L’efficacité est généralement sacrifiée pour améliorer la flexibilité. L’efficacité peut être améliorée grâce à la documentation des connaissances, à la formation croisée, à l’utilisation des processus standardisés, d’outils de gestion, et en limitant la variété des environnements techniques.

Fiabilité

La fiabilité fait référence aux applications, à l’infrastructure et aux personnes qui délivrent les services. Les moyens de traitement (infrastructures, réseaux, applications) doivent être fiables, mais le personnel doit aussi faire preuve de fiabilité dans la livraison de services IT. Cela impose donc de définir des critères d’acceptation, d’effectuer des revues de qualité, des tests, et de nombreuses autres activités qui assureront la cohérence de la fourniture de services et des moyens de traitement mis en oeuvre.

Innovation

Le business ne comprend pas les limites de la capacité et de la technologie disponibles. L’IT est dans la position idéale pour recommander des stratégies au business plutôt que d’attendre que ce soit l’entreprise qui définisse elle-même ses stratégies. Sur un plan plus tactique, l’IT devrait être à la recherche de solutions visant à réduire les problèmes et améliorer les processus de telle sorte qu’ils s’alignent avec les autres caractéristiques.

Pro-activité

L’informatique doit être capable d’anticiper les besoins ou les incidents et de prendre des mesures pour se préparer à des pointes d’activité ou pour éviter les problèmes. Grâce à la compréhension des besoins business et des capacités existantes, et en effectuant le suivi des changements, l’IT peut anticiper et manager de façon pro-active. Cela nécessitera des processus reproductibles, des métriques et des mesures, et aussi une communication renforcée avec le business.

Alors, quelle stratégie adopter pour une IT efficace?

équipe IT efficace

Ces contraintes peuvent parfois se contredire entre elles et entraîner du gaspillage. La rigueur nécessaire du processus qui nous rend prévisible peut aussi entraver notre efficacité. Afin d’équilibrer les contraintes, l’IT doit affiner son rôle et sa culture. En plus d’exploiter et de soutenir la capacité de traitement existante, l’IT doit reconnaître que les besoins de l’entreprise évoluent en permanence et qu’une organisation efficace doit être en mesure de répondre à ces changements. Afin d’offrir de la valeur, les organisations informatiques doivent assurer les caractéristiques d’efficacité qui ont été décrites plus haut. Cela nécessitera de gérer l’organisation informatique comme une entité business indépendante qui est responsable de ses coûts et de ses revenus, et elle devra faire la preuve de sa valeur à ses clients sur une base quotidienne.

Le succès ne se mesure pas sur le respect ou le dépassement des attentes. Les attentes peuvent être impossible à satisfaire (compte tenu notamment des ressources disponibles) ou déraisonnables. Le succès se mesure par la gestion des attentes, la prise d’engagements et l’atteinte ou le dépassement des engagements. L’IT doit faire montre de leadership et pas simplement attendre que le business décide du parti qu’il peut tirer de la technologie. Lorsque l’IT démontre sa valeur, elle peut de nouveau être considérée comme un investissement et non pas simplement comme un coût destiné à être réduit ou éliminé.

Pour plus d’informations ou pour vous abonner à notre newsletter, merci de remplir le formulaire de contact:

 

Cyber-sécurité: une demande forte pour un profil rare

 

L’actuelle pénurie de professionnels qualifiés en cyber-sécurité continue de constituer un problème majeur pour toutes les industries aux Etats-Unis, en Europe, mais aussi dans le reste du monde.

professionnel en cyber-sécurité

James Trainor, directeur adjoint par intérim de la Division Cyber du FBI, a récemment déclaré que l’industrie de la cyber-sécurité doit absolument « doubler ou tripler » ses effectifs pour être en mesure de répondre à l’augmentation des violations en matière des sécurité des informations.

Selon le Rapport 2015 sur la situation mondiale en matière de cyber-sécurité publié en Janvier par l’ISACA, 86% des entreprises et des professionnels de l’informatique sont conscients de la pénurie de professionnels de la cyber-sécurité et 37% prévoient d’embaucher de nouveaux spécialistes de la cyber-sécurité en 2015. 53% des entreprises interrogées prévoient également d’accroître, en 2015, la sensibilisation de leurs équipes grâce à des formations de sensibilisation, à la lumière des évènements récents publiés dans les médias.

Il n’y a jamais eu de meilleur moment pour entrer sur ce marché en plein essor. Voici quelques raisons de plus à considérer pour le développement de votre carrière.

Vous serez sans aucun doute la cible de chasseurs de têtes.

Le Bureau of Labor Statistics (BLS) a constaté qu’il y a actuellement « plus de 209.000 offres d’emplois non pourvues en matière de cyber-sécurité aux Etats-Unis, et les recrutements sont en hausse de 74 pour cent au cours des cinq dernières années ». En France, le nombre de postes non pourvus par manque de candidats est certes moins impressionnant mais d’ores et déjà, on en compte plus d’un millier depuis le début 2015.

Le BLS estime également que le marché de l’emploi pour les analystes de la sécurité de l’information – qui comprend les professionnels de la cyber-sécurité – va croître de 37% d’ici 2022.

Le rapport de sécurité annuel 2014 de Cisco estime, pour sa part, qu’il y a une pénurie mondiale d’un million de professionnels de la sécurité de l’information.

Les salaires sont élevés

Comme la concurrence pour le personnel qualifié augmente, les salaires sont inévitablement à la hausse pour attirer les meilleurs candidats – souvent bien au-delà des niveaux que les entreprises les plus petites peuvent se permettre – provoquant des taux anormalement élevés de turn-over et l’instabilité du secteur.

salaire cyber-sécuritéAux Etats Unis, les salaires annuels des professionnels de la sécurité dans les technologies de l’information vont de 60.000 $ à 70.000 $ pour les emplois de premier échelon. Le BLS estime le salaire médian à 86.170 $. Les 10 pour cent ayant les plus bas salaires ont gagné moins de 49.960 $, le top 10 pour cent a pour sa part gagné plus de 135.600 $ en moyenne l’an dernier. En France, les revenus moyens en début de carrière sont généralement de l’ordre de 35 à 40 k€ annuels, peuvent atteindre plus de 80 k€ pour un consultant senior.

James Stanger, Senior Director du groupe produits pour CompTIA (un des leaders mondiaux en matière de certifications dans le domaine IT), a déclaré :« le truc pour être un professionnel compétitif en sécurité, c’est d’avoir un diplôme d’études supérieures, une certification en cyber-sécurité, et de l’expérience».

« J’ai vu des gens possédant seulement une certification mais pas de diplôme d’enseignement supérieur s’en sortir parfaitement, bien que n’ayant pas encore d’expertise professionnelle. Mais, en général, vous avez besoin des trois », a déclaré Stanger.

Vous aurez un emploi à vie. Aussi longtemps que l’Internet sera présent dans nos vies professionnelles et personnelles, vous serez incontournable.

Les cyber-menaces se multiplient en permanence, notre dépendance à l’Internet continue d’augmenter chaque jour, et, comme l’internet des objets décolle, le nombre d’appareils connectés à l’Internet explose (automobiles, appareils électro-ménagers, puces d’identification RFID dans les cartes et badges, contrôle à distance des équipements domotique…). Il va donc de soi que le nombre d’emplois en cyber-sécurité continuera d’augmenter de façon de plus en plus rapide.

La pénurie va continuer et même augmenter

La plupart des organisations qui ont été la cible d’attaques de sécurité ces dernières années ont perdu des informations extrêmement sensibles. Même si ces informations perdues ne mettent pas nécessairement les personnes et les biens (incluant les aspects financiers) en péril direct, cela conduit le plus souvent à des dommages irréversibles en termes d’image et de réputation de l’Entreprise victime. Les clients et prospects perdent toute confiance dans une organisation qui n’est pas capable de conserver leurs informations confidentielles et sécurisées. Le nombre de procès intentés au Organisations concernées par les personnes auxquelles les données volées ou perdues appartenaient augmente de façon spectaculaire. La conséquence est que pour éviter ces impacts majeurs, beaucoup d’Entreprises victimes de cyber-attaques ne communiquent pas sur ces incidents.

Cela a conduit, sous la pression des clients et utilisateurs de la société de l’information, les organismes internationaux de régulation ainsi que les états à adopter des lois et réglementations très sévères à l’image du Royaume Uni où la législation prévoit une amende infligée par l’ICO (Information Commissioner’s Office) allant jusqu’à 100.000 £ pour toute violation de données. De son côté, la Communauté Européenne, au travers de la Directive Européenne de Protection des Données, prévoit d’imposer désormais aux Entreprises de communiquer publiquement sur les vols de données dont elles auraient été victimes. Cette nouvelle directive prévoit aussi des amendes allant jusqu’à 100 millions d’Euros ou 5% du chiffre d’affaires pour les Organisations qui ne respecteraient pas la législation en la matière.

Cette directive devrait entrer en vigueur fin 2015. Il est clair que les conséquences vont être importantes au niveau des Entreprises Européennes qui vont être contraintes d’appliquer la directive et donc recruter plus de spécialistes en matière de cyber-sécurité et de cyber-résilience.

Une qualification en cyber-sécurité et/ou en cyber-résilience pour démarrer votre carrière

Il existe actuellement plusieurs qualifications disponibles pour les candidats potentiels à des postes en cyber-sécurité et en cyber-résilience.

ISO 27001 : La norme internationale

iso 27001En 2005, la première norme en matière de cyber-sécurité à la fois globale, exhaustive et par dessus tout internationale voyait le jour : ISO 27001. Aujourd’hui il s’agit de la norme de certification des systèmes de management de la sécurité des informations la plus implémentée dans le monde. La certification ISO 27001 devient même une exigence de conformité réglementaire pour certains types d’Entreprises dans des pays importants dans le monde.

En obtenant une qualification ISO 27001 vous démontrez à vos employeurs actuels et futurs que vous prenez au sérieux la sécurité des informations et que vous êtes familier avec les meilleures pratiques en cyber-sécurité.

Il y a trois qualifications principales disponibles:

Novice sur la norme ISO 27001? Suivez le cours de 3 jours ISO 27001 Foundation et développez votre compréhension de la norme et de ses exigences.

Impliqué(e) dans la mise en œuvre de la norme ISO 27001? Suivez le cours ISO 27001 Practitioner pour comprendre pleinement comment planifier, mettre en œuvre et maintenir un ISMS conforme aux exigences d’ISO 27001.

Vous devez réaliser des audits ISO 27001? Suivez le cours ISO 27001 Auditor vous permettant d’obtenir la qualification nécessaire pour planifier et exécuter des audits de conformité de systèmes de management de la sécurité de l’information (ISMS) à ISO 27001.

RESILIA: les bonnes pratiques en cyber-résilience

cyber-résilience résiliaUn nouveau référentiel de bonnes pratiques couvrant l’ensemble du domaine de la cyber-résilience vient de voir le jour au Royaume Uni. Il s’agit de RESILIA, publié par AXELOS®, l’Organisation possédant la propriété intellectuelle de l’ensemble du portefeuille des bonnes pratiques du domaine public britannique incluant en particulier ITIL® et PRINCE2® . La cyber-résilience intègre la cyber-sécurité mais son périmètre est plus large et couvre notamment les aspects de récupération de son aptitude à créer de la valeur par l’Entreprise après avoir subi une cyber-attaque. RESILIA complémente de façon très efficace ITIL® en intégrant les éléments relatifs à la cyber résilience aux cinq phases du cycle de vie des services (stratégie, conception, transition, exploitation et amélioration continue).

Pour l’heure trois cours et deux qualifications RESILIA sont disponibles :

RESILIA Awareness : cours d’une journée destiné aux membres des comités de direction et à l’ensemble du personnel métier des Entreprises afin de les sensibiliser sur les risques, les moyens de s’en protéger et sur la manière de réagir en cas de cyber-attaque afin de permettre à l’Entreprise de minimiser les impacts sur son image, sa réputation et bien sûr sur son activité opérationnelle. Ce cours ne conduit pas à une certification.

RESILIA Foundation : cours de trois jours couvrant les principes fondamentaux et les cinq phases du cycle de vie, destiné à l’ensemble du personnel informatique et des membres des équipes métiers, aboutissant à la certification RESILIA Foundation.

RESILIA Practitioner : cours de deux jours, couvrant les aspects de pratique au quotidien des activité de cyber résilience. A l’issue des ces deux journées, un examen de certification RESILIA Practitioner permet aux participants, généralement issus des équipes informatiques et des équipes en charge de gérer la sécurité de l’information d’obtenir la qualification internationale de Praticien RESILIA.

COBIT® 5 : la Gouvernance et le Management de la sécurité

COBIT 5 NIST ImplementationImplementing NIST cybersecurity framework using COBIT 5 : cours de trois jours, focalisé sur l’Implémentation du référentiel de cyber-sécurité du NIST, basé sur les 7 étapes d’implémentation de COBIT® 5 conduisant à la certification Implementing NIST CSF using COBIT® 5

COBIT® 5 Assessor for Security : cours de trois jours, accessible aux titulaires de la qualification COBIT® 5 Foundation, fournissant les bases pour évaluer l’aptitude des processus de cyber-sécurité d’une organisation par rapport au modèle d’évaluation (PAM) de COBIT® 5. Ce cours permet d’obtenir la qualification COBIT® 5 Assessor for Security.

COBIT® 5 for Information Security : ce cours de deux jours s’adresse aux professionnels de la sécurité et offre une couverture globale et pratique de tous les aspects de COBIT® 5 dans le cadre spécifique de la sécurité de l‘information, y compris ses composantes, les facilitateurs et les conseils de mise en œuvre.

L’ISACA lance « COBIT 5 online » afin de combler des lacunes cruciales dans la gouvernance du SI

78 % des personnes interrogées dans le cadre de l’enquête COBIT® indiquent une augmentation de la valeur de la gouvernance du SI

ROLLING MEADOWS, Illinois–L’ISACA a lancé aujourd’hui la version en ligne de COBIT 5, un centre de ressources consolidées et exhaustives afin d’améliorer la gouvernance et la gestion des technologies de l’information (TI) en entreprise. La nouvelle plateforme en ligne contribue à augmenter l’utilité du cadre de référence COBIT 5, un cadre de référence pour entreprises qui permet de gérer le risque technologique et des informations, et de la famille de produits COBIT.

« Mettre COBIT 5 à disposition dans un format en ligne personnalisable étend la capacité des entreprises à protéger leurs actifs en information et à améliorer les performances d’entreprise. »

Le nombre et l’impact d’incidents de cybersécurité et d’atteintes à grande échelle à la sécurité des données continuant de grimper, ils révèlent des lacunes cruciales en gouvernance TI au sein d’entreprises de toutes tailles. Une récente enquête de l’ISACA auprès de 1 245 professionnels de 50 pays ayant téléchargé le cadre de référence COBIT 5 montre que, concernant le paysage commercial et technologique auquel leur entreprise a été confrontée au cours des 12 derniers mois, près de 8 personnes sur 10 (78 %) affirment qu’avoir une gouvernance TI efficace en place est maintenant plus précieux.

« Les cybermenaces qui ont défrayé la chronique ont mis en évidence les risques et les vulnérabilités dans des entreprises du monde entier », a confié Robert E Stroud, CGEIT, CRISC, président international de l’ISACA. « Mettre COBIT 5 à disposition dans un format en ligne personnalisable étend la capacité des entreprises à protéger leurs actifs en information et à améliorer les performances d’entreprise. »

Enquête auprès des utilisateurs de COBIT : Avantages pour l’entreprise

Plus de 70 % des personnes interrogées dans l’enquête ont déclaré que COBIT 5 les avait aidées à régler des problèmes pratiques de l’entreprise. Quand on leur a demandé de classer les quatre principales façons dont COBIT 5 avait aidé leur entreprise, elles ont répondu :

  1. Meilleure intégration entre l’entreprise et les technologies de l’information (TI) (73 %)
  2. Gestion du risque améliorée (60 %)
  3. Capacité améliorée à identifier les lacunes (49 %)
  4. Plus grande visibilité avec le conseil d’administration (45 %)

Nouveaux outils COBIT

La nouvelle version en ligne de COBIT 5 permet aux utilisateurs de personnaliser le planificateur RACI (responsible, accountable, consulted, informed) et l’outil de mise en cascade des objectifs pour leur entreprise ou leurs clients. Le planificateur RACI et d’objectifs facilite l’utilisation de COBIT en aidant les utilisateurs à choisir des objectifs d’entreprise, des objectifs en matière de technologies de l’information et des catalyseurs, en fonction des besoins des parties prenantes. Le planificateur RACI graphique prend en charge la gouvernance et les pratiques de gestion sélectionnées.

Grâce à la version en ligne de COBIT 5, les utilisateurs peuvent aussi :

  • Explorer du contenu actualisé provenant de l’ISACA et de sources externes abordant les questions et les défis les plus importants.
  • Rechercher, filtrer et exporter rapidement et facilement du contenu de publications COBIT 5, telles que COBIT 5, COBIT 5 Implementation, COBIT 5: Enabling Processes et COBIT 5: Enabling Information.
  • Faire des commentaires et poser des questions pour favoriser l’apprentissage et les meilleures pratiques.

Pratiquement tout COBIT en ligne est disponible gratuitement sur cobitonline.isaca.org. L’intégralité des résultats de l’enquête internationale 2014 sur le cadre de référence COBIT en gouvernance est disponible sur www.isaca.org/news.

À propos de l’ISACA

Avec 115 000 membres dans 180 pays, l’ISACA(MD) (www.isaca.org) est une association internationale qui aide les chefs d’entreprise et les responsables TI à renforcer leur confiance dans leurs actifs en information et leurs systèmes d’information et la valeur tirée de ces derniers.

Suivez l’ISACA sur Twitter : https://twitter.com/ISACANews

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.

Contacts

ISACA
Kristen Kessinger, +1.847.660.5512
news@isaca.org

 

L’ISACA publie la version française de COBIT® 5

Près de deux ans après sa publication officielle en Anglais, l’ISACA vient enfin de publier une traduction de COBIT 5 en français. COBIT 5 est, à ce jour, le seul référentiel orienté business pour la Gouvernance et la Gestion des Systèmes d’Information de l’entreprise.

Qu’est-ce que COBIT® 5?

En aidant les entreprises à réaliser leurs objectifs business en s’appuyant sur utilisation innovante et efficace des systèmes d’information, COBIT 5 représente une évolution majeure du référentiel reconnu et mondialement utilisé depuis plus de 15 ans.

COBIT® 5 fournit des principes globalement acceptés, des pratiques, des outils analytiques et des modèles destinés à aider les dirigeants des entreprises et les professionnels de l’IT à maximiser leur confiance envers leurs systèmes d’information, d’une part, et à en tirer le maximum de valeur d’autre part. COBIT® 5 a été développé par l’ISACA, une association à but non lucratif d’envergure mondiale regroupant plus de 110.000 professionnels des domaines de l’audit, de la sécurité, de la gestion des risques et de la gouvernance des Systèmes d’Information.

« Les entreprises de par le monde ont besoin d’orientations sur la façon de gérer, de contrôler et retirer de la valeur d’une vaste quantité d’information et de l’évolution rapide des technologies », a déclaré Rob Stroud, CGEIT, CRISC,  vice-président de CA Technologies et nouveau président de l’ISACA. « COBIT 5 fournit ces orientations. Il aide les entreprises à prendre des décisions efficaces en mettant  en avant les besoins des parties prenantes. »

COBIT 5 peut être adapté pour tous les types de modèles business,  d’environnements technologiques, toutes les industries, les lieux géographiques and les cultures d’entreprise. Il peut s’appliquer à :

  • La sécurité de l’information
  • La gestion des risques
  • La gouvernance et la gestion du Système d’Information de l’entreprise
  • Les activités d’audit
  • La conformité avec la législation et la règlementation
  • Les opérations financières ou les rapports sur la responsabilité sociale de l’entreprise

« Les entreprises des pays francophones, notamment celles devant travailler en français pour se conformer à la législation en vigueur, pourront désormais tirer profit du référentiel COBIT 5 dans le but d’améliorer la gouvernance et la gestion de leurs TI, » a affirmé David Henrard, CISM, CRISC et directeur de la recherche de la section de Québec de l’ISACA.

Le référentiel COBIT 5 simplifie les défis de la gouvernance avec seulement 5 principes et sept facilitateurs. Il permet l’intégration avec d’autres approches et normes, incluant TOGAF, PMBOK, Prince2, COSO, ISO 20000, ISO 27001, ITIL, PCI DSS, Sarbanes-Oxley et Bâle III.

Que penser de cette version française?

 

COBIT 5 Référentiel en français

Notons tout d’abord que cette traduction « française » a été réalisée de bout en bout par une équipe Canadienne à laquelle il faut rendre hommage pour le fantastique travail effectué. Le résultat est clairement une traduction en « canadien français » et non en français international, ce qui semble assez logique and la mesure où la France n’était pas impliquée dans ce projet. La différence en le français du Canada et le français international est plus importante qu’il ne peut y paraître à première vue. Ainsi, par exemple:

  • Affaires en Canadien se traduit par Business ou Métiers en Français international
  • Cas d’affaire en Canadien pour Etude d’opportunité en Français
  • Promoteur en Canadien pour Sponsor en Français
  • Occasion d’amélioration pour Opportunité
  • Cadre pour Référentiel
  • …etc.

La conséquence est donc que ce document sera assez facilement interprétable par les experts de la Gouvernance et du Management, francophones et connaissant déjà parfaitement le contenu du référentiel COBIT en anglais. Par contre, il sera d’une faible utilité, voire il pourrait produire un effet inverse à l’effet souhaité pour les Managers Business et les Comités de Direction et Conseils d’Administration des Organisations d’Europe ou d’Afrique francophone qui ne comprendront pas vraiment ce dont on parle, et cela risque de renforcer l’idée déjà fort répandue que COBIT est trop complexe, s’adresse à seulement à des grandes Entreprises, traduit une vision anglo-saxonne du business et ne correspond pas au besoin de Entreprises françaises.

Alors pourquoi n’avoir pas travaillé sur une version en Français international? Parce que les différences de langage étant importantes, il est nécessaire, comme cela est généralement le cas (par exemple c’est qui a été fait pour ITIL) de mener des projets distincts pour deux traductions différentes : une version en Français du Canada et une version en Français International. La traduction d’un référentiel tel que COBIT 5 est un projet, complexe, long et couteux. De plus, il s’agit de traduire une propriété intellectuelle qui appartient à l’ISACA. Comme pour tout projet, cela nécessite une étude d’opportunité pour justifier l’investissement et définir le retour sur investissement attendu (pas seulement financier) d’un tel projet qui devra convaincre le Management de l’ISACA de son intérêt. Compte tenu de l’adoption très marginale de COBIT et de l’intérêt assez faible manifesté par les Organisations Françaises pour un référentiel international de Gouvernance et Management du SI, un projet de traduction en Français international a donc peu de chances de voir le jour à court terme.

Je vous invite à télécharger gratuitement la version française de COBIT 5 en cliquant sur l’image du document afin de vous faire votre propre avis et à partager vos commentaires

 

Pourquoi avoir attendu aussi longtemps?

C’est bien une question qu’il faut bien se poser, alors même que les traductions en Chinois, en Espagnol, en Allemand, en Japonais et même en Roumain ont été publiées depuis plusieurs mois déjà. La communauté francophone représente plus d’habitants dans le monde que les communautés de langue Allemande ou Roumaine, pour ne citer que les pays Européens, l’Espagnol étant par contre la langue majoritaire en Amérique du Sud.

La réponse est malheureusement assez simple et résulte d’un constat très douloureux.

Le contexte est très différent au Canada où les Entreprises sont demandeuses de référentiels et de normes, et les décideurs Canadiens sont plus enclins à mettre en oeuvre les bonnes pratiques en matière de Gouvernance et de Management que ne le sont les décideurs Français qui, pour beaucoup d’entre eux, se focalisent uniquement sur une vision court-termiste dont le seul axe est la réduction des coûts, en contradiction totale avec la notion de Gouvernance et de Stratégie qui vise à améliorer en permanence l’efficacité et l’efficience dans un objectif de création de valeur pour permettre au business de se développer toujours plus.

A suivre…

 

ISO 20000 : un permis pour conduire l’informatique de l’Entreprise

Confieriez-vous votre vie à un conducteur qui n’a pas son permis de conduire?

Envisageriez-vous, en cette période de grands départs, de prendre la route des vacances avec toute votre famille à bord de votre véhicule sans avoir votre permis de conduire en poche? La certification ISO 20000 de votre DSI est, à l’image de votre permis de conduire, le résultat de l’évaluation de la connaissance et du respect d’un code de conduite d’une informatique au service de la création de valeur par les métiers de l’Entreprise.

Plus d’infos sur la tribune libre publiée sur le site du MUNCI

Catégories

Archives

Calendrier

janvier 2018
L M M J V S D
« Déc    
1234567
891011121314
15161718192021
22232425262728
293031  
%d blogueurs aiment cette page :