Home » Posts tagged 'Gestion des services informatiques'

Tag Archives: Gestion des services informatiques

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

ISO/IEC 20000-1 : le cru 2018 est arrivé

Fantastique nouvelle pour toutes les personnes impliquées dans la gestion des services informatiques (ITSM), la norme internationale ISO/IEC 20000-1:2018 a été publiée ce 15 septembre 2018. Elle est désormais disponible en Anglais et en Français sur le site de l’ISO

ISO/IEC 20000-1:2018 nouvelle version de la norme de gestion des services (ITSM)
Crédit image © raw pixel.com

En cette saison de vendanges, les nouveaux crus sont très attendus. Et le millésime 2018 de la norme internationale ISO/IEC 20000-1 ne fait pas exception à la règle. Il s’agit là de la 3ème version de cette norme dont la première publication remonte à 2005. A l’origine, il s’agissait essentiellement de traduire les bonnes pratiques ITIL V2 sous forme d’une norme de gestion des services informatiques (ITSM). L’objectif était de permettre aux organisations informatiques de certifier leur système de management des services TI. Les référentiels de bonnes pratiques tels que ITIL ne permettant pas de certifier une organisation, ISO/IEC 20000 était la première norme ITSM.

L’enquête annuelle réalisée par l’ISO (International Standard Organization) montre qu’en 2016 la norme ISO 20000 est classée en 9ème position des normes sur lesquelles les entreprises se certifient le plus, avec 4537 certificats d’entreprises délivrés en 2016. Elle connaît d’ailleurs une croissance très importante de 63%, et spécialement en Asie.

ITSM - ISO 20000 dans le monde. Devant ITIL
Répartition des certifications ISO 20000 délivrées dans le monde en 2015 & 2016 – © ISO 2017

Aujourd’hui, ISO/IEC 20000-1:2018 reste alignée sur les bonnes pratiques ITSM, parmi lesquelles ITIL. Cependant, elle a largement pris son autonomie et son périmètre s’est sensiblement élargi. Nous vous livrons ici quelques unes des nouveautés attendues par tous les acteurs de la gestion des services.

Vue d’ensemble de la version 2018 d’ISO/IEC 20000-1

Les membres du sous-comité SC40 du JTC1 (ISO/IEC) ont fait un travail remarquable. Ils ont pris en compte les tendances et les défis actuels dans l’environnement de gestion des services. L’accent est désormais mis davantage sur la gestion et l’assurance qualité. Il est moins centré sur la formulation des processus et des procédures. Le fait qu’un écosystème de services soit composé d’un environnement multi-fournisseurs empêche souvent les entreprises de normaliser tous les processus dans toutes les organisations impliquées incluant leur chaîne logistique de service.

Les changements les plus importants dans la norme ISO/IEC 20000-1:2018

Les modifications suivantes ont été apportées par rapport à la version précédente de 2011:

  1. Au plus haut niveau, une nouvelle structure hiérarchique conforme aux autres normes relatives au système de management a été introduite. Cela facilite la certification des entreprises pour plusieurs normes, telles qu’ISO 9001 (gestion de la qualité) ou ISO 27001 (gestion de la sécurité de l’information).
  2. La section Termes et définitions a été supprimée. Elle est désormais remplacée par une référence aux termes et définitions de l’ISO / IEC 20000-10.
  3. Toutes les références à la « méthode PDCA » (« Plan-Do-Check-Act ») ont été supprimées.
  4. De nouvelles exigences sur le contexte de l’organisation et sur les activités relatives aux risques et aux opportunités ont été ajoutées.
  5. Une exigence explicite de «créer, mettre en œuvre, maintenir et améliorer continuellement un système de management des services (SMS)» a été ajoutée.
  6. Les exigences en matière d’informations documentées, de ressources, de compétences et de sensibilisation ont été mises à jour.
  7. Des exigences supplémentaires dans les domaines de la planification des services, de la connaissance, de la gestion des actifs, de la gestion de la demande et de la fourniture de services ont été introduites.
  8. Les exigences relatives à la gestion des incidents et à la gestion des demandes de service ont été divisées en deux chapitres distincts.

À première vue, la norme semble être devenue plus vaste et donc plus complexe. Cependant, les exigences concernant les processus sont beaucoup plus simples. De même, les exigences en matière de documentation ont été considérablement réduites. Cela permet aux organisations de définir leurs processus beaucoup plus librement. La norme est maintenant conçue davantage pour l’effet de la gestion des services que pour sa description détaillée.

La nouvelle norme sur l’ITSM en un seul coup d’oeil

Les changements et améliorations de cette nouvelle version de la norme ISO/IEC 20000 se reflètent dans le schéma suivant :

Schéma de la norme ISO/IEC 20000-1:2018. Au delà du périmètre ITIL
Crédit © ISO 2018

Comme on peut le voir, des questions telles que le leadership et l’engagement, la gestion des risques, la planification des services d’évaluation et l’amélioration de performance deviennent centrales.

Il est également clair que le nombre de processus a nettement augmenté par rapport à la version précédente de 2011. Cette nouvelle mouture de la norme voit son périmètre augmenter. Il est désormais aligné sur celui d’ITIL 2011 et prend en considération les nouveaux référentiels ITSM comme VeriSM, SIAM, COBIT, etc..

Un changement dans la cible de la norme

Le terme « service informatique » figurait déjà dans la dernière version de la norme. Mais la norme était principalement réservée aux organisations informatiques pour certifier leur système de management à ISO 20000. Avec la connectivité accrue des fournisseurs de services externes et les exigences moins détaillées pour les processus informatiques tels que la disponibilité et la gestion de la capacité, la norme est désormais également prédestinée à être utilisée en dehors des organisations informatiques. C’est la base de la certification de la gestion professionnelle des services d’entreprise à l’avenir avec la nouvelle norme ISO/IEC 20000-1: 2018. Attendons donc de voir comment cela va évoluer dans les prochains mois.

Quelles suites sont à prévoir dans les prochains mois?

Si votre organisation est déjà certifiée ou si vous commencez à mettre en œuvre ISO20000-1, ne vous inquiétez pas. Il est probable qu’il y aura une période de transition minimale de deux ans après la révision de la première partie. Rien de ce que vous faites actuellement pour l’ISO/IEC 20000-1:2011 actuelle ne sera perdu.

Pour les entreprises déjà certifiées ISO/IEC 20000-1:2011

Pour les entreprises déjà certifiées ISO/IEC 20000-1:2011, la transition doit être bien préparée. Cependant les changements ne seront pas vraiment importants. Il est toutefois conseillé de convenir de la date de transition avec le certificateur en temps utile. La date limite probable de cette nouvelle certification sera sans doute d’ici 2021 au plus tard.

Pour les entreprises non encore certifiées ISO/IEC 20000-1

Pour les entreprises qui souhaitent obtenir la certification ISO 20000-1 pour la première fois, cette édition est simplifiée. Elle est moins détaillée au niveau des exigences. Elle se concentre sur ce que les entreprises doivent faire pour avoir plus de liberté de mise en œuvre. La mise en oeuvre d’un système de management des services, en vue de la certification, devrait donc être plus facile.

Parmi les points-clés dont vous devez désormais vous préoccuper pour faire certifier votre SMS sur ISO/IEC 20000-1:2018 :

  • Quels sont les résultats attendus de votre système de gestion de services (SMS) et de vos services?
  • Qu’est-ce qui constitue une valeur pour l’organisation et les clients du SMS et des services?
  • Qui a le pouvoir de prendre des décisions clés sur le SMS et les services?
  • Comment les exigences SMS sont-elles intégrées dans les processus métier de l’organisation?
  • Quelles connaissances sont nécessaires pour soutenir le fonctionnement du SMS et des services?

Ce sont là des aspects clés pour l’ITSM et l’alignement sur le business. Aucune surprise donc de les retrouver au coeur de la nouvelle version de la norme. Ce sont également des questions qui matérialisent un peu plus la particularité d’ISO/IEC 20000-1:2018 vis à vis d’ITIL. En effet ITIL 2011 reste essentiellement focalisé sur les processus exclusivement. Ce sont également les questions qui sont au coeur des nouveaux référentiels ITSM tels que SIAM, VeriSM, etc. Il semble que la nouvelle version d’ITIL (ITIL4) annoncée pour le premier trimestre 2019 aille également dans ce sens.

Quid de la formation et des certifications de personnes?

A l’heure actuel, plusieurs organismes de certification de personnes proposent des certifications individuelles sur ISO/IEC 20000. Parmi elles, on peut citer APMG, EXIN ou PECB. Là encore ne vous inquiétez pas. votre certification ISO 20000 (Foundation, auditor, professional, lead implémenter ou lead auditor) demeurera valide. Les organismes de formations vont simplement devoir mettre à jour leurs cursus de formation pour les adapter à la nouvelle version de la norme. La mise à niveau des examens de certification devrait intervenir dans les prochaines semaines.

2AB & Associates (ex AB Consulting), accrédité auprès de l’APMG, d’EXIN et de PECB pour délivrer les formations et les certifications de personnes sur ISO/IEC 20000 est déjà en train de finaliser les nouveaux cours alignés sur la version 2018 de la norme. Nous préparons aussi un cours de transition vers ISO/IEC 20000-1:2018. Ce cours a pour objectif d’aider les personnes en train de conduire une certification de leur organisation sur la version 2011.

 

COBIT et VeriSM : la recette du succès

Le modèle VeriSM récemment lancé, semble être un complément intéressant à COBIT. VeriSM, bien que très récent, a suscité beaucoup d’intérêt et de discussions dans les équipes de gestion des services. Déjà de nombreuses organisations envisagent et évaluent cette approche.

COBIT et VeriSM : La recette du succès
Crédit : © Dreamstime

Des idées clés au cœur de VeriSM

Quelques idées fortes sont au coeur même du modèle VeriSM :

  • Dans un monde de services numériques, gouverner les services devient une préoccupation importante pour l’ensemble de toute organisation. Ce n’est plus le problème de l’informatique uniquement,
  • Le « département informatique » est simplement une aptitude organisationnelle comme toutes les autres (par exemple les RH, les ventes, le marketing). Il doit donc travailler en étroite collaboration avec toutes les autres capacités de conception, de construction et de gestion des services numériques,
  • Toutes les organisations doivent prendre conscience de leur environnement, des ressources et capacités disponibles (à la fois en interne et en externe) lors de la conception, du développement et de la fourniture de services numériques. C’est le concept de réseau de management ou de management maillé,
  • Des principes de gestion des services clairement définis devraient servir de guide pour tout nouveau service. Ceci, afin de garantir que ce sont bien les bons «muscles» du maillage qui sont sollicités au fur et à mesure du développement du service et pendant toute la durée de son cycle de vie.

VeriSM n’est pas en soi un cadre, un référentiel ou une méthodologie. VeriSM est, en fait, un modèle préconisant l’évaluation et l’utilisation flexible des pratiques de gestion. Ces pratiques sont décrites dans VeriSM au travers des éléments du management maillé (« Management Mesh« ).

COBIT 5 est l’un de ces cadres de meilleures pratiques en matière de gouvernance et de management de l »information. Il présente donc une grande synergie avec VeriSM. De ce fait COBIT 5 aidera les organisations à adopter une approche VeriSM et à établir et exploiter efficacement un maillage du management.

LE CONCEPT DE MANAGEMENT MAILLE DE VeriSM

VeriSM - Le management maillé
Crédits © Van Haren 2017

COBIT 5 pour la Gouvernance

Le modèle VeriSM repose sur l’établissement d’une gouvernance efficace des services gestion de l’information et de la prestation de services informatiques performants.

COBIT 5 est un cadre reconnu en matière de gouvernance de l’Entreprise. Il définit un référentiel unique de gouvernance qui couvre de façon transparente l’ensemble de l’Entreprise, de manière globale et de bout en bout. Il s’agit là de trois des cinq principes clés de COBIT.

COBIT 5 : LES 5 PRINCIPES

COBIT : les 5 principes
Crédits : © ISACA 2012 – Tous droits réservés

Les principes de gestion des services VeriSM doivent refléter les besoins et les moteurs de l’organisation et de ses parties prenantes traduits en objectifs de l’entreprise. Ils constituent donc une composante clé de la gouvernance.

La cascade d’objectifs de COBIT 5

Les besoins des parties prenantes de l’Entreprise doivent être traduits en actions stratégiques pour être mise en oeuvre. La cascade d’objectifs de COBIT 5 représente le mécanisme de traduction des besoins des parties prenantes en objectifs d’entreprise précis, réalisables et personnalisés, puis en objectifs liés aux TI et en objectifs pour chacun des facilitateurs. Cette traduction permet de fixer des objectifs précis à tous les niveaux. De plus, ces objectifs couvrent tous les domaines de l’entreprise. Ils viennent ainsi en appui aux objectifs généraux et aux exigences des parties prenantes. Ils permettent donc de soutenir efficacement l’alignement entre les besoins de l’entreprise et les solutions et services informatiques.

LA CASCADE D’OBJECTIFS DE COBIT 5

La cascade d'objectifs de COBIT 5
Crédit : © ISACA 2012 – Tous droits réservés

COBIT 5 fournit de plus une matrice permettant de faire correspondre les principales préoccupations des parties prenantes avec 17 objectifs génériques de toute Entreprise. Grâce à une seconde matrice, ces 17 objectifs d’Entreprise peuvent ensuite être  mis en correspondance avec 17 objectifs pour le département TI. Par exemple, l’objectif de transparence financière de l’Entreprise  pourra être mis en correspondance avec l’objectif TI de « transparence des coûts, des bénéfices et des risques IT ». Enfin, une troisième matrice permet de faire correspondre ces objectifs TI avec les processus à mettre en oeuvre ou à améliorer. Les processus constituent une des 7 catégories de facilitateurs. La relation n’est pas univoque. Un processus de bas niveau peut ainsi supporter plusieurs objectifs d’entreprise. Toutefois grâce à cette cascade d’objectifs, il est aisé d’identifier les principaux processus soutenant chacun des objectifs stratégiques de l’Entreprise.

Bien sûr chaque entreprise est différente. Ces matrices sont donc fournies à titre d’exemples et doivent être adaptées à chaque organisation spécifique.

Le management maillé de VeriSM

Les organisations définiront leur maillage de gestion de différentes manières qui leur seront propres. Comme indiqué ci-dessus, les éléments du maillage sont nombreux et variés. COBIT 5 encourage également une approche holistique pour comprendre et rassembler les différentes ressources et capacités de gestion des services.

COBIT 5 définit 7 catégories de facilitateurs (« enablers ») :

Les 7 facilitateurs de COBIT 5
Crédit © ISACA 2012 – Tous droits réservés

À l’heure actuelle, l’ISACA n’a publié des guides de référence détaillés que pour les facilitateurs « processus » et « information« . Cependant ils fournissent des indications importantes et suffisantes sur la documentation et la classification des éléments clés de tout maillage de gestion.

La mise en œuvre de VeriSM en Entreprise

Les organisations qui adoptent d’abord une approche VeriSM considéreront / évalueront très probablement COBIT 5 comme une manière d’ajouter une valeur significative au maillage de gestion. A l’opposé, les organisations qui utilisent déjà COBIT 5 y trouveront un avantage significatif lors de l’adoption d’une approche VeriSM. Quel que soit le modèle proposé en premier, le cycle de vie de mise en oeuvre inclus dans COBIT 5 est une excellente démarche pour répondre à la complexité et aux défis généralement rencontrés lors de tout projet de transformation.

L’approche de programme de transformation de COBIT 5

COBIT 5 : Le modèle de mise en oeuvre
Crédit © ISACA 2012 – Tous droits réservés

Le diagramme ci-dessus décrit avec une extrême précision le modèle de mise en oeuvre de tout projet de transformation.  Expliqué en détail dans le Guide de mise en œuvre  de COBIT 5 (ISACA) et soutenu par une qualification professionnelle, l’approche selon le cycle de vie détaille une démarche holistique en 7 étapes pour parvenir à un changement durable en se focalisant sur trois axes :

  • Amélioration continue : Permettre et soutenir le changement organisationnel pour offrir des avantages durables en veillant à ce que les améliorations soient intégrées dans la structure de l’organisation,
  • Facilitation du changement : Le programme est conçu pour soutenir le besoin d’amélioration continue, avec des changements apportés dans des itérations hiérarchisées et gérables, garantissant que les avantages sont fournis à un rythme de changement auquel l’organisation peut faire face,
  • Gestion de programme : appliquer des techniques formelles de gestion de programme et de projet (analyse de rentabilisation formelle, objectifs bien définis et bien définis, parrainage de cadres) pour garantir que les avantages sont réalisés

L’importance de la facilitation du changement

On estime jusqu’à 70% le taux d’échec des projets de transformation. Bien sûr, il y a de nombreuses raisons à cela. Cependant,  parmi celles-ci, les principales sont liées aux personnes et en particulier à la résistance au changement.

Kotter reconnaît cela dans son modèle de changement en huit étapes, dont la première étape critique est de créer un sentiment d’urgence. Cela se reflète dans l’étape 1 de l’anneau de facilitation du changement. En clair, cela signifie être capable de répondre à la question suivante :


Il y a un million et une chose que nous pourrions faire,

Pourquoi cela doit-il se produire et pourquoi cela doit-il arriver maintenant?


Si cela ne peut pas être clairement expliqué, d’une manière qui ait du sens et soit convaincante pour l’ensemble de l’organisation, la réponse est probablement : « ça ne marchera pas!« .

Encore une fois, la cascade des objectifs est utile ici. Il devrait y avoir une cascade claire entre les objectifs du programme et la réalisation des objectifs de l’Entreprise. Certes, la réalisation d’objectifs d’entreprise de haut niveau, bien qu’ils soient clairement pertinents pour tous les employés, n’est peut-être pas ce qui nous fait sortir du lit le matin. Cependant, c’est ce qui excite les plus hauts niveaux du management organisationnel et de la gouvernance. C’est donc ce qui assurera le parrainage de la direction qui est si crucial pour la réussite de tout programme.

Les services numériques au coeur du besoin de transformation des entreprises

Il existe de nombreuses définitions différentes du terme service numérique. La mienne serait : un service numérique est un service qui permet aux consommateurs de traiter avec l’entreprise par voie électronique à un moment et à un endroit qui leur conviennent, sans qu’une interaction humaine soit nécessaire. Amazon, Uber, Airbnb sont tous des exemples de fournisseurs de services numériques. La demande des consommateur est en croissance exponentielle. Déjà aujourd’hui on voit les consommateurs aller voir et toucher les produits qu’ils souhaitent acheter dans des magasins. Ensuite ils rentrent les commander en ligne sur un site de vente en ligne tel qu’Amazon. Demain cela concernera 90% des Entreprises dans tous les domaines (banques, assurance, hôtellerie, etc.). Toutes ces Entreprises vont devoir se transformer pour survivre.

 

Crédits : Mark Flynn et blog de l’APMG

VeriSM: le nouvel ITIL de l’ère digitale?

En proposant une approche nouvelle de la gestion des services, le modèle VeriSM pourrait bien être l’évolution digitale du référentiel ITIL à l’ère du numérique.

VeriSM est-il le nouvel ITIL de l'ère digitale?
Crédit © VeriSM Global

ITIL, le référentiel phare d’AXELOS, commence à sérieusement prendre de l’âge et à perdre de son avance. VeriSM, plus adapté aux contraintes de l’entreprise du futur, pourrait bien être un challenger sérieux dans les prochains mois pour ITIL. AXELOS est bien conscient de la nécessité de faire évoluer son cadre de bonnes pratiques. La Société Britannique a d’ailleurs lancé récemment une initiative qui devrait aboutir Q1/2019 au lancement de ITIL 4. Il n’en reste pas moins que de sérieux concurrents commencent à voir le jour. VeriSM a été conçu dès l’origine pour répondre aux attentes des Entreprises de l’ère digitale. Ce nouveau cadre de bonnes pratiques semble être, assez logiquement, aujourd’hui, en bonne position pour prendre l’avantage.

VeriSM, qu’est-ce que c’est?

VeriSM (de l’anglais Value-driven Evolving Responsive Integrated Service Management) a été développé en 2017 par l’IFDC. Il s’agit d’une gestion des services intégrée, réactive, évolutive et centrée sur la création de valeur.

Cette approche vise à mettre en place des pratiques nouvelles de gestion des services, au niveau de l’ensemble de l’organisation. On ne se focalise plus sur le seul département informatique. Ces nouvelles pratiques sont plus flexibles. Elles sont également plus centrées sur la création de valeur et l’accélération du « Time-to-Market » de produits ou services nouveaux.

ITIL ne suffit pas?

En 2007, le référentiel ITIL a été revu en intégralité dans une version ITIL V3 plus cohérente et ambitieuse, autour de 5 ouvrages. Chacun de ces ouvrages recense les meilleures pratiques pour la gestion des services informatiques (IT Service Management ou ITSM) en suivant les 5 phases du cycle de vie des services. En 2011, le Cabinet Office, alors en charge du portefeuille des bonnes pratiques de l’état Britannique publie une refonte « cosmétique » d’ITIL dénommée ITIL 2011. Malheureusement, ITIL 2011 n’apporte pas de grand changement aux bonnes pratiques d’ITIL V3. ITIL reste ITIL. C’est d’ailleurs le sens de l’appellation ITIL 2011 qui n’est en aucun cas une nouvelle version du référentiel. Il est cependant évident que depuis la parution d’ITIL V3 en 2007 le contexte des Entreprise a largement évolué. La mondialisation des affaires nécessite toujours plus d’agilité des Entreprises pour qu’elles puissent survivre.

Pourquoi un échec relatif d’ITIL à créer de la valeur business?

Dans le même temps, les mises en oeuvre des bonnes pratiques basées sur ITIL ont largement échoué à produire les résultats attendus. La faute n’est pas à ITIL. La faute est à attribuer pour une large part à des consultants incompétents lorsqu’on parle de mise en oeuvre. Les implémentations réalisées ont essentiellement contribué à « rigidifier » les entreprises pour tirer un maximum de bénéfices au niveau de l’informatique. Hélas ces avantages ont été ciblés au détriment de l’agilité du business.

La faute est également à porter à l’étendue du cadre de bonnes pratiques d’AXELOS. Il ne se focalise malheureusement que sur les aspects informatiques. Une entreprise ne devrais utiliser l’informatique que comme un « outil » au service du business. Or les mises en oeuvre de processus basés sur ITIL sont réalisées pour la plupart pour les DSI. De plus, elles se déroulent bien souvent sans la participation du Business. Or c’est bien le business qui crée de la valeur et en aucun cas l’informatique. L’informatique est et doit rester un outil au service du business.

AXELOS s’en est d’ailleurs est bien rendu compte et a publié « ITIL Practitioner » accompagné d’une nouvelle certification. Cette publication, mal positionnée et surtout mal ciblée a été un échec. La plupart des consultants « experts » ont échoué à obtenir la certification ITIL Practitioner.

Qu’apporte VeriSM en plus d’ITIL?

L’évolution du modèle d’affaire des Entreprises entraîne un besoin d’évolution des pratiques. Et c’est cette évolution des pratiques qui explique le besoin des professionnels de l’informatique de disposer d’un nouveau référentiel intégrant les nouveaux enjeux de la DSI et des métiers (et plus seulement ceux de la production) : « time-to-market », « user experience / customer experience (UX/CX) », agile-DevOps, nouvelles pratiques du support, intégration du cloud sous toutes ses formes dans la fourniture des services, positionnement de la production en tant qu’agrégateur de services, etc. Autant d’enjeux déjà embarqués dans le modèle VeriSM. VeriSM pourrait donc bien être une alternative au référentiel ITIL 4 dont la sortie est prévue en 2019. Ce d’autant que le contenu t’ITIL 4 reste encore largement inconnu.

Comment est conçu VeriSM?

Le modèle VeriSM, récemment traduit en français, est décrit dans plusieurs ouvrages, dont un « pocket guide » disponible sur le site de Van Haren Publishing proposant une approche de la gestion des services d’un point de vue organisationnel.

La première publication, structurée en quatre parties, parait finalement assez générique :

  • La première partie, plutôt exploratoire du service management, interroge sur le bien-fondé d’une culture « service », sa structuration et ce qu’elle implique, notamment en matière de gestion des compétences.
  • La seconde partie, plus descriptive, est au cœur de l’ouvrage. A première vue, elle parait très conceptuelle et est pourtant enrichie d’exemples explicites.
  • La troisième partie propose un rappel des concepts, technologies et pratiques liés à l’agilité, à la culture DevOps, au Lean management, au cloud, au big data, à l’IoT, au shift left, à la CX et UX (Consumer et User eXperience), au continuous delivery, à la méthode Kanban, à la Théorie des contraintes ou encore à l’amélioration continue.
  • Enfin, la quatrième partie propose des annexes illustrant par exemple les notions d’asset management, de « security by design » ou encore la structure générique d’une « policy ».

Le modèle VeriSM repose également sur un découpage intéressant – façon SIAM (Service Integration And Management) – et décrivant les activités clés d’un intégrateur de services. VeriSM propose d’aider les métiers à se digitaliser en ne se contentant plus de fournir des services en mode infrastructure. Il faut désormais créer de la valeur, identifier et explorer des technologies de pointe. Cela nécessite des compétences nouvelles dans un écosystème qui se diversifie chaque jour un peu plus.

Le modèle VeriSM
Le modèle VeriSM © IFDC Global

Alors pourquoi adopter VeriSM?

Toute l’originalité de VeriSM réside dans le cœur même de son modèle, le « Management Maillé » sur lequel s’appuient quatre groupes d’activités autour du cycle de vie d’un service : définir, produire, fournir et supporter.

Ce modèle favorise une approche flexible permettant de s’adapter aux besoins d’un produit ou d’un service spécifique.

VeriSM - Le management maillé
Crédit © Van Haren Publishing

L’idée centrale du modèle est de construire un modèle d’opération couvrant ces 4 groupes d’activités en s’appuyant et en mixant intelligemment l’utilisation de pratiques et de facilitateurs issus des 4 pôles du « management maillé » :

  • L’environnements : les éléments « stabilisateurs » (processus, métriques, outillages), les concurrents, la culture, les contraintes légales, etc.
  • Les ressources : équipes, budgets, actifs, connaissance, temps, etc.
  • Les pratiques de management : ITIL / COBIT / CMMI / IT4IT, ISO/CEI 20000, ISO/CEI 27000, DevOps, agilité, lean management, PPM, SIAM, etc.
  • Les technologies émergentes : cloud, containers, IoT, big data, automation, dont certaines ne sont plus forcément émergentes mais désormais intégrées dans la fourniture de services.

Pour chaque produit, ces domaines sont pris en considération et interagissent.

Même si, aujourd’hui, la description du cœur même du référentiel n’est pas encore très détaillée et peut-être un peu trop « stratosphérique », la prochaine version dont la sortie est planifiée pour fin 2018 devrait tenir ses promesses et offrir de nouveaux horizons à la gestion des services. Tous les espoirs sont désormais  permis. Ce modèle est pensé et structuré pour répondre aux nouveaux enjeux de la transformation digitale des entreprises. Il pourrait donc devenir le nouveau référentiel de pratiques pour le management des services.

 

ITIL : renaissance ou dernier soupir?

ITIL, le référentiel phare en matière de gestion des services informatiques commence à prendre de l’âge. Aucune évolution notable n’a été publiée depuis 2011. Et encore, la version 2011 n’était elle-même qu’une révision cosmétique (en anglais « refresh ») de la version ITIL V3 publiée en 2007. Cela fait donc dix ans que rien de vraiment nouveau n’a été publié. A l’occasion du salon ITSMF Fusion 2017, AXELOS a levé le voile sur l’avenir d’ITIL en 2018.

ITIL: renaissance en 2018?
Crédits: © AXELOS

On peut comprendre qu’une méthodologie n’évolue pas beaucoup. Mais justement le problème d’ITIL c’est qu’il ne s’agit aucunement d’une méthodologie. ITIL est un cadre de bonnes pratiques pour améliorer les services informatiques délivrés aux métiers. Or, durant ces dix dernières années, les Entreprises et leurs métiers ont subi une transformation radicale. Il est donc clair que leurs besoins de services informatiques ont également énormément changé. Les attentes des affaires sont très différentes aujourd’hui de ce qu’elles étaient il y a dix ans. Les risques auxquels tout service TI est exposé ont également évolué. L’environnement technologique a subi un bouleversement encore jamais vu auparavant.

L’annonce faite par AXELOS

Selon AXELOS, propriétaire du référentiel, ITIL® est «l’approche la plus largement utilisée pour la gestion des services informatiques dans le monde». La société indique qu’il existe des millions de praticiens d’ITIL dans le monde. Elle indique également que le référentiel est utilisé par la majorité des grandes organisations pour gérer leurs  opérations informatiques.

Il aurait donc été naturel que l’annonce d’une mise à jour d’ITIL suscite de nombreux commentaires. Cependant, comme vous l’avez sûrement constaté, tant la presse que les réseaux sociaux ne s’y sont guère intéressés.

La raison de ce manque d’intérêt est la raison même pour laquelle AXELOS veut faire cette mise à jour. ITIL a désormais atteint un point de non pertinence dans un monde économique dynamique et agile. L’environnement économique est aujourd’hui très différent de celui dans lequel ITIL a été développé.

De nouveaux modèles d’architecture, de nouvelles approches de management et, plus généralement, la transformation numérique des organisations ont relégué ITIL au stade de relique du passé.

Pourtant, des investissements substantiels ont été réalisés par nombre d’organisations dans le monde. Il s’agit notamment de la certification de leurs collaborateurs. Le grand nombre de fournisseurs de technologie qui ont vu le jour autour de ce framework et le vaste réseau de consultants et de sociétés de formation qui ont bâti leurs offres autour d’ITIL suggèrent que ce référentiel ne disparaîtra pas tranquillement du jour au lendemain.

Mais cette mise à jour annoncée sera-t-elle suffisante pour une renaissance d’ITIL en 2018? Ou marquera-t-elle son dernier soupir?

ITIL est-il en core pertinent dans un monde qui change?

Lors de l’annonce faite à ITSMF Fusion 2017, Margo Leach, Chef de produit chez AXELOS a admis la nécessité de faire évoluer ITIL pour pouvoir s’aligner sur un monde en pleine évolution tout en revendiquant sa pertinence au jour d’aujourd’hui.


« Les principes fondamentaux d’ITIL sont valables et restent essentiels pour permettre aux entreprises de se transformer et d’évoluer », a déclaré M. Leach. « Mais nous devons ajouter un élément supplémentaire au cœur d’TIL: la rapidité de mise sur le marché et l’agilité, c’est-à-dire la capacité d’une entreprise à répondre aux menaces commerciales, aux demandes et aux opportunités du marché. »


AXELOS a également reconnu que d’autres approches, (DevOps, …) traitent déjà de ces problèmes. « Le nouvel ITIL doit inclure des conseils pratiques et explicites sur la façon d’intégrer les principes des nouvelles méthodes de travail contemporaines« , a déclaré Margo Leach.

L’évolution rapide des technologies basées sur le cloud, les nouvelles approches telles que DevOps et l’enracinement des méthodologies agiles ont remis en question bon nombre de méthodes, apparemment rigides et bureaucratiques, souvent associées à ITIL.

En conséquence, et en dépit de leurs investissements importants dans le référentiel sous la forme de formation et d’outils, de nombreuses Organisations mettent maintenant l’accent sur la nécessité d’investissement futur sur de nouveaux cadres plus pertinents.

Alors n’est-il pas trop tard pour un nouvel ITIL?

La mise à jour d’ITIL ne devrait donc pas surprendre. Même si l’éditeur a affirmé il y a plusieurs années qu’il n’y aurait plus d’autres mises à jour. Néanmoins, le manque de pertinence perçu s’est également traduit par la perte de position dominante comme en témoigne l’arrivée d’une approche de gestion de service et d’un programme de certification concurrents, appelé VeriSM.

VeriSM prétend également représenter une approche moderne de «Gestion des services pour l’ère numérique». Le nombre de leaders de l’industrie et d’organisations qui le soutiennent est éloquent. A tout le moins, c’est la reconnaissance évidente par l’industrie que le domaine traditionnel de la gestion des services est en train de perdre son sens original et risque de ne plus être pertinent.

La transformation digitale entraîne un changement d’orientation

Ce que je crains, c’est que la prochaine mise à jour ITIL et la nouvelle approche VeriSM passent à côté de ce qui se passe réellement. A mon sens, la transformation numérique ne concerne pas vraiment la technologie ni son utilisation particulière. Il s’agit de la transformation des modèles d’affaires et d’opérations. Cela se traduit par un transfert fondamental de pouvoir de l’Entreprise vers le Client. En d’autres termes il ne s’agit pas d’une transformation technologique. Il s’agit plutôt d’une transformation de la société.

En tant que tel, le paradigme organisationnel de l’organisation doit passer de l’optimisation et de l’efficacité à l’expérience client et à facilitation pour l’utilisateur tout au long de son parcours. Le problème est que l’accent principal, tant pour ITIL que pour la gestion des services au sein des organisations, est entièrement basé sur l’efficacité et l’optimisation des opérations (informatiques ou autres).

De plus, les adoptions de la gestion des services TI sont largement basées sur des processus linéaires. A l’opposé, le monde libre-service et centré sur le client crée une abondance d’interactions client asynchrones et asymétriques avec l’organisation et la technologie qui doit les supporter.

Le résultat net est un cadre de bonnes pratiques de plus en plus déconnecté des besoins réels des Entreprises qu’il soutient. C’est d’ailleurs aussi le cas pour un secteur industriel tout entier.

Y a-t-il un avenir pour ITIL?

Je rencontre quotidiennement des dirigeants d’entreprises et des DSI. Nous discutons des défis auxquels ils sont confrontés et des stratégies qu’ils utilisent pour y répondre. L’accent est alors systématiquement mis sur l’efficacité et l’optimisation. Ce sont là les facteurs de valeur traditionnels de la gestion des services informatiques (ITSM).

Mais la priorité est aujourd’hui ailleurs. C’est l’agilité, l’adaptabilité et l’amélioration de l’expérience client qui sont la clé des affaires en 2018. L’objectif pour toute Organisation est de créer un avantage compétitif sur le marché. Ce sont là des moteurs qu’AXELOS a correctement identifiés. L’efficacité demeure bien sûr une préoccupation quotidienne. Pour ce faire, les entreprises se tournent de plus en plus vers les services et l’automatisation basés sur le cloud pour optimiser leurs opérations.

ITIL, VeriSM ou tout autre cadre ou approche de gestion de service souhaite reste pertinent? Alors leur objectif doit être la prise en compte des nouvelles priorités des Organisations. Leur axe principal doit donc être de réorienter les organisations vers l’expérience client et de les éloigner des modèles centrés sur les systèmes ou centrés sur le service.

Les praticiens de la gestion des services IT vous diront que cela a toujours été l’objectif principal. Je ne les contredis pas. Mais il est temps de reconnaître que, dans la pratique, ce n’est pas ce qui s’est passé. Si ITIL doit rester pertinent en 2018, cela doit changer radicalement. Il n’y aura d’avenir pour ITIL qu’à cette condition.

Vous avez sûrement un avis. N’hésitez pas à nous laisser votre commentaire…

ITIL Practitioner, une certification UTILE?

Au moment où la nouvelle certification ITIL Practitioner d’AXELOS arrive sur le marché, nous nous sommes posé la question de son utilité alors que le cursus ITIL est déjà bien fourni et que la grande majorité des informaticiens se contentent de la formation et de la certification ITIL Foundation. Alors était-ce vraiment utile de rajouter encore un niveau supplémentaire?

ITIL Practitioner

ITIL Practitioner, le chaînon manquant

La nouvelle certification introduite sur le marché par AXELOS début février 2016 vient compléter le cursus existant basé sur les niveaux Foundation, Intermediate, Expert et Master qui existent depuis la publication d’ITIL V3 en 2007, en y ajoutant un niveau se situant immédiatement au dessus de la certification ITIL Foundation. En gros ITIL Practitioner c’est en quelque sorte le chaînon manquant dans le parcours de certification d’AXELOS. Nous avons essayé, dans notre précédent article ITIL Foundation, Guide de survie, de clarifier quelque peu le schéma global hérité de celui défini par APMG il y a maintenant bientôt 10 ans. Le diagramme suivant illustre la structure du nouveau parcours de certification:

ITIL Practitioner dans le schema de certification

ITIL Practitioner, c’est quoi?

Il manquait donc, dans ce parcours de certification « historique », un niveau pratique destiné à certifier les aptitudes des praticiens et des consultants dont la tâche quotidienne est de travailler sur des projets d’implémentation ou d’amélioration des bonnes pratiques de gestion des services IT dans les Organisations. C’est bien là l’objectif de cette formation et de la certification ITIL Practitioner. A priori, c’est une excellente nouvelle pour tous les certifiés Foundation qui vont pouvoir maintenant apprendre comment mettre en oeuvre leurs connaissances dans la pratique. La mauvaise nouvelle c’est que le format de la formation préparant à cette qualification tel qu’il est été défini par AXELOS n’est pas vraiment adapté. En effet, cette session est prévue sur une durée de seulement deux jours (examen inclus), ce qui est nettement insuffisant pour couvrir la totalité d’un contenu extrêmement riche et dense. De plus cet examen de certification se déroule à livre ouvert et la formation associée va souvent, en fonction de votre organisme de formation et de la compétence de ses formateurs, se focaliser sur la façon d’utiliser le manuel dans un cas réel plutôt que sur un retour d’expérience sur les problématiques rencontrées par les consultants dans leur expérience concrète de conseil en Entreprise. C’est bien dommage. Bien sûr on m’objectera que les personnes concernées peuvent toujours demander une formation de durée plus longue pour appréhender l’ensemble des pratiques décrites mais, franchement, quelle Entreprise acceptera de financer une session plus longue que les deux jours préconisés par AXELOS?

Le parcours existant de certification était-il suffisant?

Nous avons clairement montré dans notre article sur le parcours « historique » de certification ITIL qu’il manquait de toute évidence un niveau de certification destiné à la fois aux consultants en charge de mener des projets d’implémentation et/ou d’amélioration des bonnes pratiques ITIL ainsi qu’aux personnels internes aux organisations concernés et impliqués dans les projets d’implémentation et/ou d’amélioration. Bien sûr, on m’objectera que c’était normalement la vocation des niveaux dits « Intermediates » et du niveau MALC conduisant à la certification ITIL Expert. Hélas, sur aucun de ces niveaux ne sont abordées les problématiques clés liées spécifiquement à un projet d’implémentation telles que la gestion du changement organisationnel, la facilitation du changement culturel, la communication à mettre en oeuvre pour viser à assurer la réussite d’un tel projet ou encore la conception d’un modèle de métriques et d’indicateurs nécessaires pour s’assurer que les bénéfices attendus en termes de création de valeur pour les parties prenantes de l’organisation sont bien réalisés conformément au cas d’affaire validé en début du projet. Ces aspects ne sont traités nulle part dans le parcours de certification ITIL « historique ». Cela signifie que même un « Expert ITIL » se trouve complètement démuni face à ces problématiques qui constituent cependant le quotidien des consultants et qu’il sera souvent incapable de mener avec succès un projet d’adoption et surtout d’adaptation des pratiques ITIL dans une Entreprise. Trop de lacunes existent!! Cela explique sûrement en partie les raisons de l’échec de tant de projets d’implémentation de bonnes pratiques ou de processus sur la base d’ITIL.

Les apports du cours et de la certification ITIL Practitioner

La publication par TSO de ITIL Practitioner Guidance vient combler quelque peu les lacunes existant dans les 5 publications centrales sur lesquelles sont basée les certifications historiques depuis ITIL Foundation jusqu’à ITIL Expert. Cette nouvelle publication sert de trame à la nouvelle certification ITIL Practitioner à laquelle elle donne son nom. On retrouve donc dans le syllabus de la formation et de la certification ITIL Practitioner les éléments clés de la publication qui est d’ailleurs autorisée pour le passage de l’examen.

Concrètement, elle s’articule autour 3 grands thèmes principaux correspondant aux trois compétences clés indispensables pour réussir un projet d’implémentation ou d’amélioration des pratiques de gestion des services en adaptant les processus ITIL au contexte de l’organisation :

  1. Communication
  2. Gestion des Changements Organisationnels (OCM)
  3. Mesures et métriques

Un consultant, certifié ITIL Expert, qui ne possèderait pas ces trois compétences clés se retrouverait un peu dans la situation du joueur de tennis avec un énorme potentiel qui possède parfaitement le jeu d’échange de fond de court mais qui est incapable de réussir un service ou de monter au filet face à son adversaire. Il ne pourrait que perdre la partie, étant dans l’impossibilité de s’adapter au contexte…

Elle est complétée par les 9 principes qui doivent guider toute initiative d’implémentation ou d’amélioration, hérités d’autres cadres tels que COBIT, DevOps, Agile, Lean etc.

La gestion de changement est un facteur-clé de réussite

Les neuf principes supportant une initiative d’implémentation

L’expérience a montré que la réussite de tout projet d’implémentation basé sur une approche d’amélioration continue résulte systématiquement de neuf principes directeurs suivis par le projet et permettant de délivrer les résultats attendus. Ces neuf principes, repris par de nombreux cadres de bonnes pratiques, s’appliquent bien évidemment aux projets ITSM.

1 – Focalisation sur la valeur

Tout projet d’implémentation ou d’amélioration des services IT doit créer de la valeur pour les parties prenantes de l’Entreprise et, seules ces mêmes parties prenantes sont à même d’évaluer les bénéfices résultant du projet.

2 – Focalisation sur l’expérience utilisateur

Les services et les processus IT doivent toujours être conçus pour satisfaire les besoins des clients et des utilisateurs afin de leur fournir une expérience positive de bout-en-bout.

3 – S’appuyer sur l’existant

Il ne faut jamais repartir de zéro. Un projet ne peut réussir que si l’existant, avec ses forces et ses faiblesses est bien compris pour permettre l’adaptation des bonnes pratiques, génériques par essence, au contexte spécifique de l’Entreprise, en capitalisant sur ses forces existantes.

4 – Utiliser une approche holistique

Aucun composant ou service n’existe en isolation. Les services sont des systèmes complexes qui doivent toujours être envisagés depuis la conception jusqu’à l’exploitation et l’amélioration comme un tout.

5 – Progresser de façon itérative

Il faut résister à la tentation, souvent forte, de vouloir tout faire en même temps. Toujours découper le travail en « tranches » faciles à gérer et délivrant chacune un bénéfice mesurable sur lequel on pourra capitaliser pour conserver l’élan afin d’entamer la tranche suivante. Ce sont les petits cours d’eau qui créent les grands fleuves…

6 – Observer directement

Toujours baser ses décisions sur des informations vraies, pertinentes et incontestables. A chaque fois que c’est possible, toujours remonter à la source de l’activité et observer directement, en personne.

7 – Faire preuve de transparence

Toujours être clair et honnête sur ce qui se passe vraiment et pourquoi, dans le déroulement du projet de telle sorte que les rumeurs et bruits de couloir ne puissent pas miner la confiance des personnes concernées et que la vérité soit toujours clairement établie de telle sorte que chacun puisse toujours s’exprimer sereinement sur des bases claires et incontestables.

8 – Favoriser un approche collaborative

Toujours travailler ensemble de façon créative avec les personnes concernées par le projet dans la direction validée. Le partage des efforts et de l’engagement permettra ensuite de partager les résultats et les bénéfices.

9 – Garder les choses aussi simples que possible

Ne faire que ce qui est indispensable pour atteindre l’objectif fixé et toujours éliminer ce qui ne contribue pas directement à la création du bénéfice attendu et qui constitue, de fait, du gaspillage.

A qui s’adresse la certification ITIL Practitioner?

Cette certification, comme vous l’aurez certainement compris, s’adresse directement aux personnes impliquées dans un projet d’implémentation ou d’amélioration des services et processus IT en Entreprise, mais aussi, et de façon primordiale, aux consultants accompagnant ce type de projets chez leurs clients.

Cette certification se situe, dans le nouveau parcours de certification, au niveau immédiatement au dessus de la certification ITIL Foundation. Pourtant, il apparaît clairement que les professionnels qui en tireront le plus grand profit sont avant tout les certifiés ITIL Expert, car elle leur apportera le côté pratique qui leur manquait jusque là. Très sincèrement, après avoir passé (et réussi) cette certification, et malgré les nombreux projets de ce type que j’ai eu la chance de mener dans des Entreprises de toutes tailles et dans des régions du monde différentes, j’ai trouvé cet examen d’un niveau de difficulté tel que j’imagine que peu de candidats sans expérience et possédant seulement la certification ITIL Foundation seront capables de le réussir, surtout après une formation de deux jours.

Alors, ITIL Practitioner, UTILE ou pas?

Oui, bien sûr, ITIL Practitioner est une certification très utile pour tous les consultants, même s’ils risquent de « tomber de haut » à la lecture de leurs résultats à l’examen. Je la préconiserais plutôt à des consultants expérimentés qui y trouveront des réponses à des challenges qu’ils auront dû gérer de façon empirique dans le cadre de leurs missions. A mon sens, compte tenu du format de la formation qui tient sur deux journées, examen inclus, il est nécessaire que les participants aient déjà consacré un temps important à la lecture et à la compréhension du manuel ITIL Practitioner Guidance (Ed. TSO) qui doit impérativement faire partie du package pédagogique remis par votre organisme de formation accrédité (ATO), au minimum 3 semaines avant la session. La formation elle-même portera alors d’avantage sur les retours d’expériences délivrés par le formateur, sur un échange des bonnes pratiques et une bonne compréhension des compétences à mettre en oeuvre et, bien sûr, sur la préparation à l’examen.

Comment se former et se certifier ITIL Practitioner?

Aujourd’hui quelques ATOs proposent d’ores et déjà cette formation à leur catalogue, dont AB Consulting. Vous pouvez également vous auto-former en vous référant au manuel ITIL Practitioner Guidance (Ed. TSO). La meilleure approche consiste indéniablement à approfondir le manuel dans un premier temps avant de suivre la formation ITIL Practitioner auprès d’un ATO (Accredited Training Organization) d’AXELOS qui saura vous apporter les retours d’expérience indispensables à la réussite de cet examen assez difficile.

Pour en savoir plus

A l’occasion du lancement de la certification ITIL Practitioner, AXELOS organise le 25 Février 2016, une conférence internationale au travers de 6 webinaires gratuits accessibles en ligne, directement depuis votre poste de travail. AB Consulting, partenaire d’AXELOS sur cette initiative, vous invite à découvrir en exclusivité cette nouvelle certification avec la participation de l’équipe qui est à l’origine de cette initiative. Pour vous inscrire, cliquez simplement sur l’image ci-dessous:

ITIL Practitioner - Conférences gratuites

 

Si vous avez aimé ou détesté cet article et si vous souhaitez nous apporter vos commentaires, merci d’utiliser le formulaire de contact suivant :

ITIL Foundation – Guide de survie

Au moment où la nouvelle certification ITIL Practitioner d’AXELOS arrive sur le marché, nous nous sommes posé la question de son utilité alors que le cursus ITIL est déjà bien fourni et que la grande majorité des informaticiens se contentent de la formation et de la certification ITIL Foundation. Essayons d’y voir plus clair sur un cursus de certification hérité du passé.

ITIL Foundation - Point de départ des qualifications AXELOS

ITIL Foundation, point de départ de votre parcours

La certification ITIL Foundation est devenue le point d’accès incontournable au monde de la gestion des services IT (ITSM) depuis maintenant une quinzaine d’années. Le cursus de formation, imaginé par APMG en 2007, lors du lancement de la version 3 d’ITIL, n’a guère évolué depuis cette date, soit depuis près de dix ans. Est-il efficace? De mon point vue, le constat en terme d’efficacité est assez mitigé en dépit d’un succès commercial incontestable.

Revenons sur les différents niveaux de certification définis dans ce cursus.

ITIL Foundation – Le point de départ

La formation ITIL Foundation couvre les fondamentaux de la gestion des services IT selon l’ITIL et présente le contenu des 5 publications centrales ITIL (Stratégie des Services, Conception des Services, Transition des Services, Exploitation des Services et Amélioration Continue des Services) soit pas moins de 2000 pages de documentation. Son objectif est clairement défini dans le syllabus officiel comme l’apprentissage du vocabulaire et des concepts de gestion des services IT pour des personnes participant à la fourniture des services informatiques au sein d’une organisation.

Le cours délivré traditionnellement en trois jours (examen de certification inclus!!) est donc extrêmement dense et est fortement axé sur les processus et les fonctions. Cela se traduit généralement par un « bourrage de crâne » des participants qui, souvent, sont des techniciens sans grande culture du service desquels on attend de transformer largement leur vision de la façon dont ils contribuent à la création de valeur de leur Entreprise pour ses parties prenantes. Compte tenu de la densité du contenu à assimiler et du temps forcément limité qui leur est octroyé, il ne leur est clairement pas possible de prendre le recul nécessaire en aussi peu de temps, alors même que la session est sanctionnée par un examen de certification composé de 40 questions multi-choix censées tester leur connaissance et leur compréhension des concepts et du vocabulaire, totalement nouveaux pour eux le plus souvent.

Inutile de dire que lors de leur retour au sein de leur Entreprise, auréolés de leur nouvelle certification et arborant fièrement le pin’s « ITIL Foundation », ils sont totalement incapables de mettre en oeuvre l’ébauche du début du plus simple des concepts qui leur ont été présentés de façon extrêmement succinte durant ces trois jours de formation. Le résultat est souvent catastrophique, allant de l’implémentation de pratiques incomprises, pour de mauvaises raisons, jusqu’à l’impossibilité d’appliquer le moindre début d’amélioration dans la façon de travailler à cause de la résistance au changement des personnels qui ne comprennent pas pourquoi on devrait changer la manière dont on travaille (on a toujours fait comme ça et ça ne marche pas si mal…) et pourquoi ils devraient sortir de leur zone de confort uniquement à cause de pratiques décrites de façon théorique dans des livres dont on n’a même pas daigné faire l’acquisition et dont la plupart de sont pas traduits en Français ou si mal traduits qu’ils en sont incompréhensibles.

Pour remédier à cela, on va faire appel à un consultant qui, lui ,sera un véritable « gourou » des bonnes pratiques comme l’atteste sa certification ITIL Expert et qui sera responsable d’accompagner le changement attendu… Un Expert ITIL, cela devrait pouvoir nous aider à réussir notre projet d’amélioration… Comme son titre l’atteste, c’est un Expert. Ce n’est pas comme un certifié ITIL Foundation…

ITIL Expert? C’est quoi?

Pour répondre de façon pragmatique à cette question, disons qu’un Expert ITIL c’est quelqu’un qui a obtenu au minimum 22 crédits grâce aux certifications ITIL obtenues, se décomposant comme suit :

  • 2 crédits grâce à la certification Foundation (point d’entrée obligatoire),
  • au minimum 15 Crédits grâce aux certifications Intermediates
  • puis, enfin, lorsque le total de 17 crédits minimum est atteint, 5 crédits grâce à la certification MALC (Managing Across Life Cycle).

Le niveau « intermediate » s’adresse aux personnes déjà titulaires de la certification ITIL Foundation (la copie du certificat doit être fournie lors de l’inscription). Il se décompose en deux filières aux objectifs très différents.

ITIL Intermediate Lifecycle Modules

La filière ITIL Intermediate Lifecycle se compose de cinq modules correspondant chacun à l’une des publications principales d’ITIL et se terminant par un examen sous forme de QCM complexe basé sur un scénario.

Chaque module, suivi impérativement au sein d’un organisme de formation accrédité par AXELOS (ATO), prolonge la formation ITIL Foundation par l’étude approfondie des 400 à 500 pages de la publication à laquelle il se rapporte. Ainsi durant 3 jours, les participants vont étudier le détail des préconisations correspondant à une étape du cycle de vie des services. Ces formations s’adressent tout particulièrement à des managers chargés plus spécialement de travailler sur l’organisation de leurs équipes. Elles ne sont pas adaptées aux besoins des techniciens qui doivent répondre à des problématiques opérationnelles quotidiennes. En tout état de cause la réussite des certifications correspondantes ne garantissent en aucun cas la compétence des personnes pour tenir un rôle dans le cadre de l’implémentation d’une initiative d’amélioration. La connaissance acquise restera au final trop théorique pour être mise en pratique.

La réussite des 5 certifications ITIL Intermediate Lifecycle permettra à un candidat d’obtenir 15 crédits au niveau intermediate, soit le minimum requis pour pouvoir suivre la formation et passer la certification MALC.

ITIL Intermediate Capability Modules

La filière ITIL Intermediate Capability se décompose en quatre modules correspondant chacun à un type de compétence opérationnelle en gestion des services. Chaque session doit être suivie dans un organisme de formation accrédité par AXELOS (ATO) et se termine par un examen se présentant sous la forme d’un QCM complexe basé sur un scénario. Les quatre modules de la filière Capability sont :

Chaque module, suivi impérativement auprès d’un organisme de formation accrédité par AXELOS (ATO) approfondit les connaissances acquises dans le cadre de la préparation de la certification ITIL Foundation et se focalise sur la pratique opérationnelle dans chacun des 4 domaines correspondants. Ainsi, par exemple, OSA s’adresse tout particulièrement aux personnes en charge de la gestion des incidents, du service desk et de la gestion des problèmes qui, au gré des études de cas proposées par leur ATO, apprendront les bonnes pratiques « en situation ». Il est clair que chacun de modules s’adresse à des catégories différentes de personnels au sein des équipes IT. Par contre aucun de ces modules ne porte sur l’implémentation de ces bonnes pratiques dans une organisation existante.

La réussite de 4 certifications ITIL Intermediate Capability permettra au candidat d’obtenir 16 crédits au niveau intermediate, soit le minimum requis pour pouvoir suivre la formation MALC et passer la certification.

ITIL MALC – Le passeport vers le certificat ITIL Expert

A lumière de ce que nous avons pu voir, la réussite à toutes les certifications d’une filière ne présente donc pas vraiment de valeur ajoutée immédiate pour les parties prenantes de l’organisation qui emploie la personne concernée. De plus, les filières s’excluant mutuellement, il n’est pas vraiment possible de « mixer » les certifications LifeCycle et Capability. Aussi, on trouvera très peu de membres d’une équipe IT interne à une Entreprise qui se certifieront sur la totalité d’une filière pour pouvoir prétendre ensuite à la certification ITIL Expert. Les candidats qui vont poursuivre le parcours avec le MALC seront le plus souvent des consultants qui espèrent tirer parti, souvent au niveau financier, de leur certification Expert.

Managing Across Lifecycle (MALC) est un module de 5 jours (rapportant 5 crédits) permettant de « relier » les modules du niveau intermediate pour gérer les services IT tout au long de leur cycle de vie. Mais dans la vraie vie, qui a la charge de gérer les services tout au long de leur cycle de vie? Seul le DSI semble concerné… En tout cas, pas un consultant qui va intervenir en Entreprise dans le cadre d’une mission au périmètre limité et sur une durée relativement courte…

Ces certifications, aussi difficiles et prestigieuses soient-elles dans l’esprit des candidats, n’apportent absolument aucune compétence en matière d’implémentation ou d’amélioration des pratiques (bonnes ou moins bonnes) en matière des gestion des services. Elle ne donnent absolument aucune piste sur la façon de mener un programme d’amélioration des services, sur la communication à mettre en oeuvre pour assurer la réussite de ce programme et, encore moins, sur la façon de gérer le changement et d’accompagner la transformation culturelle et organisationnelle.

Alors que penser de notre consultant Expert qui va venir nous accompagner sur notre projet d’implémentation? Sauf s’il a une grande expérience de ce type de projets – qu’il convient de vérifier avant de lui faire appel – et des compétences et aptitudes complémentaires, il ne nous aidera sûrement pas à créer la valeur attendue par le top management de l’Entreprise grâce à l’utilisation efficace et efficiente de ses actifs informatiques.

ITIL Master? Ca sert à quoi?

ITIL Master a pour vocation de certifier votre aptitude à appliquer les principes, les méthodes et les techniques décrites dans la documentation ITIL dans le monde réel. Dans le principe, la certification ITIL Master serait celle qui correspondrait le mieux au besoin d’un consultant. Hélas, elle est tellement difficile à obtenir et son audience est tellement limitée qu’il n’y a guère plus de quelques dizaines de personnes certifiées dans le monde et très sincèrement, elle est totalement méconnue des Entreprises. Pour pouvoir prétendre passer cette certification, vous devez au préalable être certifié ITIL Expert et justifier de plus de 5 ans d’expérience dans la gestion des services IT à un niveau de direction, de management ou dans un poste de haut niveau de management dans le conseil. Alors seulement vous pouvez déposer votre candidature. Le processus de certification dure environ 30 semaines, soit environ 7 mois!! Donc, la réponse brutale à la question « ça sert à quoi? » serait que cette certification, telle qu’elle existe aujourd’hui ne sert à rien d’un point de vue pratique.

La pratique d’ITIL: le chaînon manquant

Il apparaît clairement que ce qui manque dans ce long et pénible parcours de certification, c’est l’aspect pratique lié à la mise en oeuvre de l’amélioration continue des services pour aider l’Entreprise à créer plus de valeur ajoutée pour ses parties prenantes en s’appuyant sur des services informatiques toujours plus efficaces et efficients.

Pour remédier à ce manque, AXELOS vient d’annoncer une nouvelle formation et certification ITIL Practitioner, qui complète la certification ITIL Foundation et que nous présenterons dans la deuxième partie de cette étude au travers d’un prochain post.

Pour commenter cet article et nous donner votre avis, merci d’utiliser le formulaire de contact suivant :

Implémentation d’ITIL: bien commencer

Implémentation d'ITIL - Raisons d'échecL’implémentation d’ITIL dans votre organisation n’est pas une partie de plaisir. Lorsque vous envisagez de mettre ITIL en œuvre, les premières questions qui vont inéluctablement se poser seront où commencer? Comment dois-je commencer? Qu’est-ce que je cherche à atteindre? Quelles informations me sont nécessaires pour y arriver, quelles personnes dois-je impliquer, et que doit produire ce projet?

Si vous ne disposez pas des réponses complètes à vos questions, votre implémentation d’ITIL va inéluctablement échouer. Nous allons dans cette série d’articles essayer d’identifier les causes d’échecs et vous donner quelques conseils pour pouvoir les éviter.

Implémentation d’ITIL, ça veut dire quoi?

Tout d’abord il est important de souligner qu’on n’implémente pas ITIL®. ITIL® est un référentiel de bonnes pratiques de gestion des services informatiques, publié par AXELOS®, basé, dans sa version 2011, sur les 5 étapes du cycle de vie des services, et couvrant 25 processus et 4 fonctions. Il est totalement impensable, même pour une très grande Entreprise, de tenter d’implémenter la totalité des bonnes pratiques décrites dans les cinq publications de base d’AXELOS®. De plus cela ne ferait absolument aucun sens. L’objectif est de décider, en accord avec les orientations portées par le Conseil d’Administration de l’Organisation et traduites en stratégies par le Comité de Direction, qu’est-ce qui pourrait, parmi les 25 processus et les 4 fonctions décrits dans ITIL®, améliorer le soutien de l’informatique au Business et lui permettre d’atteindre plus facilement les objectifs fixés par les stratégies de l’Entreprise. L’informatique a un rôle de « facilitateur » mais elle ne crée pas de valeur directe pour les parties-prenantes. Ca c’est le rôle des métiers de l’Entreprise.

Prenons le cas, par exemple, d’une banque. Tous les services bancaires s’appuient sur l’informatique qui est un élément clé du fonctionnement quotidien de la banque. Lorsque l’informatique s’arrête, la banque est dans l’impossibilité totale de délivrer ses services à ses clients. Cependant l’informatique ne crée aucune valeur directe pour la banque. L’informatique PERMET aux directions métiers de la banque d’élaborer des services financiers qui seront ensuite vendus aux clients de la banque et créeront de la valeur pour les parties-prenantes. Les véritables créateurs de valeurs sont les directions métiers qui vont « embarquer » des services informatiques dans les services qu’elles vendent et délivrent à leurs clients. Il est donc important que le département informatique soit en permanence aligné avec les besoins des directions métiers et en même temps suffisamment flexible pour leur permettre, dans un environnement extrêmement concurrentiel de créer de nouveaux services financiers afin de rester leaders sur leur marché en fonction des attentes nouvelles des clients.

Donc on implémente seulement des processus et des fonctions les plus indispensables pour permettre à l’Entreprise de créer de la valeur, c’est à dire ce qui est strictement nécessaire dans le cadre des stratégies de l’Entreprise. La décision relève donc des mêmes personnes en charge de valider les stratégies de l’Entreprise et « comptables » (Accountable) des ressources notamment humaines et financières de l’Organisation devant les parties-prenantes. C’est à dire que la décision se prend au niveau du Conseil d’Administration. Ce ne doit jamais être une décision prise par le DSI, ce qui conduirait inévitablement le projet à l’échec après avoir dépensé en pure perte beaucoup de temps, d’argent et gaspillé les ressources humaines disponibles au détriment d’autres projets plus importants. C’est la raison pour laquelle il est important de mettre en place une Gouvernance du SI et d’établir une stratégie informatique claire et validée.

Pour les processus et les fonctions, dans la mesure où il existe des bonnes pratiques reconnues de façon universelle pour la fourniture des services informatiques, on pourra bien sûr s’appuyer utilement sur ITIL®. Seul bémol, les processus et les fonctions ne suffiront pas. Il va également falloir travailler sur les ressources humaines et notamment leurs compétences techniques, bien sûr, mais, plus important encore, leur aptitude à adopter un comportement adéquat basé sur l’éthique de l’Organisation et la création d’une véritable culture du service. Et cela ne fait pas partie directement du périmètre d’ITIL® version 2011 même si les changements culturels et organisationnels sont effleurés dans la publication sur la transition des services.

Où commencer?

La première étape consiste à commencer par faire le constat d’un besoin de mise en oeuvre ou d’amélioration de la fourniture des services informatiques aux métiers de l’Entreprise et à obtenir le consentement à une telle initiative. Il faut cerner les points sensibles et les déclencheurs actuels, et créer un véritable désir de changement au sein de la haute direction.

Il est important de ne pas se focaliser uniquement sur comment on va s’y prendre mais de bien définir ce qui doit être fait pour soutenir les stratégies de l’Entreprise. Ce qui doit être fait doit entrer dans un cadre d’amélioration continue de l’Organisation en vue de créer davantage de valeur en alignement avec les stratégies de l’Entreprise et s’appuyer sur des points sensibles (« là où ça fait mal ») pour le business ou bien des déclencheurs tels que le remplacement de membres du Comité de Direction ou bien le résultat d’un audit externe ou bien encore un changement important sur notre marché ou une nouvelle exigence légale ou réglementaire à laquelle on ne pourra pas échapper. Les points sensibles sont des points de douleur ressentis par l’Entreprise vis à vis de son département informatique tels que par exemple l’incapacité de l’informatique à répondre favorablement à des demandes de nouveaux services IT correspondant à un besoin marché ou bien la perception par le business que la qualité des services IT qui lui sont livrés ne sont pas en adéquation avec ses besoins et sont finalement beaucoup trop chers comparativement à la valeur qu’ils permettent de créer.

Dans tous les cas il va falloir sensibiliser le top-management sur ces aspects pour arriver à transformer le besoin d’agir, dont tout le monde est bien conscient au niveau de l’Entreprise, en désir de changement en vue d’obtenir un sponsoring par au moins un des membres du Comité de Direction pour pouvoir lancer un pré-projet. Nous appellerons cette phase incontournable la « facilitation du changement ». C’est seulement lorsque vous aurez un sponsor pour ce projet que vous pourrez le démarrer, et cela commencera toujours par l’élaboration d’une ébauche de business case. Il s’agit d’un projet comme n’importe quel autre et il devra être géré comme tel, en s’appuyant sur une méthodologie de projet, comme par exemple PRINCE2®.

L’étape suivante se concentre sur la définition de la portée de l’initiative de mise en oeuvre ou d’amélioration et la mise en correspondance des objectifs de l’entreprise, des objectifs liés à l’informatique et des processus IT connexes, et en tenant compte des scénarios de risque qui pourraient également mettre en évidence des processus clés à cibler. Pour réaliser cela, on pourra utiliser par exemple la cascade d’objectifs décrite par COBIT® 5 et expliquée dans notre article sur la stratégie informatique.

Des diagnostics de haut niveau seront également utiles pour cerner la portée du projet et comprendre les domaines à prioriser. Une évaluation de l’état actuel doit ensuite être effectuée, de même qu’une évaluation de l’aptitude des processus existant pour cerner les problèmes ou lacunes. Les initiatives à grande échelle doivent être structurées sous forme d’itérations multiples du cycle de vie ne dépassant pas chacune une durée de six mois maximum. En effet, pour toute initiative de mise en oeuvre s’échelonnant sur plus de six mois, il existe un risque d’essoufflement, de perte de concentration et de démotivation des parties prenantes qui risque fort de conduire votre projet à l’échec.

Notre prochain article traitera des points suivants :

  1. Comment s’y prendre?
  2. De quoi ai-je besoin pour réussir une telle initiative?

Pour plus d’informations ou pour vous inscrire à notre newsletter, merci de compléter le formulaire de contact :

COBIT® is a trademark of ISACA® registered in the United States and other countries.
ITIL® is a registered trade mark of AXELOS Limited.
PRINCE2® is a registered trade mark of AXELOS Limited.

Jugez-vous votre organisation IT efficace?

Votre organisation IT est-elle efficace? Comment pouvez-vous évaluer son efficacité? Vos clients Business ont-ils la même perception que vous?

organisation IT efficace

 

L’évaluation de l’efficacité, tout comme celle de la qualité, peut être très subjective. Dans de nombreux cas, l’efficacité est évaluée par rapport au denier service que vous avez mis en production ou au travers d’un projet que votre organisation livré. En outre, on accordera beaucoup plus de poids à des résultats décevants qu’à des résultats positifs. C’est naturel n’est-ce pas ? Dans un monde idéal, vos services informatiques devraient fonctionner de façon optimale. Nous avons donc besoin de définir des caractéristiques objectives de l’efficacité des organisations informatiques avant de pouvoir travailler à les améliorer.

Commençons par définir la mission de l’informatique « fournir la capacité de traitement de l’information requise par le business à un coût qui représente une valeur« . Beaucoup d’entre vous sont en train de lire cette définition en se disant qu’elle est très floue. En effet, les besoins de l’entreprise évoluent en permanence et il en va de même de la perception de la valeur. L’efficacité ne peut être évaluée que par rapport aux attentes attentes actuelles, aux objectifs de niveau de service définis et aux ressources disponibles. Pour cette raison, l’une des caractéristiques les plus importantes d’une organisation informatique efficace est sa capacité à répondre rapidement à l’évolution des besoins du business.

Pour être considérées comme efficaces, les organisations IT devront satisfaire les contraintes suivantes :

Flexibilité

L’IT fournit des services à la demande (résolution de problème et assistance) ainsi que des services planifiés (amélioration et projets). Les problèmes à priorité élevée, les demandes toujours urgentes, et l’évolution des besoins de l’entreprise vont perturber les dates cibles d’achèvement, le périmètre planifié et l’effort estimé. Les organisations efficaces doivent trouver un juste équilibre entre la variabilité des demandes, l’évolution permanente des priorités, et les changements dans les besoins. Afin d’obtenir cette flexibilité, les entreprises doivent gérer les demandes, les horaires, les priorités, le périmètre / les exigences, la mise à disposition et les compétences du personnel afin d’optimiser les résultats et de minimiser les impacts.

Adaptabilité

Les organisations informatiques doivent répondre aux évolutions nécessaires dans les types de services fournis, elles doivent intégrer et soutenir les nouvelles technologies, et elles doivent adapter aux changements organisationnels de l’entreprise et de l’informatique. Afin de s’adapter, l’informatique doit redéfinir ses rôles, transformer ses processus de planification et de livraison, et investir fortement dans la formation (notamment les bonnes pratiques telles que ITIL, COBIT ou encore Lean IT).

Prévisibilité

Des résultats reproductibles ne peuvent être atteints que par l’exécution de processus normalisés et par un engagement vis à vis de la qualité qui évite l’héroïsme et les solutions sur mesure.

Efficience

Chacune de ces caractéristiques est en conflit avec les autres. Une approche équilibrée est donc nécessaire. L’efficacité est généralement sacrifiée pour améliorer la flexibilité. L’efficacité peut être améliorée grâce à la documentation des connaissances, à la formation croisée, à l’utilisation des processus standardisés, d’outils de gestion, et en limitant la variété des environnements techniques.

Fiabilité

La fiabilité fait référence aux applications, à l’infrastructure et aux personnes qui délivrent les services. Les moyens de traitement (infrastructures, réseaux, applications) doivent être fiables, mais le personnel doit aussi faire preuve de fiabilité dans la livraison de services IT. Cela impose donc de définir des critères d’acceptation, d’effectuer des revues de qualité, des tests, et de nombreuses autres activités qui assureront la cohérence de la fourniture de services et des moyens de traitement mis en oeuvre.

Innovation

Le business ne comprend pas les limites de la capacité et de la technologie disponibles. L’IT est dans la position idéale pour recommander des stratégies au business plutôt que d’attendre que ce soit l’entreprise qui définisse elle-même ses stratégies. Sur un plan plus tactique, l’IT devrait être à la recherche de solutions visant à réduire les problèmes et améliorer les processus de telle sorte qu’ils s’alignent avec les autres caractéristiques.

Pro-activité

L’informatique doit être capable d’anticiper les besoins ou les incidents et de prendre des mesures pour se préparer à des pointes d’activité ou pour éviter les problèmes. Grâce à la compréhension des besoins business et des capacités existantes, et en effectuant le suivi des changements, l’IT peut anticiper et manager de façon pro-active. Cela nécessitera des processus reproductibles, des métriques et des mesures, et aussi une communication renforcée avec le business.

Alors, quelle stratégie adopter pour une IT efficace?

équipe IT efficace

Ces contraintes peuvent parfois se contredire entre elles et entraîner du gaspillage. La rigueur nécessaire du processus qui nous rend prévisible peut aussi entraver notre efficacité. Afin d’équilibrer les contraintes, l’IT doit affiner son rôle et sa culture. En plus d’exploiter et de soutenir la capacité de traitement existante, l’IT doit reconnaître que les besoins de l’entreprise évoluent en permanence et qu’une organisation efficace doit être en mesure de répondre à ces changements. Afin d’offrir de la valeur, les organisations informatiques doivent assurer les caractéristiques d’efficacité qui ont été décrites plus haut. Cela nécessitera de gérer l’organisation informatique comme une entité business indépendante qui est responsable de ses coûts et de ses revenus, et elle devra faire la preuve de sa valeur à ses clients sur une base quotidienne.

Le succès ne se mesure pas sur le respect ou le dépassement des attentes. Les attentes peuvent être impossible à satisfaire (compte tenu notamment des ressources disponibles) ou déraisonnables. Le succès se mesure par la gestion des attentes, la prise d’engagements et l’atteinte ou le dépassement des engagements. L’IT doit faire montre de leadership et pas simplement attendre que le business décide du parti qu’il peut tirer de la technologie. Lorsque l’IT démontre sa valeur, elle peut de nouveau être considérée comme un investissement et non pas simplement comme un coût destiné à être réduit ou éliminé.

Pour plus d’informations ou pour vous abonner à notre newsletter, merci de remplir le formulaire de contact:

 

Cyber-sécurité: une demande forte pour un profil rare

 

L’actuelle pénurie de professionnels qualifiés en cyber-sécurité continue de constituer un problème majeur pour toutes les industries aux Etats-Unis, en Europe, mais aussi dans le reste du monde.

professionnel en cyber-sécurité

James Trainor, directeur adjoint par intérim de la Division Cyber du FBI, a récemment déclaré que l’industrie de la cyber-sécurité doit absolument « doubler ou tripler » ses effectifs pour être en mesure de répondre à l’augmentation des violations en matière des sécurité des informations.

Selon le Rapport 2015 sur la situation mondiale en matière de cyber-sécurité publié en Janvier par l’ISACA, 86% des entreprises et des professionnels de l’informatique sont conscients de la pénurie de professionnels de la cyber-sécurité et 37% prévoient d’embaucher de nouveaux spécialistes de la cyber-sécurité en 2015. 53% des entreprises interrogées prévoient également d’accroître, en 2015, la sensibilisation de leurs équipes grâce à des formations de sensibilisation, à la lumière des évènements récents publiés dans les médias.

Il n’y a jamais eu de meilleur moment pour entrer sur ce marché en plein essor. Voici quelques raisons de plus à considérer pour le développement de votre carrière.

Vous serez sans aucun doute la cible de chasseurs de têtes.

Le Bureau of Labor Statistics (BLS) a constaté qu’il y a actuellement « plus de 209.000 offres d’emplois non pourvues en matière de cyber-sécurité aux Etats-Unis, et les recrutements sont en hausse de 74 pour cent au cours des cinq dernières années ». En France, le nombre de postes non pourvus par manque de candidats est certes moins impressionnant mais d’ores et déjà, on en compte plus d’un millier depuis le début 2015.

Le BLS estime également que le marché de l’emploi pour les analystes de la sécurité de l’information – qui comprend les professionnels de la cyber-sécurité – va croître de 37% d’ici 2022.

Le rapport de sécurité annuel 2014 de Cisco estime, pour sa part, qu’il y a une pénurie mondiale d’un million de professionnels de la sécurité de l’information.

Les salaires sont élevés

Comme la concurrence pour le personnel qualifié augmente, les salaires sont inévitablement à la hausse pour attirer les meilleurs candidats – souvent bien au-delà des niveaux que les entreprises les plus petites peuvent se permettre – provoquant des taux anormalement élevés de turn-over et l’instabilité du secteur.

salaire cyber-sécuritéAux Etats Unis, les salaires annuels des professionnels de la sécurité dans les technologies de l’information vont de 60.000 $ à 70.000 $ pour les emplois de premier échelon. Le BLS estime le salaire médian à 86.170 $. Les 10 pour cent ayant les plus bas salaires ont gagné moins de 49.960 $, le top 10 pour cent a pour sa part gagné plus de 135.600 $ en moyenne l’an dernier. En France, les revenus moyens en début de carrière sont généralement de l’ordre de 35 à 40 k€ annuels, peuvent atteindre plus de 80 k€ pour un consultant senior.

James Stanger, Senior Director du groupe produits pour CompTIA (un des leaders mondiaux en matière de certifications dans le domaine IT), a déclaré :« le truc pour être un professionnel compétitif en sécurité, c’est d’avoir un diplôme d’études supérieures, une certification en cyber-sécurité, et de l’expérience».

« J’ai vu des gens possédant seulement une certification mais pas de diplôme d’enseignement supérieur s’en sortir parfaitement, bien que n’ayant pas encore d’expertise professionnelle. Mais, en général, vous avez besoin des trois », a déclaré Stanger.

Vous aurez un emploi à vie. Aussi longtemps que l’Internet sera présent dans nos vies professionnelles et personnelles, vous serez incontournable.

Les cyber-menaces se multiplient en permanence, notre dépendance à l’Internet continue d’augmenter chaque jour, et, comme l’internet des objets décolle, le nombre d’appareils connectés à l’Internet explose (automobiles, appareils électro-ménagers, puces d’identification RFID dans les cartes et badges, contrôle à distance des équipements domotique…). Il va donc de soi que le nombre d’emplois en cyber-sécurité continuera d’augmenter de façon de plus en plus rapide.

La pénurie va continuer et même augmenter

La plupart des organisations qui ont été la cible d’attaques de sécurité ces dernières années ont perdu des informations extrêmement sensibles. Même si ces informations perdues ne mettent pas nécessairement les personnes et les biens (incluant les aspects financiers) en péril direct, cela conduit le plus souvent à des dommages irréversibles en termes d’image et de réputation de l’Entreprise victime. Les clients et prospects perdent toute confiance dans une organisation qui n’est pas capable de conserver leurs informations confidentielles et sécurisées. Le nombre de procès intentés au Organisations concernées par les personnes auxquelles les données volées ou perdues appartenaient augmente de façon spectaculaire. La conséquence est que pour éviter ces impacts majeurs, beaucoup d’Entreprises victimes de cyber-attaques ne communiquent pas sur ces incidents.

Cela a conduit, sous la pression des clients et utilisateurs de la société de l’information, les organismes internationaux de régulation ainsi que les états à adopter des lois et réglementations très sévères à l’image du Royaume Uni où la législation prévoit une amende infligée par l’ICO (Information Commissioner’s Office) allant jusqu’à 100.000 £ pour toute violation de données. De son côté, la Communauté Européenne, au travers de la Directive Européenne de Protection des Données, prévoit d’imposer désormais aux Entreprises de communiquer publiquement sur les vols de données dont elles auraient été victimes. Cette nouvelle directive prévoit aussi des amendes allant jusqu’à 100 millions d’Euros ou 5% du chiffre d’affaires pour les Organisations qui ne respecteraient pas la législation en la matière.

Cette directive devrait entrer en vigueur fin 2015. Il est clair que les conséquences vont être importantes au niveau des Entreprises Européennes qui vont être contraintes d’appliquer la directive et donc recruter plus de spécialistes en matière de cyber-sécurité et de cyber-résilience.

Une qualification en cyber-sécurité et/ou en cyber-résilience pour démarrer votre carrière

Il existe actuellement plusieurs qualifications disponibles pour les candidats potentiels à des postes en cyber-sécurité et en cyber-résilience.

ISO 27001 : La norme internationale

iso 27001En 2005, la première norme en matière de cyber-sécurité à la fois globale, exhaustive et par dessus tout internationale voyait le jour : ISO 27001. Aujourd’hui il s’agit de la norme de certification des systèmes de management de la sécurité des informations la plus implémentée dans le monde. La certification ISO 27001 devient même une exigence de conformité réglementaire pour certains types d’Entreprises dans des pays importants dans le monde.

En obtenant une qualification ISO 27001 vous démontrez à vos employeurs actuels et futurs que vous prenez au sérieux la sécurité des informations et que vous êtes familier avec les meilleures pratiques en cyber-sécurité.

Il y a trois qualifications principales disponibles:

Novice sur la norme ISO 27001? Suivez le cours de 3 jours ISO 27001 Foundation et développez votre compréhension de la norme et de ses exigences.

Impliqué(e) dans la mise en œuvre de la norme ISO 27001? Suivez le cours ISO 27001 Practitioner pour comprendre pleinement comment planifier, mettre en œuvre et maintenir un ISMS conforme aux exigences d’ISO 27001.

Vous devez réaliser des audits ISO 27001? Suivez le cours ISO 27001 Auditor vous permettant d’obtenir la qualification nécessaire pour planifier et exécuter des audits de conformité de systèmes de management de la sécurité de l’information (ISMS) à ISO 27001.

RESILIA: les bonnes pratiques en cyber-résilience

cyber-résilience résiliaUn nouveau référentiel de bonnes pratiques couvrant l’ensemble du domaine de la cyber-résilience vient de voir le jour au Royaume Uni. Il s’agit de RESILIA, publié par AXELOS®, l’Organisation possédant la propriété intellectuelle de l’ensemble du portefeuille des bonnes pratiques du domaine public britannique incluant en particulier ITIL® et PRINCE2® . La cyber-résilience intègre la cyber-sécurité mais son périmètre est plus large et couvre notamment les aspects de récupération de son aptitude à créer de la valeur par l’Entreprise après avoir subi une cyber-attaque. RESILIA complémente de façon très efficace ITIL® en intégrant les éléments relatifs à la cyber résilience aux cinq phases du cycle de vie des services (stratégie, conception, transition, exploitation et amélioration continue).

Pour l’heure trois cours et deux qualifications RESILIA sont disponibles :

RESILIA Awareness : cours d’une journée destiné aux membres des comités de direction et à l’ensemble du personnel métier des Entreprises afin de les sensibiliser sur les risques, les moyens de s’en protéger et sur la manière de réagir en cas de cyber-attaque afin de permettre à l’Entreprise de minimiser les impacts sur son image, sa réputation et bien sûr sur son activité opérationnelle. Ce cours ne conduit pas à une certification.

RESILIA Foundation : cours de trois jours couvrant les principes fondamentaux et les cinq phases du cycle de vie, destiné à l’ensemble du personnel informatique et des membres des équipes métiers, aboutissant à la certification RESILIA Foundation.

RESILIA Practitioner : cours de deux jours, couvrant les aspects de pratique au quotidien des activité de cyber résilience. A l’issue des ces deux journées, un examen de certification RESILIA Practitioner permet aux participants, généralement issus des équipes informatiques et des équipes en charge de gérer la sécurité de l’information d’obtenir la qualification internationale de Praticien RESILIA.

COBIT® 5 : la Gouvernance et le Management de la sécurité

COBIT 5 NIST ImplementationImplementing NIST cybersecurity framework using COBIT 5 : cours de trois jours, focalisé sur l’Implémentation du référentiel de cyber-sécurité du NIST, basé sur les 7 étapes d’implémentation de COBIT® 5 conduisant à la certification Implementing NIST CSF using COBIT® 5

COBIT® 5 Assessor for Security : cours de trois jours, accessible aux titulaires de la qualification COBIT® 5 Foundation, fournissant les bases pour évaluer l’aptitude des processus de cyber-sécurité d’une organisation par rapport au modèle d’évaluation (PAM) de COBIT® 5. Ce cours permet d’obtenir la qualification COBIT® 5 Assessor for Security.

COBIT® 5 for Information Security : ce cours de deux jours s’adresse aux professionnels de la sécurité et offre une couverture globale et pratique de tous les aspects de COBIT® 5 dans le cadre spécifique de la sécurité de l‘information, y compris ses composantes, les facilitateurs et les conseils de mise en œuvre.

L’ISACA lance « COBIT 5 online » afin de combler des lacunes cruciales dans la gouvernance du SI

78 % des personnes interrogées dans le cadre de l’enquête COBIT® indiquent une augmentation de la valeur de la gouvernance du SI

ROLLING MEADOWS, Illinois–L’ISACA a lancé aujourd’hui la version en ligne de COBIT 5, un centre de ressources consolidées et exhaustives afin d’améliorer la gouvernance et la gestion des technologies de l’information (TI) en entreprise. La nouvelle plateforme en ligne contribue à augmenter l’utilité du cadre de référence COBIT 5, un cadre de référence pour entreprises qui permet de gérer le risque technologique et des informations, et de la famille de produits COBIT.

« Mettre COBIT 5 à disposition dans un format en ligne personnalisable étend la capacité des entreprises à protéger leurs actifs en information et à améliorer les performances d’entreprise. »

Le nombre et l’impact d’incidents de cybersécurité et d’atteintes à grande échelle à la sécurité des données continuant de grimper, ils révèlent des lacunes cruciales en gouvernance TI au sein d’entreprises de toutes tailles. Une récente enquête de l’ISACA auprès de 1 245 professionnels de 50 pays ayant téléchargé le cadre de référence COBIT 5 montre que, concernant le paysage commercial et technologique auquel leur entreprise a été confrontée au cours des 12 derniers mois, près de 8 personnes sur 10 (78 %) affirment qu’avoir une gouvernance TI efficace en place est maintenant plus précieux.

« Les cybermenaces qui ont défrayé la chronique ont mis en évidence les risques et les vulnérabilités dans des entreprises du monde entier », a confié Robert E Stroud, CGEIT, CRISC, président international de l’ISACA. « Mettre COBIT 5 à disposition dans un format en ligne personnalisable étend la capacité des entreprises à protéger leurs actifs en information et à améliorer les performances d’entreprise. »

Enquête auprès des utilisateurs de COBIT : Avantages pour l’entreprise

Plus de 70 % des personnes interrogées dans l’enquête ont déclaré que COBIT 5 les avait aidées à régler des problèmes pratiques de l’entreprise. Quand on leur a demandé de classer les quatre principales façons dont COBIT 5 avait aidé leur entreprise, elles ont répondu :

  1. Meilleure intégration entre l’entreprise et les technologies de l’information (TI) (73 %)
  2. Gestion du risque améliorée (60 %)
  3. Capacité améliorée à identifier les lacunes (49 %)
  4. Plus grande visibilité avec le conseil d’administration (45 %)

Nouveaux outils COBIT

La nouvelle version en ligne de COBIT 5 permet aux utilisateurs de personnaliser le planificateur RACI (responsible, accountable, consulted, informed) et l’outil de mise en cascade des objectifs pour leur entreprise ou leurs clients. Le planificateur RACI et d’objectifs facilite l’utilisation de COBIT en aidant les utilisateurs à choisir des objectifs d’entreprise, des objectifs en matière de technologies de l’information et des catalyseurs, en fonction des besoins des parties prenantes. Le planificateur RACI graphique prend en charge la gouvernance et les pratiques de gestion sélectionnées.

Grâce à la version en ligne de COBIT 5, les utilisateurs peuvent aussi :

  • Explorer du contenu actualisé provenant de l’ISACA et de sources externes abordant les questions et les défis les plus importants.
  • Rechercher, filtrer et exporter rapidement et facilement du contenu de publications COBIT 5, telles que COBIT 5, COBIT 5 Implementation, COBIT 5: Enabling Processes et COBIT 5: Enabling Information.
  • Faire des commentaires et poser des questions pour favoriser l’apprentissage et les meilleures pratiques.

Pratiquement tout COBIT en ligne est disponible gratuitement sur cobitonline.isaca.org. L’intégralité des résultats de l’enquête internationale 2014 sur le cadre de référence COBIT en gouvernance est disponible sur www.isaca.org/news.

À propos de l’ISACA

Avec 115 000 membres dans 180 pays, l’ISACA(MD) (www.isaca.org) est une association internationale qui aide les chefs d’entreprise et les responsables TI à renforcer leur confiance dans leurs actifs en information et leurs systèmes d’information et la valeur tirée de ces derniers.

Suivez l’ISACA sur Twitter : https://twitter.com/ISACANews

Le texte du communiqué issu d’une traduction ne doit d’aucune manière être considéré comme officiel. La seule version du communiqué qui fasse foi est celle du communiqué dans sa langue d’origine. La traduction devra toujours être confrontée au texte source, qui fera jurisprudence.

Contacts

ISACA
Kristen Kessinger, +1.847.660.5512
news@isaca.org

 

Catégories

Archives

Calendrier

octobre 2018
L M M J V S D
« Sep    
1234567
891011121314
15161718192021
22232425262728
293031  
%d blogueurs aiment cette page :