Home » Posts tagged 'informatique'

Tag Archives: informatique

ITIL 4 Foundation – Une toute nouvelle certification

A l’heure où AXELOS lance la nouvelle certification ITIL 4 Foundation, regardons si, et en quoi elle est vraiment nouvelle. Non seulement le référentiel de bonnes pratiques d’ITSM d’AXELOS est revu en profondeur, mais les certifications aussi. Exit l’usine à gaz du schéma de formation et de certification d’ITIL v3. L’idée est de mieux coller aux besoins des organisations, aujourd’hui moins orientées sur la technique et les processus. Le syllabus de la certification ITIL 4 Foundation a donc été complètement repensé et c’est un bien.

ITIL 4 Foundation : une toute nouvelle certification
Crédit © rawpixel.com 2019

La certification ITIL 4 Foundation est conçue comme une introduction à ITIL 4. Elle permet aux candidats de comprendre la gestion des services informatiques à travers un modèle opérationnel de bout en bout pour la création, la livraison et l’amélioration continue de produits et de services basés sur la technologie. L’objectif est clairement d’amener les candidats à comprendre comment l’informatique peut aider le business à créer de la valeur. Il y a de nombreuses années qu’on ressert le même discours. Cette fois, AXELOS a mis l’accent sur cet aspect avec notamment le concept de co-création entre les TI et les parties prenantes. Ce concept est totalement au coeur du modèle central dans ITIL 4.

Le nouveau syllabus

Les objectifs de la formation et de l’examen de certification

La formation ITIL 4 Foundation a pour objectif d’initier les candidats à la gestion des services basés sur des systèmes informatiques modernes. Elle a pour objet de leur fournir une compréhension du langage commun et des concepts clés. Elle leur montre comment ils peuvent améliorer leur travail et celui de leur organisation grâce aux directives ITIL 4. En outre, cette formation permettra au candidat de comprendre le cadre de gestion du service ITIL 4 et comment il a évolué, pour adopter les technologies et les méthodes de travail modernes.

Le cours ITIL 4 Foundation s’adresse à toute personne travaillant dans l’informatique qui recherche une formation en gestion des services informatiques et une compréhension de la manière de fournir une valeur business. Il concerne également toute personne cherchant à mettre à niveau sa certification et ses connaissances ITIL v3.

L’examen de certification a pour but d’évaluer si le candidat peut démontrer une connaissance et une compréhension suffisantes du cadre de gestion de service ITIL 4. En outre, la certification ITIL 4 Foundation est une condition préalable pour passer les certifications de niveau supérieur. Ces dernières évaluent l’aptitude du candidat à appliquer les parties pertinentes du cadre ITIL dans son contexte.

Le cours de préparation

Conçu pour une durée d’étude optimale de 2 jours (hors examen), le cours est une introduction à ITIL 4. Il vous permet de comprendre une nouvelle façon de voir la gestion des services informatiques via un système de valeur de service (SVS).

Quelle est la différence entre ITIL v3 et ITIL 4? En résumé, ITIL v3 décrit la gestion des services autour de 26 processus et fonctions faisant partie d’un cycle de vie continu en 5 étapes : stratégie des services, conception des services, transition des services, exploitation des services et amélioration continue des services. Tout le corpus de connaissances v3 est toujours très utile et pertinent!

ITIL 4 vous présente une vue plus évoluée d’un système de valeur de service (SVS), qui fournit une image globale de ce que signifie réellement contribuer à la valeur de l’entreprise. Le cadre intègre désormais également des concepts de modèles tels que Lean IT, Agile et DevOps.

Le contenu détaillé du syllabus

Les concepts testés lors de l’examen s’articulent autour de 7 thèmes correspondant chacun à un module d’apprentissage.

  1. Concepts clés de la gestion des services (12,5% des questions d’examen)
  2. Principes directeurs d’ITIL (15%)
  3. Les 4 dimensions de la gestion des services (5%)
  4. Gestion des services et création de valeur (SVS) (2,5%)
  5. Activités de la chaîne de valeur et leurs interactions  (5%)
  6. Introduction aux 15 pratiques d’ITIL (17,5%)
  7. Plongée en profondeur dans les 7 pratiques essentielles (42,5%)
    • Amélioration continue
    • Gestion des changements
    • La gestion des incidents
    • Gestion des problèmes
    • Gestion des requêtes de service
    • Le centre de services
    • La gestion des niveaux de service

La différence avec la version précédente réside dans le fait que l’orientation processus est maintenant moins centrale. Mais surtout les éléments de l’ancienne certification practitioner sont maintenant intégrés dès le niveau Foundation. Dans mes précédents articles ITIL – les raisons d’échec dans votre organisation, ITIL – 5 erreurs majeures de mise en oeuvre et ITIL – 6 autres erreurs de mise en oeuvre, je mettais l’accent sur la mise en oeuvre des pratiques ITIL 2011 qui était le plus souvent défaillante. Le contenu de la certification practitioner était théoriquement là pour combler les manques des publications centrales dans ce domaine. Hélas, cette certification n’a eu que peu de succès. Dans ITIL 4, les aspects de mise en oeuvre font désormais partie du syllabus dès la certification Foundation. C’est un véritable progrès.

Format de l’examen

Le format de l’examen ne change pas par rapport à l’examen Foundation d’ITIL 2011. Il se compose toujours de 40 questions multi choix et se déroule sur une heure. Le score de passage est toujours de 65% (26 bonnes réponses sur 40). Disponible en anglais à partir du 28 février, l’examen se déroule en ligne ou sur papier. Et il est toujours géré par Peoplecert. Les organismes de formation accrédités (ATOs) le proposent également à la fin de leurs sessions de formation.

Le cursus complet des certifications ITIL 4

Le cursus complet des certifications s’articule désormais autour de deux grandes lignes : ITIL 4 Managing Professional et ITIL 4 Strategic Leader. Quelle que soit la filière choisie, la certification ITIL 4 Foundation est un pré-requis exigé.

Nouveau parcours de formations et de certifications ITIL 4
Crédit © AXELOS 2019

Pour découvrir en détail l’ensemble de ces certifications, je vous invite à consulter mon article ITIL 4 : De nouvelles certifications. L’ensemble de ces formations et les certifications correspondantes seront lancées au deuxième semestre 2019.

Pont ou pas pont?

On me pose souvent cette question : y a-t-il un « bridge » possible pour les gens qui possèdent une certification ITIL v3 ou 2011.? La réponse est clairement oui pour les niveaux MP (Managing Professional) et SL (Strategic Leader). Mais seulement à condition d’être déjà ITIL v3 Expert ou d’avoir accumulé au minimum 17 crédits sur ITIL v3 ou ITIL 2011. Dans le cas contraire, vous devrez repasser les examens ITIL 4 correspondants.

Pour la certification Foundation, dans la mesure où elle constitue le socle des autres modules, il n’existe pas de pont. Tout le monde doit donc passer la certification ITIL 4 Foundation pour démarrer son parcours sur la nouvelle version.

Comment se préparer à l’examen de certification ITIL 4 Foundation?

Pour vous préparer à l’examen de certification ITIL 4 Foundation, il existe diverses possibilités. Cependant, AXELOS n’exige pas que vous suiviez une formation préalablement à la certification. Vous pouvez donc décider de travailler par vous-même avec les publications officielles et de vous lancer.

Un certain nombre d’ATOs (organismes de formation accrédités par AXELOS/Peoplecert) proposent d’ores et déjà des session de préparation de trois types :

  • Cours en ligne (en auto-apprentissage)
  • Formation à distance
  • Session publique en présentiel
  • Formation intra-entreprises (directement dans votre organisation).

Dans tous les cas, vérifiez bien l’accréditation de l’organisme de formation auquel vous faites appel. En effet, seuls les ATOs ont l’autorisation d’accéder et de reproduire la documentation officielle d’AXELOS. De plus leurs formateurs sont évalués et audités régulièrement. Ces audits portent à la fois sur leur connaissance d’ITIL 4, mais aussi sur leurs compétences pédagogiques. Cela garantit donc la qualité de la formation qui vous est dispensée.

Cet article vous a intéressé? N’hésitez pas à poster vos remarques et vos questions en commentaire. Cela permet d’alimenter un débat entre nos lecteurs. Merci également de nous mettre un « like » si vous aimez et à nous suivre régulièrement. 

ITIL 4 : la co-création au coeur du modèle central

Nous approchons à grands pas de la publication officielle de ITIL 4 annoncée pour le 18 février. En avant-première, voici un des éléments importants de cette nouvelle version. Exit le cycle de vie des services apparu dans ITIL V3. Maintenant, ITIL 4 s’appuie sur un modèle central autour duquel tout s’organise. L’objectif du modèle central d’ITIL 4 est la création de valeur pour l’organisation réalisée sur la base de la co-création. Mais, qu’est-ce que c’est que la co-création? Est-ce une notion nouvelle? Je vais essayer de lever le voile sur cet aspect essentiel.

ITIL 4 : la co-création de valeur au coeur du modèle central
Crédit © rawpixel.com 2019

C’est aujourd’hui, 11 février, que les premiers cours accrédités de préparation à la certification ITIL 4 Foundation commencent à être délivrés. Dans une semaine, le 18 Février, AXELOS publiera officiellement la documentation ITIL 4. Et ce n’est que le 28 février que les premiers examens de certification ITIL 4 Foundation, en Anglais, seront disponibles pour le grand public. Or, à ce jour, AXELOS maintient un secret absolu sur le contenu détaillé de son référentiel de bonnes pratiques. Cependant, les formateurs accrédités, dont j’ai le plaisir de faire partie, ont déjà pu avoir accès à ce contenu. Je vous en livre dans cet article quelques aspects essentiels.

Des services informatiques vitaux pour la transformation numérique

Une étude réalisée par Forbes et BMC en 2017 auprès de 261 CEOs dans le monde montre la façon dont les services informatiques crée de la valeur pour les entreprises dans le cadre de la transformation numérique. Les principaux résultats sont les suivants :

  • La majorité des exécutifs (56%) qui ont répondu admettent que le périmètre des TI change à un rythme extrêmement rapide. Ils reconnaissent qu’il est très difficile de faire face au besoin de compétences indispensables pour répondre aux besoins. L’absence su le marché de compétences TI alignées sur le business est aujourd’hui un des grands challenges.
  • Une large majorité admet que les budgets TI peinent à satisfaire simplement le maintien en état de fonctionnement de ce qui existe. L’absence d’une approche de gestion des services nuit à la compétitivité des entreprises. Trois dirigeants sur quatre s’accordent pour dire que le temps, l’argent et les ressources consacrés à la maintenance et à la gestion courantes (par rapport au développement de nouveaux projets ou aux nouvelles initiatives) affectent la compétitivité globale de leurs organisations.
  • La gestion des services TI joue un rôle crucial dans les principales initiatives de business numérique. Une majorité de cadres, 56%, indiquent que la gestion des services informatiques est soit «extrêmement importante», soit proche d’être vitale dans les efforts de cloud computing ainsi que dans les initiatives de Big Data de leur entreprise. Cinquante-quatre pour cent ont également indiqué que la gestion des services informatiques était «extrêmement importante» ou proche de d’être importante pour soutenir leurs efforts de mobilité. La plus grande contribution de la fonction ITSM aux efforts de transformation numérique réside dans la transparence et la productivité.

Le modèle central d’ITIL 4

L’objectif principal de la nouvelle version du référentiel ITIL 4 est répondre aux besoin des entreprises de la 4ème révolution industrielle. Celle-ci est basée sur une économie numérique. Elle va donc aider à la transformation numérique des organisations.

Nous reviendrons en détail sur le contenu d’ITIL 4 après la publication officielle par AXELOS. Mais, ce qui saute d’abord aux yeux, c’est la création d’un modèle central (« core model »). Et, ce modèle est fondamental. En effet, il constitue le véritable coeur de la création de valeur : le SVS (système de valeur des services). Donc, tout s’articule en son sein et autour de ce système central.

ITIL 4 : le modèle central
© AXELOS 2019

Comme vous pouvez le voir sur le schéma ci-dessus, tout part de la reconnaissance d’opportunités ou de demandes. L’objectif, au travers du SVS, est alors de transformer ces opportunité et demandes en produits et services créant de la valeur pour l’ensemble des parties prenantes. Pour ce faire, l’organisation va s’appuyer sur les éléments de ce modèle, à savoir :

  • les principes directeurs
  • la gouvernance,
  • la chaîne de valeur des services
  • les pratiques (qu’on retrouvait auparavant dans les processus d’ITIL v3)
  • et l’amélioration continue.

Un alignement sur les autres cadres de référence

Ainsi le périmètre d’ITIL 4 change complètement. On sort de la direction informatique pour couvrir l’intégralité de l’organisation avec ses parties-prenantes.

Ce modèle marque un virage très affirmé vers le principe de la valeur des TI pour l’organisation. ITIL 4 renforce le fait que les TI doivent toujours considérer leur contribution directe au succès de l’entreprise et non être perçues comme un centre de coût.

Pour les lecteurs réguliers de ce blog, admettez avec moi que tout cela s’aligne fortement sur un autre référentiel : COBIT.

En mettant d’avantage l’accent sur la « demande » et « l’engagement » avec les parties prenantes, ITIL 4 s’aligne désormais également avec le BRM (Business Relationship Management) qui a le vent en poupe ces dernières années. Si ces concepts étaient déjà présents dans ITIL 2011, ils deviennent dorénavant centraux dans ITIL 4.

L’autre changement important est la reconnaissance et l’intégration de trois grands courants sur le marché. Il s’agit de LeanIT et DevOps et OCM (Organizational Change Management). Avec ITIL 4, ces pratiques sont expliquées et intégrées au cadre de référence.

La co-création au service de la création de valeur

D’après mon expérience, les clients, grands et petits, comprennent que l’alignement conduit à une transformation qui dépasse leurs attentes. Plus les clients réalisent que leur fournisseur s’engage à les écouter, à accepter et à répondre à leurs exigences précises, et plus ils désirent être impliqués dans cette organisation.

La co-création, qu’est-ce que c’est?

La phrase-clé, c’est «être impliqué». Cela prend de plus en plus la forme de ce qu’on appelle la co-création client. Prahalad et Ramaswamy ont défini la co-création comme « la création conjointe de valeur par l’organisation et le client afin de permettre au client de co-construire l’expérience de service pour l’adapter à son contexte. » Dans mon travail, je définis la co-création comme  « la création délibérée de partenariats avec des clients, partenaires ou employés stratégiques pour concevoir, résoudre un problème, améliorer les performances ou créer un nouveau produit, service ou business. »

Le concept existe depuis 2000, mais il a fallu plus de dix ans pour qu’il devienne populaire. La co-création ne se limite pas à créer un comité de clients pour donner leur avis sur un nouveau produit. Ce n’est pas seulement consulter les clients sur une astuce de vente et de marketing. Il s’agit de créer conjointement de la valeur, tant pour le fournisseur que pour les clients. Pour la plupart des managers, l’idée même de faire participer les clients de manière ouverte et transparente est effrayante. Et je ne vous parle pas de leur réaction quand il s’agit de partager des données détaillées avec les clients! Et pourtant, les bénéfices réalisés grâce cette approche devraient les amener à y réfléchir d’avantage.

Un exemple de co-création chez DHL

Je ne vous surprendrai probablement pas si je vous dis que la co-création est au coeur de la stratégie d’Amazon. Cela explique en partie son exceptionnelle croissance depuis plusieurs années. Mais je vais prendre un autre exemple. Il est peut-être un peu moins connu. C’est celui de DHL, le leader mondial de la logistique. DHL fait partie de la plus grande société mondiale de services de courrier et de logistique, Deutsche Post (« DP ») DHL. Vous les connaissez sans doute par leurs camions de livraison jaunes et rouges. Privatisé il y a 15 ans, le groupe DP DHL emploie quelque 350 000 personnes dans le monde. Et il génère un chiffre d’affaires annuel de plus de 60 milliards de dollars. Vous pourriez penser qu’une entreprise de cette taille aurait du mal à être agile et encore moins à fixer des normes en matière d’innovation et de service à la clientèle.

DHL a découvert que ses clients recherchaient de l’aide pour améliorer leurs performances. Et cette amélioration reposait en partie sur leur chaîne logistique. «C’est tout un défi, car nous avons généralement affaire à des chaînes d’approvisionnement mondiales très complexes», a déclaré Bill Meahl, directeur commercial de DHL, «une chaîne qui nous a incités à nous engager dans une aventure de co-création client».

Comment cela a démarré

S’engager sur cette voie signifiait plus que des modifications de processus et de services. Il fallait aussi sélectionner les « bons clients » avec lesquels travailler. Mais il fallait surtout prendre en compte l’approfondissement des capacités des employés afin de comprendre leur incidence sur les activités, la perception et la durabilité des clients. Selon M. Meahl, l’un des facteurs de succès critiques a été d’enseigner aux employés comment «se mettre dans la peau d’un client afin de bien comprendre la dynamique de travail avec les clients». Cette compétence est essentielle pour élaborer une gamme de recommandations viables et de nouvelles solutions qui répondent non seulement aux objectifs du client, mais démontrent également la valeur de DHL en tant que partenaire commercial.

DHL comprend que l’innovation doit être centrée sur le client. Ils veillent notamment à ce que cela se produise en réunissant les clients et leurs partenaires de service DHL dans des centres d’innovation spécialement conçus, basés en Allemagne et à Singapour, pour des ateliers de partage des meilleures pratiques et de création de valeur. L’objectif est d’ «organiser des ateliers pratiques intensifs explorant et comprenant les tendances technologiques, économiques, sociopolitiques et culturelles afin de développer de nouvelles méthodes de gestion des chaînes d’approvisionnement et de la logistique».

Co-création : mode d’emploi

Les sessions commencent parfois par un aperçu de ce à quoi pourrait ressembler une entreprise en 2050. DHL utilise une méthodologie éprouvée de planification de scénarios. L’approche de DHL entraîne les clients dans un voyage dans le temps qui présente une vue à quatre quadrants de ce à quoi le monde pourrait ressembler en 2050. Les quadrants sont radicalement différents les uns des autres. Ainsi, un quadrant est toujours un scénario catastrophique et son contraire un monde parfait. La puissance de la planification par scénario réside dans le fait qu’elle brise les mentalités. L’équipe commune « revient » ensuite en arrière de 2050 à 2020. Cela fournit une plate-forme pour des lignes de tendance, des compétences de base et des problèmes spécifiques à résoudre. À partir de là, l’équipe commune réfléchit aux solutions et aux approches à mettre en oeuvre.

Des résultats concrets

Beaucoup de projets ont été lancés suite aux plus de 6 000 engagements réalisés dans les centres d’innovation de DHL. Parmi ceux-ci et et parmi les résultats d’autres formats de co-création avec les clients, citons:

  • Parcelcopter, un projet de recherche sur la livraison de drones, qui pourrait à l’avenir permettre aux entreprises d’être plus réactives, agiles et économiques.
  • «Lunettes intelligentes» et réalité augmentée, co-créées avec le client de DHL, Ricoh, afin d’améliorer l’efficacité de la gestion des stocks et des entrepôts de 25%.
  • «Maintenance à la demande» (MoDe), co-créé avec le client de DHL, Volvo Trucks, et d’autres partenaires, utilise des capteurs qui renvoient automatiquement les performances des véhicules et des composants afin de déterminer le moment et l’endroit où la maintenance des camions sera requise.
  • IoT Report, un rapport de l’industrie, rédigé par DHL et Cisco, qui a identifié et évalué les implications et les cas d’utilisation des objets connectés dans la logistique.
  • Applications robotiques actuellement testées conjointement avec des clients. Celles-ci partent des chariots automatiques qui aident les préparateurs à effectuer leur travail de manière moins pénible. Et elles vont jusqu’aux robots collaboratifs qui aident les travailleurs à obtenir des services à valeur ajoutée tels que le co-packing.
  • Rapport collaboratif de DHL et d’IBM explorant comment l’intelligence artificielle pourrait considérablement améliorer les activités logistiques actuelles de bout en bout.

Une expérience difficile mais réussie

Meahl admet que le concept de co-création a été initialement accueilli avec scepticisme, tant en interne et qu’en externe. Les clients pensaient que c’était une tactique de vente intelligente. En interne, DHL dispose de plusieurs unités commerciales qui ont des modèles commerciaux différents desservant les mêmes clients. Il fallait identifier les « bons » dirigeants de DHL qui « possédaient ce client ». Ensuite il fallait aligner et coordonner plusieurs équipes afin de produire les résultats des ateliers d’innovation. Tout cela a obligé l’entreprise à examiner de près sa propre structure et ses processus. Et bien entendu elle a été amenée à se réformer pour améliorer son efficacité et son efficience.

Le résultat en vaut la peine. Les scores de satisfaction client sont aujourd’hui supérieurs à 80%. Dans le même temps, les performances de livraison à temps dans le monde sont égales ou supérieures à 97%. Les taux de perte des clients sont en baisse.  Et, de plus,  les revenus provenant des nouveaux services / produits sont en hausse.

Meahl insiste sur le fait que les entreprises doivent structurer leurs organisations et leurs processus en fonction de leurs clients. La co-création est le nouvel enjeu du succès.

L’importance de la co-création dans ITIL 4

En 2019, les technologies jouent un rôle central dans la majorité des domaines d’affaires. Cependant, si ces technologies sont gérées en silo, sans comprendre comment elles contribuent directement à la croissance et l’efficacité, l’entreprise est vouée à l’échec. La principale réflexion à faire suite à ITIL 4 se situe donc  au niveau de la relation entre le « business » et les TI. L’expérience le démontre : la synergie entre les TI et le Business est essentielle. Les organisations deviennent alors plus productives, plus proactives et répondent mieux aux changements du marché.

La définition même du service a évolué dans ITIL 4. Elle est maintenant beaucoup plus claire et plus compréhensible. Elle fait également référence de façon explicite à la co-création.


« Un service est un moyen de permettre la co-création de valeur en facilitant l’obtention des résultats demandés par les clients, sans que les clients n’aient à gérer les coûts et les risques spécifiques. » (ITIL 4)


Il est clair que sans l’implication du client, le fournisseur ne pourra pas satisfaire les attentes de celui-ci. La définition et la mise en oeuvre du service résultent donc d’une co-création entre le client et le fournisseur. Ainsi, c’est la clé-même de la création de valeur qui est au centre du modèle.

Vous pensez que cette évolution dans le bon sens et permettra à ITIL 4 de reprendre son leadership? Au contraire, vous pensez que tout cela n’apporte pas grand chose de nouveau? Vous voulez en savoir plus sur ITIL 4? Alors, ne soyez pas timide, envoyez nous vos remarques et vos questions au travers de vos commentaires.  Et surtout n’hésitez pas à lancer le débat. Nous vous en remercions.

CISO : Responsabilités et compétences indispensables

Depuis sa création durant les années 90, le rôle du CISO a largement évolué. A l’origine, il était principalement consacré à la correction des vulnérabilités sur le système informatique. Aujourd’hui, le paysage de la sécurité a évolué, avec l’élargissement de la périphérie de l’entreprise, l’explosion du cloud et de la mobilité, avec les mutations des menaces et des risques, et jusqu’aux environnements règlementaires. Le CISO est donc devenu un acteur majeur du management de l’entreprise. Pour assurer ses responsabilités, il doit nécessairement posséder des compétences et des aptitudes très spécifiques.

CISO : Responsabilités et compétences
Crédits © rawpixel.com 2018

Dans cet article je vais essayer de vous expliquer les responsabilités d’un CISO ainsi que les compétences requises. Attention, il ne faut pas confondre CISO et RSSI. En France il y a beaucoup plus de RSSI que de CISO. Malheureusement les entreprises françaises ne comprennent toujours pas que ce rôle est absolument indispensable. Hélas, comme d’habitude au pays des Gaulois réfractaires, c’est le coût qui domine les décisions. Or les bons CISO sont rares sur le marché et donc, ils sont chers. La conséquence est une plus grande vulnérabilité des entreprises Françaises face aux nombreux risques de sécurité.

Qu’est-ce qu’un CISO?

Le Directeur de la Sécurité de l’Information (Chief Information Security Officer : CISO) répond de la sécurité des informations et des données d’une organisation. Par le passé, le rôle était défini assez étroitement dans ce sens. De nos jours, le titre est souvent utilisé de manière interchangeable avec CSO (Directeur de la Sécurité) et VP de la sécurité. Ceci indique un rôle plus étendu dans l’organisation.

Vous êtes un professionnel de la sécurité ambitieux? Vous cherchez à grimper les échelons de votre entreprise? Alors vous pouvez avoir un poste de Directeur de la sécurité informatique dans votre ligne de mire. Examinons ce que vous pouvez faire pour améliorer vos chances de décrocher un rôle de CISO et ce que seront vos responsabilités si vous décrochiez ce poste essentiel. Et si vous cherchez à ajouter un CISO à  votre organisation, vous serez sûrement intéressé par cet article.

Quelles sont les responsabilités d’un CISO?

La meilleure façon de comprendre le travail de CISO est sans doute de se baser ses responsabilités quotidiennes. Elles nous révèlent les compétences nécessaires. Bien qu’il n’existe pas deux cas identiques, Stephen Katz, qui a joué le rôle de CISO chez Citigroup dans les années 90, a décrit les domaines de responsabilité des CISO dans une interview avec MSNBC.

Les 7 domaines de responsabilité du CISO

Il répartit ces responsabilités dans les catégories suivantes:

  • Sécurité opérationnelle : Il analyse en temps réel des menaces immédiates et priorisation en cas de problème
  • Cyber-risque et cyber intelligence : Il se tient au courant des menaces pour la sécurité. Il aide le conseil d’administration à comprendre les problèmes de sécurité potentiels pouvant résulter de fusions, d’acquisitions ou de cessions.
  • Prévention des violations de données et de la fraude : Il s’assure que le personnel interne ne fait aucune mauvaise utilisation ni ne vole des données de l’entreprise
  • Architecture de sécurité : Il planifie, achète et déploie du matériel et des logiciels de sécurité. Il s’assure également que l’infrastructure informatique et réseau est conçue sur la base des meilleures pratiques de sécurité
  • Gestion des identités et des accès : Il s’assure que seules les personnes autorisées ont accès aux données et aux systèmes protégés
  • Gestion de programme : Il doit garder une longueur d’avance sur les besoins de sécurité en mettant en œuvre des programmes ou des projets réduisant les risques. Par exemple, il doit s’assurer du déploiement de correctifs réguliers des systèmes.
  • Enquêtes et expertises légales : Il détermine ce s’est mal passé, collabore avec les responsables, s’ils sont internes, et prévoiT afin d’éviter la répétition d’une crise identique
  • Gouvernance : Il s’assure que toutes les initiatives ci-dessus se déroulent sans heurts et qu’elles reçoivent le financement et les ressources dont elles ont besoin. Il s’assure également que les dirigeants de l’entreprise comprennent bien leur rôle et leur importance dans la sécurité.

Si vous voulez en savoir plus

Pour des informations plus poussées, nous vous conseillons de lire le livre blanc de SANS Institute : « Mixing Technology and Business: The Roles and Responsibilities of the Chief Information Security Officer« .

Quelles sont les exigences pour être CISO?

Que faut-il pour pouvoir postuler à ce poste? D’une manière générale, un CISO doit posséder une base technique solide. Généralement, un candidat doit être titulaire d’une licence en informatique ou dans un domaine connexe. De plus, il doit compter entre 7 et 12 années d’expérience professionnelle (dont au moins cinq ans dans un rôle de direction). Les diplômes de master en sécurité de l’information sont également de plus en plus en vogue.

Des compétences techniques sont nécessaires…

Il existe également une liste exhaustive des compétences techniques attendues. Au-delà des bases de la programmation et de l’administration système que tout dirigeant technique de haut niveau devrait posséder, vous devez également comprendre certaines technologies centrées sur la sécurité, telles que le DNS, le routage, l’authentification, les VPN, etc. services proxy et technologies d’atténuation DDOS; pratiques de codage, piratage éthique et modélisation des menaces; et les protocoles de pare-feu et de détection / prévention des intrusions. Les CISO sont censés contribuer à la conformité réglementaire. Par conséquent, vous devez également connaître en quoi consistent les évaluations de la conformité PCI, HIPAA, NIST, GLBA, GDPR, ISO 27001 et SOX.

… mais elles ne sont qu’une base

Cependant les connaissances techniques ne constituent pas le seul pré-requis requise, ni même le plus important pour décrocher le poste. Une grande partie du travail d’un CISO implique la gestion et la défense de la sécurité au sein de la haute direction de l’entreprise. Larry Ponemon, chercheur en informatique, a déclaré à SecureWorld que « les principaux RSSI ont de bonnes bases techniques mais possèdent souvent une expérience professionnelle, un MBA et les compétences nécessaires pour communiquer avec les autres cadres dirigeants et le conseil d’administration ».

Des compétences de management sont vitales

La combinaison de compétences techniques et non techniques permettant de juger un candidat au poste de RSSI peut varier en fonction de la société qui embauche. De manière générale, les entreprises ayant une portée mondiale ou internationale recherchent des candidats possédant une formation en matière de sécurité globale et fonctionnelle et évaluent les compétences en leadership tout en prenant en compte la progression de carrière et les réalisations passées. D’un autre côté, les entreprises qui ont une activité plus centrée sur le Web et les produits cherchent plutôt des compétences spécifiques orientées vers la sécurité des applications et du Web.

Quelles certifications doit posséder un CISO?

Au fur et à mesure que vous gravissez les échelons, vous pouvez améliorer votre CV avec des certifications. Ces qualifications rafraîchissent la mémoire, invitent à une nouvelle réflexion, augmentent la crédibilité. Et, plus important, elles constituent un élément obligatoire de tout programme de formation interne solide. Il existe beaucoup de certifications en sécurité de l’information. Alors lesquelles choisir? Le top 3 est constitué de :

  • CISM (Certified Information Security Manager) est spécialement indiqué pour ceux qui cherchent à gravir les échelons dans le domaine de la sécurité de l’information et à faire la transition vers le leadership ou la gestion de programme.
  • CISSP (Certified Information Systems Security Professional) est destiné aux professionnels de l’informatique qui souhaitent faire de la sécurité de l’information un objectif de carrière.
  • CEH (Certified Ethical Hacker) est destiné aux professionnels de la sécurité qui souhaitent acquérir une connaissance approfondie des problèmes susceptibles de menacer la sécurité de l’entreprise.

Nous avons, dans un précédent article, comparé les certifications CISM et CISSP. Vous pouvez vous y référer pour plus d’informations.

CISO vs CIO

La sécurité est un rôle au sein d’une entreprise qui s’oppose inévitablement avec les autres dirigeants de l’Entreprise. En effet, l’instinct des professionnels de la sécurité consiste à verrouiller les systèmes et à les rendre plus difficiles à accéder. Ceci peut entrer rapidement en conflit avec la direction informatique. La DSI a, pour sa part, l’objectif de rendre les informations et les applications disponibles sans difficulté. La manière dont tout se joue en haut de l’organigramme est souvent vue comme une bataille CISO contre CIO. On identifie souvent les contours de ce bras de fer grâce aux lignes de reporting au sein de l’organisation.

CISO vs RSSI

C’est la raison pour laquelle une entreprise ne peut pas se contenter d’un RSSI. En effet, il est relativement courant que les RSSI soient rattachés aux DSI. Cela limite la capacité du RSSI à s’aligner stratégiquement sur la stratégie de l’Entreprise. En effet, dans ce cas sa vision finit par être subordonnée à la stratégie informatique du DSI. Les RSSI n’acquièrent définitivement de l’influence que lorsqu’ils relèvent directement de la Direction Générale. C’est une pratique de plus en plus courante. Cela impliquera généralement un changement de titre en CISO. Ainsi la CISO se retrouvera sur un « pied d’égalité » avec le CIO (DSI). Cela lui permettra d’avoir des responsabilités en matière de sécurité non liées à la technologie.

Le CISO doit être sur un pied d’égalité avec le CIO

Placer le CIO et le CISO sur un pied d’égalité peut aider à résoudre les conflits. Cela indique notamment à toute l’organisation que la sécurité est importante et n’est pas limitée au domaine informatique. Mais cela signifie également que le CISO ne peut pas simplement être un gardien de l’accès aux initiatives techniques. Piergiorgio Grossi, DSI de Ducati, a déclaré au magazine i-CIO: « Il incombe au CISO d’aider l’équipe informatique à fournir des produits et des services plus robustes au lieu de simplement dire » non « . Cette responsabilité partagée des initiatives stratégiques modifie la dynamique de la relation. Et cela peut faire la différence entre succès et échec pour un nouveau CISO.

La description de poste d’un CISO

Si vous recherchez un CISO prometteur pour votre organisation, cela implique en partie de rédiger une description de poste. Une grande partie de ce que nous avons discuté jusqu’à présent peut vous aider à aborder cette question. Vous devez d’abord décider si vous voulez engager un RSSI ou un CISO. Ensuite vous devrez obtenir les approbations pour le niveau, la structure hiérarchique et le titre officiel du poste. Dans les petites entreprises, le CISO peut être vice-président ou directeur de la sécurité. Vous devez également définir les exigences minimales et les qualifications du rôle. Ensuite vous pouvez décider de recruter en externe ou en interne.

Votre description doit clairement énoncer l’engagement de votre organisation en matière de sécurité. En effet, c’est ainsi que vous allez attirer un candidat de grande qualité. Vous devez indiquer où le nouveau CISO se retrouvera dans l’organigramme et son niveau d’interaction avec le conseil d’administration. Cela clarifiera vraiment sa position et son rôle. Un autre point important est de maintenir à jour la description de poste. Il faut le faire même si vous avez quelqu’un qui occupe actuellement ce poste. Vous ne savez jamais quand cette personne passera à une autre opportunité. C’est un rôle absolument critique et vous ne pouvez pas prendre le risque de vous retrouver sans CISO.

Quel salaire pour un CISO?

CISO est un poste de haut niveau et les CISO ont donc une rémunération en conséquence. La prévision des salaires est bien plus un art qu’une science. Mais on admet généralement qu’aux USA des salaires supérieurs à 100 000 dollars sont la règle. A ce jour voici les moyennes de salaire constatées aux USA

  • ZipRecruiter annonce une moyenne nationale de 153 117 $
  • Salary.com positionne la fourchette standard encore plus haut, entre 192 000 et 254 000 dollars.

Si vous consultez Glassdoor, vous pouvez consulter les fourchettes de salaire des offres d’emploi actuelles de CISO. Ceci peut vous aider à déterminer les secteurs qui paient le plus ou le moins. Par exemple, au moment de la rédaction de cet article, le poste de chef de la sécurité publique au sein du gouvernement fédéral américain rapporte entre 164 000 et 178 000 dollars, et le poste de CISO à l’Université d’Utah, entre 230 000 et 251 000 dollars.

Toujours sur Glassdoor, vous pouvez consulter le salaire des offres d’emploi en France pour un RSSI. Il se situe en moyenne entre 50 K€ et 80 K€. On voit tout de suite la différence! Malheureusement cela traduit bien le niveau de maturité des entreprises Françaises en 2019. C’est un mauvais présage de l’aptitude des entreprises Françaises à faire face aux challenges de la transition numérique.

Vous êtes un CISO en poste et vous souhaitez nous faire part de votre expérience? Vous voulez évoluer vers un rôle de CISO? N’hésitez pas à échanger grâce à vos commentaires.

 

Cybersécurité: au delà de l’environnement professionnel

Je travaille avec de nombreuses organisations à travers le monde pour les aider à améliorer leur cybersécurité. J’écris beaucoup d’articles sur des blogs, j’anime des conférences et des formations sur ce sujet depuis plusieurs années. Dans le cadre de mes activités de conseil, je me concentre presque toujours sur la gouvernance et le management de la sécurité des systèmes d’information en entreprise. Cela concerne entre autres les mots de passe, la protection des données personnelles, etc.. C’est bien pour cela que mes clients ont recours à mes services. Cependant, il est tout aussi important de penser à la cybersécurité dans nos vies personnelles.

Cybersécurité au delà de l'environnement professionnel, les mots de passe, les objets connectés, les terminaux doivent être protégés
Crédit © rawpixel.com 2018

Dans cet article, j’aborderai trois sujets essentiels :

  • Gestion de vos comptes d’utilisateurs et mots de passe
  • Protection de vos ordinateurs, tablettes et téléphones
  • Protection vos appareils IoT (objets connectés)

Dans un prochain article, j’aborderai le quatrième sujet: « Protection de vos informations personnelles ». Cet article est déjà très long et vous devrez donc attendre un prochain post pour que j’aborde ce sujet sensible. Il mérite beaucoup plus que quelques lignes.

1. Gérez vos comptes utilisateurs et vos mots de passe

Chaque semaine, nous découvrons une nouvelle faille majeure dans la sécurité des informations. Les données personnelles de millions de personnes sont ainsi divulguées. Lors d’une récente attaque contre les hôtels Marriott, les pirates se sont emparés d’informations personnelles concernant des centaines de millions de clients (entre 350 et 500 millions selon les estimations). Cela devrait vous inciter à la plus grande prudence quand à l’utilisation d’internet au quotidien.

Définissez bien votre stratégie de gestion de mots de passe

Lorsqu’une violation survient, les pirates informatiques s’emparent généralement d’une liste de noms d’utilisateurs et de mots de passe utilisés sur les systèmes violés. Souvent ils récupèrent également des informations personnelles et financières qu’ils pourront ensuite utiliser ou revendre. Une des premières choses qu’ils font ensuite, généralement, est d’essayer ces mots de passe sur tous les autres sites auxquels ils peuvent penser. Il ne s’agit pas juste de taper les mots de passe sur un clavier pour voir où leurs victimes travaillent. Les pirates utilisent des scripts qui essaient des millions de mots de passe connus sur plusieurs milliers de sites Web. Cela signifie que si vous avez utilisé le même mot de passe sur plusieurs sites différents, et si l’un de ces sites est victime d’une attaque, les pirates informatiques peuvent potentiellement accéder à tous les autres comptes sur lesquels vous avez réutilisé ce même mot de passe.

Idéalement, vous avez donc besoin d’un nom d’utilisateur différent et d’un mot de passe complexe différent pour chaque connexion. Oui, je sais. Ce n’est pas facile quand vous pouvez avoir des centaines de comptes différents. Je viens de compter le nombre de comptes différents que j’ai. Et vous savez quoi? J’ai découvert que j’utilise plus de 200 identifiants différents, que ce soit pour les achats, les voyages, la gestion de mon argent, les médias sociaux, les entreprises de services publics, le gouvernement, etc.

Assurez-vous que votre stratégie est suffisamment solide

Certaines personnes utilisent un mot de passe commun pour ce qu’ils considèrent être des sites à faible risque. Ils ne définissent des mots de passe uniques que pour les sites qui leur paraissent les plus critiques, comme leur banque. Hélas, cela peut entraîner des problèmes lorsqu’un compte «à faible risque» s’avère plus important que vous ne le pensiez. Des informations personnelles pouvant aider les pirates à violer un compte plus sécurisé pourraient éventuellement être dérobées.

Prenons un exemple simple. Imaginons que votre opérateur de téléphonie mobile utilise un ancien compte de messagerie, que vous utilisez rarement et que vous avez oublié, pour confirmer les commandes. Un pirate informatique peut alors récupérer votre numéro de téléphone et l’utiliser pour se faire passer pour vous sur un autre site. De même, imaginons qu’un pirate informatique accède au site sur lequel vous avez utilisé votre mot de passe commun parce que vous vouliez uniquement effectuer un achat ponctuel et que la société conserver une copie des informations de votre carte de crédit en ligne. Le cyber-criminel pourrait alors obtenir votre mot de passe commun ainsi que les informations de votre carte de crédit. Bon d’accord, imaginons que le site marchand en question ne conserve pas vos informations de carte de crédit. Celles concernant vos achats (nom, prénom, adresse email) peuvent être suffisantes pour qu’un pirate informatique réussisse une attaque de phishing: «Cher Alain, le t-shirt que tu as acheté la semaine dernière provenait d’un lot défectueux. Merci de cliquer sur ce lien pour obtenir un remboursement ».

Utilisez un gestionnaire de mots de passe

Si vous souhaitez créer un mot de passe différent et complexe pour chaque site sur lequel vous vous connectez, vous aurez sûrement beaucoup de mal à le mémoriser. Alors vous pouvez le stocker dans une feuille de calcul ou un document protégé par mot de passe. Encore faut-il vous assurer que la protection du document ne puisse pas être violée. Il est cependant préférable d’utiliser un outil de gestion de mots de passe.

Les gestionnaires de mots de passe sont beaucoup plus qu’un simple outil de stockages des mots de passe. Ils offrent tout un ensemble de fonctionnalités telles que :

  • Protection de tous vos noms d’utilisateur et mots de passe enregistrés protégés par un seul mot de passe (très complexe j’espère) que vous seul connaissez
  • Navigation automatique vers des sites Web et saisie de vos informations dans les champs correspondants
  • Capture automatique des noms d’utilisateur et des mots de passe lorsque vous les entrez ou les modifiez
  • Génération de mots de passe aléatoires complexes correspondant à des critères spécifiés
  • Synchroniser les mots de passe cryptés enregistrés vers un service cloud afin que vous puissiez les utiliser sur de nombreux appareils différents (ordinateur, tablette, téléphone)
  • Prise en charge de plusieurs navigateurs pour vous permettre de vous connecter comme bon vous semble au moment voulu
  • Prise en charge de diverses plates-formes, notamment Windows, Mac, IoS et Android.

Certains gestionnaires de mots de passe sont gratuits, d’autres sont payants. Certains autres ont une version premium et une version gratuite avec des fonctionnalités différentes. Voici une liste de quelques produits que vous devriez considérer:

Une fois que vous aurez commencé à utiliser un gestionnaire de mots de passe, vous verrez par vous-même. Vous vous demanderez comment vous avez réussi à vous en passer jusqu’alors. Cela rend les choses tellement plus faciles. Comme pour tout outil, la configuration et l’habitude de l’interface utilisateur demandent un peu d’effort au début. Ensuite vous pourrez créer des mots de passe longs et complexes pour chaque site et les utiliser pratiquement sans effort.

Utilisez l’authentification à deux facteurs

Les mots de passe longs et complexes aident à sécuriser vos comptes, mais ils ne suffisent pas toujours. Les hackers peuvent utiliser de nombreuses astuces pour obtenir vos mots de passe. En particulier si vous utilisez un réseau WiFi public non sécurisé dans les hôtels, les aéroports ou les cafés, ils peuvent espionner et récupérer vos mots de passe qui sont transmis en clair sur le réseau.

L’authentification à deux facteurs utilise deux manières différentes de prouver qui vous êtes. Elle repose sur deux choses complètement différentes. Il est donc beaucoup plus difficile pour un pirate informatique de prendre le contrôle votre compte. Chaque connexion nécessite l’utilisation de deux éléments distincts parmi les suivants:

  • Quelque chose que vous savez (un mot de passe par exemple)
  • Quelque chose que vous avez (une carte, un badge, un jeton matériel)
  • ou quelque chose que vous êtes (une identification biométrique comme une empreinte digitale par exemple)
  • ou enfin quelque part où vous êtes (l’identité d’un réseau sans fil par exemple ou des coordonnées GPS).

Certains sites Web vous permettent d’utiliser un message texte envoyé sur un téléphone portable ou un code envoyé dans un message électronique en tant que deuxième facteur. C’est notamment le cas pour les banques. Cela vaut mieux que de simplement utiliser un mot de passe mais ce n’est pas aussi sécurisé que d’autres options. En effet, il existe des moyens bien connus d’intercepter les messages électroniques et les messages texte du téléphone. D’ailleurs, considéré comme trop fragile, ce moyen d’authentification utilisé par les banques est en voie d’être interdit en Europe. La commission européenne est  actuellement en train d’élaborer la nouvelle directive DPS2 qui va dans ce sens et s’imposera à toutes les banques et les sites marchands. La meilleure option pour une utilisation personnelle consiste à utiliser une application, telle que Google Authenticator, ou un jeton matériel, tel que Yubikey.

L’authentification à deux facteurs est déjà disponible sur de nombreux sites

Peut-être ne le savez-vous pas mais de nombreux sites et logiciels différents prennent déjà en charge l’authentification à deux facteurs. Par exemple

  • Vous pouvez l’activer sur les sites de médias sociaux tels que Facebook, Twitter et LinkedIn
  • De nombreuses banques et autres sites financiers fournissent un deuxième facteur sous la forme d’un jeton matériel qui génère un code à utiliser lorsque vous vous connectez
  • Certains logiciels prennent en charge deux facteurs. Par exemple, vous pouvez configurer la connexion à deux facteurs pour la plupart des gestionnaires de mots de passe répertoriés ci-dessus.

Utilisez un service de VPN

Vous utilisez un réseau WiFi public, par exemple dans les hôtels, les aéroports ou les cafés? Les pirates informatiques ont alors une bonne occasion de s’attaquer à votre sécurité. Ils peuvent s’y prendre de différentes manières. Notamment, il peuvent mettre en place un faux point d’accès WiFi qui redirige tout le trafic via leurs propres serveurs. Ils ont alors tout loisir de capturer vos informations personnelles.

Le meilleur moyen de vous protéger de ce type d’attaque consiste à utiliser un service VPN. Une fois que vous vous êtes connecté au réseau WiFi et avant de faire quoi que ce soit, le service VPN configure une connexion vérifiée et cryptée entre votre appareil et un serveur VPN. Le serveur VPN achemine ensuite tout votre trafic Internet, de façon cryptée, vers sa destination. Ceci empêche toute personne sur le réseau WiFi local de voir quoi que ce soit sur votre activité Internet ou d’interférer avec celle-ci.

Vous pouvez trouver une comparaison détaillée des produits VPN disponibles sur le site That One Privacy Site.

2. Protégez vos ordinateurs, vos tablettes et vos téléphones

Il est extrêmement facile pour les ordinateurs, les tablettes ou les téléphones d’être infectés par des logiciels malveillants pouvant avoir des conséquences dévastatrices. Un Ransomware peut chiffrer tous vos fichiers et demander de l’argent pour les récupérer. Le cryptojacking peut prendre le contrôle de votre appareil et utiliser toute votre puissance CPU pour générer des bitcoins pour un attaquant. Les virus, les vers et les chevaux de Troie peuvent être utilisés pour prendre complètement le contrôle de votre appareil et l’utiliser pour lancer des attaques sur d’autres ordinateurs ou tout simplement pour vous causer des problèmes.

Parmi les actions que vous pouvez prendre pour vous protéger nous vous proposons les suivantes:

Maintenez les correctifs de sécurité à jour

Ne tardez pas à installer les correctifs du système d’exploitation. Dès que le correctif est disponible et que la connaissance du bug se généralise, il est probable que des cyber-criminels tenteront d’exploiter le bug qu’il corrige. Si vous attendez quelques semaines pour installer le correctif, ils auront tout le temps de vous pirater.

Ne faites pas que patcher votre système d’exploitation. Les applications nécessitent également des correctifs réguliers. Certaines applications les téléchargent automatiquement. Par exemple, des navigateurs Web tels que Chrome et Firefox vous invitent à mettre à jour les versions les plus récentes. Vous devez toutefois surveiller les autres applications et les maintenir à jour manuellement.

Il existe des outils pour vous aider, mais aucun d’eux n’est totalement satisfaisant. Vous pouvez utiliser un produit appelé SUMo, qui identifie les mises à jour dont vous avez besoin et fournit un lien pour les télécharger. Attention cependant, les liens de téléchargement ne sont pas toujours fonctionnels.

Assurez-vous de maintenir votre anti-virus à jour

Vous devez absolument exécuter un logiciel antivirus sur tous vos appareils, le maintenir à jour et effectuer des analyses régulières. Il existe de nombreuses options gratuites, en fonction de la plate-forme que vous utilisez. Par exemple, Sophos propose des produits gratuits pour Windows, Mac et Android. N’hésitez pas à rechercher en ligne des critiques qui seront probablement mises à jour plus fréquemment que ce blog.

Faites attention l’hameçonnage, ne cliquez pas sur des liens

L’hameçonnage (phishing en anglais) est souvent utilisé par les pirates pour vous amener à télécharger et à exécuter des logiciels. Généralement, il se présente sous la forme d’un lien dans un courrier électronique, un message texte ou un message de média social. Mais il peut également être intégré dans un document PDF ou Office. Pour en savoir plus, je vous invite à consulter un précédent article : Phishing – Mode d’emploi.  Auparavant, il était assez facile de reconnaître les attaques de phishing car elles avaient généralement une mauvaise grammaire et des liens qui présentaient des risques évidents à reconnaître. Mais les escrocs deviennent de plus en plus intelligents et certaines de ces attaques sont vraiment difficiles à détecter.

Vous devez être vigilant. Si vous recevez un lien dans un message envoyé par un ami, ne vous contentez pas de cliquer dessus. Réfléchissez bien au type de messages que cet ami vous envoie habituellement. Eventuellement contactez-le et demandez-lui s’il vous a vraiment envoyé le message. Si vous recevez un email d’une banque ou d’une autre institution financière, n’utilisez jamais le lien inclus dans le message pour accéder à votre compte. Ouvrez votre navigateur Web et accédez vous-même au site.

Faites des sauvegardes régulières, spécialement pour les données importantes

Si votre ordinateur ou votre périphérique est compromis, vous pouvez probablement le restaurer dans l’état dans lequel il se trouvait lorsqu’il a quitté l’usine. Cela supprimera tout logiciel malveillant. Cependant, si vos précieuses données ont été compromises, votre seul moyen de récupération consiste à restaurer une sauvegarde. Vous pouvez utiliser un logiciel de sauvegarde comme Acronis TrueImage ou StorageCraft ShadowProtect, mais même si cela n’est pas possible, vous devez stocker des copies des fichiers importants dans un emplacement sûr, même si vous les envoyez régulièrement à votre service de messagerie cloud.

3. Protégez vos objets connectés

De nombreux appareils que nous introduisons aujourd’hui dans nos foyers ont une capacité informatique et une connectivité réseau. Cela inclut

  • les téléviseurs et les différentes éléments que nous leur connectons;
  • haut-parleurs intelligents tels que Amazon Echo ou Google Home;
  • les ampoules intelligentes;
  • systèmes domotiques;
  • les webcams;
  • et des appareils plus exotiques tels que des grille-pain intelligents, des bouilloires et des brosses à dents.

Tous ces appareils sont en réalité des ordinateurs de votre réseau domestique. Ils peuvent donc être attaqués et leur contrôle peut être pris par des pirates. Si vous souhaitez connaître l’ampleur potentielle du problème, consultez Shodan, un moteur de recherche Web qui localise et identifie les périphériques IoT non sécurisés.

Les conseils de ce paragraphe du blog s’appliquent également aux périphériques réseau domestiques tels que les routeurs et les points d’accès sans fil.

Changez les mots de passe par défaut

La première chose, et la plus importante, que vous devriez faire avant de commencer à utiliser tout appareil connecté est de changer les mots de passe par défaut. Choisissez un bon mot de passe et veillez à en conserver une copie, de préférence dans votre gestionnaire de mots de passe.

Mettez à jour le micro-logiciel et les logiciels

Comme tous les autres ordinateurs, ces appareils exécutent des logiciels qui peuvent être compromis. Les fournisseurs publient régulièrement des mises à jour et des correctifs. Vous devez vous assurer que ceux-ci sont installés rapidement.

Désactivez les fonctionnalités que vous n’utilisez pas

De nombreux appareils comportent de nombreuses fonctionnalités qu’on utilise très rarement. Une fois que vous avez identifié les fonctionnalités du périphérique que vous souhaitez utiliser, il est recommandé de désactiver toutes les fonctionnalités que vous n’utilisez pas. Cela réduira la «surface d’attaque» et contribuera à réduire les risques de compromission de votre appareil.

Conclusion

Nous sommes de plus en plus dépendants d’Internet et nos foyers regorgent d’appareils informatiques de plus en plus sophistiqués. Internet et les appareils connectés sont très populaires. Ils contribuent à notre qualité de vie, mais ils comportent des risques. Si vous les utilisez sans penser aux risques, un jour vous serez attaqué et les conséquences pourraient être graves.

Si vous utilisez les contre-mesures disponibles, telles que les bons mots de passe, l’authentification à deux facteurs et les mises à jour de correctifs, vous pouvez alors vous protéger. Vous protègerez ainsi votre maison et votre famille contre les pires effets d’une attaque.

Cet article vous a paru utile? Vous avez d’autres astuces pour vous protéger en ligne? N’hésitez pas à partager vos avis et vos expériences par un commentaire. Si vous avez aimé cet article, vous pouvez aussi nous laisser un « like », cela fait toujours plaisir à notre équipe.

Gestion des services informatiques : l’atout majeur des PME

J’entends souvent mes clients dire que les bonnes pratiques TI (notamment basées sur ITIL) sont réservée aux grandes entreprises. Bien que très répandue, cette croyance est totalement fausse. Les PME sont au contraires les premières à tirer un bénéfice certain de leur informatique. Je vais, dans cet article, essayer de mieux vous faire comprendre quelles sont les 4 raisons essentielles pour lesquelles une meilleure gestion des services informatiques constitue un atout majeur pour une PME.

Gestion des services informatiques (ITSM - ITIL) : l'atout majeur des PME
Crédit © rawpixel.com 2018

Il y aune idée reçue à propos de la gestion des services informatiques (ITSM) dans le monde informatique. Certains professionnels et certaines organisations pensent que la gestion des services informatiques n’est rien de plus qu’un fouillis de processus bureaucratiques qui ne font que freiner la productivité et ne peuvent être efficacement mis en œuvre que par de grandes organisations. Nous parlons ici d’organisations plutôt que d’entreprises car elles peuvent être publiques, privées, à but commercial ou non.

Mais je vais vous confier un secret. Une bonne gestion des services informatiques peut être l’arme secrète permettant à une PME de s’imposer sur son marché.

La gestion des services informatiques n’a pas besoin d’être compliquée. Après tout, l’ITSM est simplement un ensemble de pratiques définies pour la mise en œuvre, la gestion et la fourniture de services informatiques répondant aux besoins de l’organisation. Elle doit donc s’adapter à la taille et aux ressources de l’organisation. Et ce, d’autant plus lorsqu’il s’agit d’une PME.

Mais qu’est-ce vraiment que la gestion des services informatiques? Je vous propose la description suivante basée sur 3 caractéristiques :

  • Un ensemble de services fiables, cohérents et conformes aux attentes des clients et aux moyens de l’informatique,
  • Elle apporte une contribution mesurable de l’informatique à la valeur commerciale générée par les métiers,
  • Elle s’appuie sur des processus efficaces, définis, documentés et basés sur les données fiables.

Qu’en pensez-vous? N’est-ce pas ce qu’attend toute organisation? Cela ne résonne pas exactement comme quelque chose qui ne profiterait qu’aux grandes entreprises, n’est-ce pas?

De nombreuses personnes reconnaissent les avantages d’une excellente gestion des technologies de l’information. Laissez-moi donc vous expliquer pourquoi cette technologie et les services associés sont si importants pour les PME.

1. L’expérience utilisateur

Les attentes des clients ont radicalement changé au cours des dernières années, en partie grâce aux nouvelles technologies. Les clients attendent des réponses en rapides, des parcours personnalisés et une innovation continue des entreprises.

Prenons l’exemple d’Amazon. Vous pensez vraiment que les clients achètent chez Amazon simplement parce que c’est Amazon? Bon, c’est peut-être le cas maintenant. Mais à l’origine, les clients commençaient à acheter chez Amazon, tout simplement parce qu’Amazon facilitait leurs achats. Amazon a commencé par faire des choses simples répondant aux attentes des clients, comme proposer des offres d’achat personnalisées, envoyer des notifications d’expédition immédiate et maintenir un service client réactif. Une «expérience de type Amazon» est désormais ce qu’attend le client de chaque entreprise.

Bien sûr, la plupart des petites entreprises fonctionnent avec un personnel limité. Et par conséquent, les PME peuvent avoir des difficultés à répondre à des attentes de type «Amazon».

C’est là que les services informatiques entrent en jeu. l’ITSM aide les PME à fournir des services plus rapides et plus fiables et surtout sans nécessiter de main-d’œuvre supplémentaire. En fin de compte, cela signifie une expérience client plus fluide et plus cohérente, sans frais généraux supplémentaires. Et bien sûr, cela ne nécessite pas un personnel plus important.

En voici un autre exemple avec les boutiques sans employés en Chine. Nul doute que la Chine a pris de l’avance sur nous. Mais il faut réagir vite. La concurrence Chinoise ne va pas tarder à attaquer notre commerce de détail. Nul doute que d’ici peu nos supérettes ressembleront à cela. Ou alors elles auront disparu.

Vous imaginez bien que les services informatiques, dans l’exemple de cette vidéo doivent être totalement fiables et sécurisés. Il est donc souhaitable de s’appuyer sur des bonnes pratiques de gestion des services TI tels que ITIL par exemple.

2. L’agilité

Le monde des affaires est incroyablement compétitif. La concurrence est mondiale. La technologie a permis à chaque entreprise d’avancer plus vite et de se développer plus rapidement. Si vous n’êtes pas en avance sur la courbe, c’est que vous êtes déjà en retard! L’agilité est donc une nécessité absolue pour les PME. C’est même une question de survie.

L’ITSM aide les organisations à structurer leurs activités afin de répondre rapidement aux besoins les plus urgents et les plus importants. Elle aide à éliminer les interruptions et les problèmes épineux qu’il faut constamment résoudre. Enfin, l’ITSM aide les équipes à rester concentrées sur les résultats qui permettent à l’entreprise de prendre de l’avance et à la maintenir.

3. Les services informatiques sont plus faciles à mettre en oeuvre dans les PME

Comme je viens de le mentionner les PME doivent être flexibles et agiles pour pouvoir faire face à la concurrence. Les PME doivent se concentrer sur les projets et les services qui généreront des revenus et augmenteront leurs résultats nets.

Pour cette raison, les PME sont particulièrement bien placées pour tirer des bénéfices de leurs services informatiques plus rapidement que les grandes entreprises. Dans une PME, les équipes sont plus petites et doivent collaborer plus souvent sur les projets les plus critiques et les plus importants. Les employés voient souvent les résultats de leurs efforts plus directement que ceux qui travaillent dans de grandes organisations.

Par conséquent, il y a moins de personnes à convaincre pour soutenir un projet de mise en œuvre de l’ITSM. Il y a également moins silos à casser, et une meilleure compréhension de la manière dont tout le monde collabore à un objectif commun.

4. Aller plus loin avec le même budget

Contrairement à de nombreux mythes, la gestion des services informatiques ne se résume pas à l’achat d’un outil le plus récent et le plus performant. Ce n’est pas non plus une méthode. Il s’agit de créer des processus et des flux d’activités afin que l’ensemble de l’organisation fonctionne mieux avec l’objectif de permettre une expérience client transparente.

La création de processus efficaces et de services bien définis garantit la croissance de votre entreprise à un niveau satisfaisant. Lorsque vous avez les bons processus et des services clairs, vous pouvez être assuré que votre équipe est concentrée sur le business. Ainsi, lorsque le moment sera venu pour vous de vous développer et d’embaucher plus de membres dans votre équipe, ce sera parce que l’entreprise grandira, et non pas parce que votre équipe est trop occupée et stressée, et qu’elle ne réalise pas réellement le business attendu.

En outre, la gestion des services informatiques ne démarre pas avec l’acquisition d’un outil. Il faut d’abord se concentrer sur les besoins de l’entreprise. Ensuite il faut identifier et définir les processus, les services et les flux d’activités nécessaires pour répondre aux besoins. En partant de cette perspective, vous éviterez de gaspiller de l’argent pour des outils qui ne soutiendront jamais votre entreprise. Lorsque vous investirez dans un outil, vous saurez qu’il fonctionne avec les processus que vous avez déjà définis. Et par conséquent, il sera utilisé correctement.

Comment démarrer la mise en oeuvre de l’ITSM dans votre PME?

Je vous ai convaincu? Vous souhaitez démarrer la mise en oeuvre de la gestion des services TI dans votre organisation? Alors commençons par répondre à quelques questions. Cela vous aidera à comprendre clairement comment la gestion des services informatiques peut s’intégrer dans votre organisation.

N’oubliez pas ce que j’ai indiqué précédemment. La gestion des services informatiques ne se résume pas à acheter l’outil le plus récent et le meilleur du marché! Évitez de plonger directement avec l’achat d’un outil sophistiqué. Commencez par la définition des services et des processus nécessaires!

Évitez l’erreur commune de vous planter avant même de vous lancer! Les réponses à ces questions vous aideront beaucoup plus que n’importe quel outil coûteux à cette étape de votre projet ITSM:

  • Identifiez comment votre entreprise utilise ou dépend de la technologie informatique.
  • Quelles sont les activités courantes de votre équipe pour aider votre entreprise à utiliser la technologie?
  • Êtes-vous en mesure de mesurer la contribution de la technologie à votre entreprise?
  • Êtes-vous en mesure de mesurer et de discuter de la manière dont votre équipe informatique contribue au succès de votre entreprise, en termes pertinents?
  • Qu’est-ce qui pourrait être fait différemment dans la manière dont l’informatique contribue au succès de l’entreprise?
  • Identifiez les petites améliorations susceptibles d’apporter de gros gains à votre entreprise.

Faites les choses dans le bon ordre

Une fois que vous aurez répondu à ces questions, il sera temps de commencer à vous familiariser avec les différents cadres de gestion des services informatiques et de savoir comment. Assistez à des webinaires et à des réunions de groupes d’utilisateurs pour découvrir les avantages de la gestion des technologies de l’information pour votre entreprise. Discutez avec des experts ou lisez des blogs et des livres blancs sur la meilleure façon de démarrer avec l’ITSM. Suivez des formations sur les différents référentiels de bonnes pratiques et les normes disponibles : ITIL, COBIT, VerISM, ISO 20000, …

C’est le début de l’année et de nombreuses PME ont encore des objectifs ambitieux, des plans et des échéances excitantes. Le moment est donc idéal pour aller au-delà de votre plan d’action et pour vous assurer de respecter tous vos objectifs cette année!

N’hésitez pas à nous faire part de votre avis en nous laissant vos commentaires. C’est grâce aux échanges que vous pourrez cibler les domaines d’amélioration potentielle de vos services TI.

 

19 résolutions pour une année 2019 réussie

2018 vient de se terminer. Et ce fut une année riche en nouveautés dans les domaines de la gouvernance, du management des TI et de la sécurité de l’information. C’est donc le moment idéal pour souhaiter une très belle année 2019 à tous nous lecteurs de la part de toute l’équipe de 2AB & Associates. Cette année 2019 va voir arriver sans doute encore plus de nouveautés que la précédente. Et cela va commencer dès les prochaines semaines et les prochains mois.

Bonne année 2019
Crédits © rawpixel.com 2018

Mais avant de nous concentrer sur ce qui arriver ou ce qui vient d’arriver, essayons de garder les pieds sur terre. Traditionnellement, chaque début d’année est propice aux bonnes résolutions. Alors, pour ne pas faillir à la tradition, nous avons également réfléchi à ce qui pourrait servir de base pour de bonnes résolutions dans les départements ITSM des organisations.

« C’est une nouvelle ère. C’est un nouveau jour. C’est une nouvelle vie pour moi. Et je me sens bien! »  Est-ce vraiment ce que vous vous êtes dit en rentrant dans votre bureau le 2 Janvier? D’accord, certains d’entre vous l’ont peut-être dit. Mais beaucoup d’entre vous n’ont fait que recommencer la même course, la nouvelle année marquant seulement le début de 12 mois de nouveaux défis. Ces nouveaux défis seront accompagnés d’une grande partie des anciens, qui sont toujours là. Alors, que devriez-vous faire pour commencer 2019 de la bonne façon – ou au moins de la meilleure façon possible?

Ou, dit autrement,

Démarrez dans la bonne direction

Mon premier groupe de conseils pour 2019 porte sur la construction des fondations appropriées pour les améliorations et les changements futurs.

1. Comprenez que l’informatique «telle que nous la connaissons» est en train de changer rapidement

Beaucoup de changements sont intervenus récemment. Ils concernent la technologie que nous gérons. Mais ils affectent aussi celle que nous utilisons pour nous aider à gérer l’informatique. La demande de l’entreprise et son besoin confiance en cette technologie (ainsi que dans les services auxquels elle contribue) ne cessent de croître. Et il en est ainsi également des attentes croissantes des employés et des clients externes qui bénéficient des meilleurs résultats des stratégies d’expérience utilisateur. Tous ces facteurs, ainsi que d’autres, vont changer radicalement la gestion des services TI au cours des 12 prochains mois et au-delà. Il est temps pour vous de changer et vous adapter. Sinon c’est vous qu’on risque de changer.

2. Appuyez-vous sur les bonnes pratiques pour susciter le changement

Si vous lisez régulièrement mon blog, vous avez déjà découvert les nouvelles versions de VeriSM, ISO/IEC 20000, COBIT et ITIL. La première vague d’ITIL 4 arrive au premier trimestre 2019. D’une part, c’est formidable. Ce cadre de bonnes pratiques est enfin en train de rattraper le monde en rapide évolution dans lequel nous travaillons. De l’autre côté, cependant, ces «nouvelles versions» vont potentiellement stimuler les activités axées sur un accroissement de flexibilité par les personnes qui y sont exposées. Il en résultera beaucoup de petites activités de changement potentiellement disparates. Bien sûr, vous pouvez toujours considérer cela comme «mieux que rien». Il est toutefois bien plus raisonnable d’envisager tous ces changements à venir dans le cadre d’une approche globale d’amélioration. C’est la seule façon de pouvoir en tirer le meilleur avantage.

3. Commencez enfin à penser et à communiquer en termes de valeur business – et non informatique.

Cela ne concerne bien sûr que ceux et celles qui ne le font pas déjà. C’est la grande orientation que prend l’industrie de la gestion des services informatiques aujourd’hui. Nombreux sont ceux qui considèrent qu’elle aurait déjà dû être dans cette approche de «focalisation sur la valeur» depuis des années. Une de ces voix est celle de Paul Wilkinson, dont les ateliers révèlent généralement que le principal reproche que les cadres supérieurs font à leurs collègues des TI est qu’ils ne comprennent «pas la priorité business et l’impact de l’informatique sur l’entreprise».

4. Réalisez que l’amélioration réelle de la gestion des services informatiques ne se réalisera que si vous la planifiez de manière proactive.

Vous savez probablement déjà ce qui se passe souvent avec vos meilleures ambitions d’amélioration de l’ITSM. Le «vrai travail» vous en empêche. Le tumulte quotidien au sein du département TI, et en particulier du support informatique, empêche les gens de prendre du temps pour «sortir la tête de l’eau». Ils « courent » en permanence pour satisfaire les utilisateurs. Une approche proactive d’amélioration nécessite non seulement de justifier des ressources et des coûts supplémentaires. Mais ce n’est pas suffisant. Il faut aussi de veiller à ce que les opportunités soient bien priorisées en fonction des besoins et des objectifs du business. Il est également indispensable de pouvoir ensuite mesurer et communiquer les résultats atteints par rapport aux objectifs de l’entreprise.

5. Chassez les idées fausses

Ne faites pas l’erreur de penser que l’amélioration des services TI engendre toujours une amélioration de la performance du business. Ce n’est pas vrai. Au lieu de cela, vous devez vraiment comprendre les effets ultimes des idées potentielles d’amélioration des TI sur les résultats business. Et comprenez également que, de façon perverse, il n’est pas impossible que les améliorations apportées à la gestion des services informatiques aient un effet négatif sur les résultats de l’entreprise.

Pourquoi? Prenons un exemple très simple: l’organisation informatique a réussi à favoriser l’adoption du libre-service informatique. C’est un gros succès pour le département informatique qui se trouve libéré de multiple tâches de support. Dès lors, les commerciaux de l’entreprise se débrouillent maintenant seuls pour résoudre leurs incidents informatiques. Ils sont autonomes pour faire les demandes de nouveaux services. Du coup, du fait de leur inefficacité dans ce domaine et de leur mauvaise compréhension, ils perdent beaucoup de temps à cela. Ce temps perdu est évidemment répercuté sur le temps consacré à leurs activités business. Or c’est leur activité business qui crée de la valeur pour l’entreprise. Au final, les économies opérationnelles réalisées par le centre de services informatiques sont très largement contrebalancées par la baisse des ventes mensuelles. Et c’est l’entreprise toute entière qui est impactée négativement. C’est un cas simple que j’ai déjà rencontré à plusieurs reprises et qui mérite d’être médité lorsque l’on cherche à s’améliorer.

6. Identifiez et priorisez les améliorations ITSM par le biais de conversations avec vos clients, et non avec les informaticiens.

Vous avez sans doute déjà une longue liste de choses que vous aimeriez améliorer. Mais vous devez faire attention à ce que ce soient les «bonnes choses», du point de vue business. C’est particulièrement le cas lorsque ce qui semble être une amélioration très intéressante en matière de gestion des services informatique n’a que peu d’impact positif sur les opérations business (voir le point précédent). Ainsi, plutôt que de considérer l’amélioration du point de vue du département IT, vous devez toujours partir de l’extérieur et aller de l’avant vers l’intérieur. C’est à dire qu’il faut systématiquement opter pour une approche externe. C’est toujours le business qui doit être le point de départ.

7. Analysez vos précédentes activités d’amélioration des services TI.

Cette activité d’analyse est, hélas, trop souvent négligée. L’orientation prospective du département informatique empêche souvent de revenir sur ce qui s’est passé auparavant. Pourtant, comme pour tout ce que vous faites dans le domaine des TI, cela vous permettra d’apprendre du passé (et des autres). Il s’agit non seulement de tirer des leçons de ce qui n’a pas bien fonctionné, mais également de ce qui s’est bien passé. Il faut surtout comprendre le « pourquoi » afin d’identifier les risques et les améliorations à apporter. Ces résultats d’analyse devront ensuite être pris en compte dans les activités d’amélioration de 2019. Vous éviterez ainsi de refaire éternellement les mêmes erreurs.

Focalisez-vous sur ce qui est vraiment important

Mon deuxième groupe de conseils pour 2019 concerne les tendances et les innovations qui affecteront votre façon traditionnelle de penser ainsi que votre façon d’exploiter vos services TI.

8. Prenez conscience de l’importance de l’expérience utilisateur en matière de services TI.

Aussi loin que je me souvienne, les meilleures pratiques en matière de gestion des TI n’ont jamais voulu reconnaître les utilisateurs finaux comme étant des clients. Elles se basaient pour cela sur le fait qu’ils ne paient pas personnellement leur s services informatiques. Elles considéraient donc que les clients étant plutôt des cadres supérieurs (ceux-ci risquant d’ailleurs de ne pas payer les factures informatiques). Cependant, tout cela n’a aujourd’hui plus aucune importance. En effet  c’est l’expérience des employés qui est désormais au centre. Car l’informatique n’est qu’un outil au service des employés pour leur faciliter l’atteinte de leurs objectifs business. L’aspect majeur, c’est que le fait de ne pas tenir compte de l’expérience des employés aura probablement une incidence négative sur le succès, la valeur et la pertinence du service informatique pour toute l’entreprise.

9. Préparez-vous pour l’arrivée de l’intelligence artificielle (IA) dans le domaine des services TI.

Vous n’y échapperez pas. Il est impossible que votre organisation, votre département informatique et vos activités TI ne soient pas affectées par les opportunités offertes par l’intelligence artificielle en 2019. Et, au cours de la prochaine année, de plus en plus de fournisseurs d’outils ITSM introduiront des fonctionnalités d’intelligence artificielle basées sur des tâches, notamment pour le support. Cela va des chatbots à la catégorisation, à la hiérarchisation et au routage automatisés des tickets. Le battage médiatique de 2018 sur l’IA deviendra une réalité en 2019. Et ce sera essentiel pour améliorer l’ITSM dans les trois domaines suivants: «meilleur, plus rapide, moins cher». Alors, êtes-vous prêt, ou serez-vous prêt pour l’arrivée imminente de l’IA?

10. … Et essayez d’éviter un déferlement incontrôlé de l’IA.

En informatique, nous sommes souvent confrontés à la nécessité faire face à «un déferlement», où la technique et les coûts technologiques ne sont pas contrôlés. Ainsi, la virtualisation et la prolifération des machines virtuelles (VM) constituent un cas d’école bien connu. Les entreprises paient pour une plus grande «capacité», c’est-à-dire plus de VM, qu’elles n’en ont réellement besoin (et n’en utilisent). Ensuite, il y a eu la prolifération des services cloud (l’infonuagique). Et là encore, en raison du manque de contrôle sur les capacités de cloud payées on a sur-dépensé pour des capacités dont certaines n’étaient pas nécessaires. Maintenant, alors que les services informatiques et d’autres fonctions business cherchent à exploiter l’intelligence artificielle, ils ne doivent pas se retrouver face aux mêmes situations. Ce n’est pas tellement lié à la capacité redondante, mais plus à la disparité et au nombre d’initiatives d’IA. Contrairement à une mise en oeuvre centralisée et contrôlée, cela conduira à une duplication des efforts et à des coûts d’achat et de fonctionnement plus élevés (et probablement à des problèmes d’interopérabilité).

11. Cessez de parler de création de valeur par la gestion des services TI à vos collègues du business

Attendez!? Quoi!? Ne vous inquiétez pas, c’est l’une de ces situations du type «Le roi est mort, vive le roi». La gestion des services TI est toujours aussi bénéfique pour votre entreprise. Par contre, il est important de faire la distinction entre ce dont on parle et comment cela s’appelle. La plupart des personnes de votre entreprise (y compris au sein des équipes informatiques) ne savent pas ou ne se soucient pas de ce qu’est vraiment la gestion des services TI. La plupart, cependant, comprennent que «la transformation numérique est un impératif commercial» (peu importe ce que cela signifie). Et les éléments de la gestion de services informatiques que nous connaissons et aimons peuvent jouer un rôle efficace dans la transformation numérique. C’est le cas en particulier dans la transformation du back-office. Il peut s’agir par exemple de remplacer les procédures manuelles souvent lentes par une automatisation améliorée, une meilleure compréhension et, pour l’avenir, de tirer avantage de l’AI.

12. Repensez vos stratégies et vos politiques en matière de ressources humaines.

J’ai parlé de certains changements importants ayant une incidence sur la gestion des services TI dans les points précédents. Cependant, les responsables informatiques doivent également tenir compte les effets de ces changements sur les personnes. Et ils doivent se préparer à y réagir. C’est un sujet qui mérite beaucoup plus qu’un simple point et un conseil, mais je vais essayer d’être bref.

Pour commencer, il faut bien comprendre qu’il est de plus en plus difficile de travailler dans l’informatique. Les informaticiens se sentent de plus en plus mal à leur place. Le stress quotidien augmente considérablement sur le lieu de travail et conduit à des difficultés de rétention du personnel. De plus, les types de compétences et de capacités requises du personnel évoluent en permanence. Cela va de l’attitude à l’aptitude du centre de services informatiques à travailler avec succès, en s’améliorant continuellement en s’appuyant sur de nouvelles fonctionnalités basées sur l’IA. Non seulement de nouvelles méthodes de travail apparaissent, mais aussi de nouveaux rôles traitant de tâches et de problèmes plus complexes. Ceci est dû notamment à un accroissement du libre-service, de l’automatisation et de l’IA qui ont supprimé les tâches plus simples. Les techniciens se retrouvent donc désormais uniquement face à des tâches complexes.

13. Reconsidérez la façon dont vous évaluez la satisfaction des utilisateurs face à l’informatique.

Le traditionnel questionnaire de satisfaction constitue depuis longtemps l’outil privilégié pour comprendre ce que vos clients, c’est-à-dire vos collègues de travail, pensent de l’organisation informatique et du support en particulier. Toutefois, l’industrie de la gestion des services informatiques (ITSM) tarde à prendre conscience du fait que cette mesure – ou du moins les questions qui sont posées et la manière dont elles sont posées – cache la véritable perception des clients en matière d’informatique. Et si les perceptions des clients ne sont pas bien comprises, toutes les activités entreprises pour vous améliorer sont probablement mal ciblées. Pour citer le légendaire Ivor Macfarlane: « Si nous mesurons les mauvaises choses, nous améliorerons probablement seulement les mauvaises choses ».

14. Evaluez votre niveau de gestion des connaissances et le succès de votre libre-service

Pourquoi? Parce que ce sont deux domaines qui devraient influencer positivement vos succès en matière d’IA. Mais cela sera possible seulement si vous «exploitez» au mieux ces deux domaines. Et, malheureusement, de nombreuses organisations informatiques ont beaucoup de mal à traduire les technologies associées en fonctionnalités que les employés utilisent activement au quotidien.

15. Examinez bien la façon dont vos collaborez avec les équipes de développement

Je ne m’étendrai pas sur ce point, car mon article est déjà long et j’aime penser que les choses s’améliorent. Cependant «70% des répondants pensent que le personnel ITSM n’a pas été suffisamment impliqué dans les activités et les ambitions DevOps du business” selon une enquête ITSM réalisée mi-2017. Alors, prenez le temps de vous demander si les communautés de la production, du support et DevOps collaborent vraiment bien au sein de votre organisation. Si elles ne le font pas, alors faites enfin quelque chose de positif sur ce sujet critique. Et rappelez-vous que le point critique dans une approche DevOps c’est l’aspect culturel.

16. Investissez massivement sur la facilitation du changement organisationnel

Non, je ne parle pas ici du processus de gestion du changement préconisé par ITIL. Je fais bien référence à la gestion du changement organisationnel (OCM) qui est essentiellement culturel. Il est indispensable de reconnaître que la plupart des changements technologiques et commerciaux sont en définitive des changements liés aux personnes.

La publication « ITIL Practitioner Guidance » décrit la gestion du changement organisationnel (OCM) comme suit: «Une approche permettant de gérer les effets du changement sur les personnes, ce qui peut être dû à de nouveaux processus métier, à des changements de structure organisationnelle ou à des changements culturels au sein d’une entreprise. En termes simples, OCM s’adresse au côté humain de la gestion du changement. ». Il s’agit en réalité de comprendre comment nous, humains, réagissons au changement, puis d’utiliser des outils et des techniques éprouvés pour aider les gens à adhérer à un changement donné. COBIT prend d’ailleurs très au sérieux ce sujet qui se traduit dans plusieurs composantes de la gouvernance et du management.

Regardez au delà de chaque changement pris individuellement

Mon dernier groupe de conseils de 2019 concerne la durabilité des activités d’amélioration dans le temps.

17. Obtenez la mesure de vos mesures ITSM

Depuis combien de temps utilisez-vous les mêmes mesures ITSM? Et en particulier depuis combien de temps avez-vous les mêmes indicateurs de performance clés pour votre centre de services? J’ai déjà évoqué la nécessité de mieux comprendre la perception des clients vis-à-vis de l’informatique, au-delà du questionnaire de satisfaction client traditionnel. Mais il existe également de nombreuses autres raisons d’investir du temps et des ressources dans la révision de vos métriques.

Par exemple, une fois que vous avez une meilleure compréhension de ce qui influence ou motive le «bonheur» du client, vous pouvez ensuite identifier les indicateurs actuels qui génèrent les comportements et actions incorrects du personnel informatique, puis les résultats obtenus, par rapport aux besoins désormais connus du client. Et donc vous pouvez identifier les attentes. Ou encore, comment les mesures d’efficacité traditionnelles seront affectées par le succès du libre-service, de l’automatisation et de l’IA. Sera-t-il possible de modifier simplement les cibles ou est-il plus facile de simplement mettre quelques mesures nouvelles dans votre tableau de bord? Par exemple vous pourriez mesurer le taux de résolution de premier contact.

18. N’oubliez pas de communiquer largement sur vos succès

C’est facile à faire! Pourtant c’est rarement fait… Tout le monde est tellement occupé par les tâches quotidiennes que tous les succès en matière d’amélioration sont rapidement «salués de la tête», puis on passe à autre chose. Si vous vous êtes longtemps battu pour obtenir des ressources et des budgets supplémentaires pour atteindre vos objectifs, ne pas communiquer efficacement vos succès revient à «vous tirer une balle dans le pied». En effet si vous ne communiquez pas, on oubliera que vous avez atteint votre objectif. Et, au final, il en résultera une impression de faible retour sur investissement.  Et, point important, obtenir des budgets d’amélioration en 2020 sera probablement encore plus difficile.

19. Essayez d’aider les autres mais surtout aidez-vous vous-même

Le succès futur de l’ITSM dépend, et a probablement toujours dépendu, de ceux qui ont pu aider les autres à réussir. Traditionnellement, cela a pu se faire via les nombreuses conférences mondiales liées à l’ITSM ou, pour quelques-uns, en contribuant aux publications officielles des meilleures pratiques ITSM. Cependant, comme le montre l’évolution rapide et le succès de DevOps, nos vies de plus en plus sociales et connectées offrent davantage de possibilités de partage et de collaboration entre pairs – en amélioration itérative – pour des bonnes pratiques émergentes qui pourraient bien remplacer les meilleures pratiques « à l’ancienne » rapidement obsolètes.

Voici donc mes 19 conseils ITSM pour 2019.  Que pensez-vous devoir ajouter? Avec quoi n’êtes-vous pas d’accord? S’il vous plaît exprimez-vous dans les commentaires.

ITIL – Les raisons d’échec dans votre organisation

Souvent la mise en oeuvre des meilleurs pratiques ITSM basées sur ITIL ne produit pas les bénéfices espérés. Nous analysons ici les raisons d’échec des « projets d’implémentation ITIL » parmi les plus courantes. Mais est-ce vraiment ITIL qui est en cause? N’est-ce pas plutôt votre organisation? Essayons de garder un esprit ouvert et d’analyser objectivement les choses.

ITIL : les raisons de l'échec d'implémentation des meilleurs pratiques ITSM dans votre Organisation
Crédit © AdobeStock & Zinkevych 2018

Tout d’abord il faut bien se souvenir de ce qu’est ITIL. ITIL est un cadre de bonnes pratiques pour l’amélioration des services informatiques dans l’entreprise. ITIL n’est pas prescription. Ce n’est pas une méthodologie. C’est simplement un ensemble des meilleurs pratiques recensées dans le monde entier au fil des ans. Ces pratiques se déclinent au travers de processus répartis dans les 5 phases du cycle de vie des services. Elles sont par essence génériques. Ils faut bien évidemment les avoir comprises et surtout avoir compris quels sont les objectifs visés. Ensuite elles doivent être adaptées au cas spécifique de chaque entreprise avant d’être mises en oeuvre. Et c’est là que se produit en général le problème. Nous l’avons d’ailleurs décrit dans deux articles précédemment publiés sur notre blog : ITIL – 5 erreurs majeures de mise en oeuvre et ITIL – 6 autres erreurs de mise en oeuvre.

ITIL : un constat d’échec dans beaucoup d’organisations

Il est clair que le cadre de bonnes pratiques ITIL, vieux maintenant d’une trentaine d’années, a largement fait ses preuves. Pourtant bon nombre d’organisations font un constat d’échec après avoir vainement tenter d’améliorer la qualité de leurs services IT en s’appuyant sur la bibliothèque de meilleures pratiques d’AXELOS. Les résultats ne sont souvent pas à la hauteur de leurs attentes.

Quelques constats entendus chez mes clients

Nous cherchions à réduire les coûts de notre informatique. Ce n’est pas l’objectif d’ITIL. L’objectif est d’améliorer la création de valeur pour les clients.

Nous avons investi dans un outil censé être « certifié » et cela nous a coûté très cher. Dans le meilleur des cas l’outil a coûté cher mais n’a rien amélioré du tout. Dans le pire des cas l’outil a coûté cher et notre informatique est encore moins performante qu’avant.

On a investi un gros budget dans la formation de tous les membres de l’équipe informatique mais rien n’a vraiment changé. Normal, on a formé les gens sur le niveau Foundation dont l’objectif est d’apprendre les concepts et le vocabulaire. C’est très insuffisant pour mettre en oeuvre quelque chose d’aussi complexe.

On a fait appel à un consultant à qui on fait entière confiance car il est certifié ITIL expert. Ca nous a coûté très cher mais tout ce qu’il a fait a échoué. Normal, les bonnes pratiques en gestion des services IT s’appuient sur une co-réalisation entre les métiers et la DSI. Généralement un « Expert ITIL  » est un informaticien, expert dans la maîtrise des processus ITIL sur le domaine de la DSI. Normal donc que cela échoue car il faudrait qu’il soit aussi un praticien certifié au minimum avec une grande expérience business..

Une même raison à ces échecs

Tous ces échecs ont donc une bonne raison. Mais cette raison ne se trouve pas au sein même des pratiques ITIL. Cette raison est toujours liée à la façon dont on a voulu les mettre en oeuvre, sans vraiment en comprendre les enjeux. Souvent cela aboutit à alourdir le fonctionnement de l’organisation et à lui ôter toute possibilité d’agilité. C’est là un comble car c’est ce dont les organisations ont le plus besoin en 2018!

Essayons donc de comprendre ce qui a bien pu se passer pour conduire à cette situation.

Les raisons de l’échec de la mise en oeuvre d’ITIL

Vous utilisez ITIL comme des recettes de cuisine

La première, et sans doute une des plus courantes, raison de l’échec de la mise en oeuvre est de considérer les publications ITIL comme des livres de recettes de cuisine. Ce n’est pas non plus l’évangile. C’est juste un guide et un cadre de bonnes pratiques. Or, dans certaines organisations, certains responsables, à un certain niveau, vraiment emballés par l’idée qu’ITIL pourrait être la solution à leurs problèmes, essaient de mettre en œuvre toutes les directives des livres. Cette approche ne fonctionnera jamais!

ITIL a été créé dans les années 1980 par l’agence centrale d’informatique et de télécommunications du gouvernement britannique. Il n’a jamais été conçu pour devenir un produit exclusif qui serait commercialisé et vendu. Le projet initial était censé rassembler les meilleures pratiques pour contribuer à ce que le gouvernement considérait comme une dépendance croissante à l’égard des technologies de l’information, combiné à un manque de pratiques standard entraînant une augmentation des coûts et des erreurs.

Si ITIL s’est ensuite développé dans les entreprises privées c’est tout simplement parce que cela fonctionne. Mais hélas, pas comme beaucoup d’organisations le pensent.

ITIL fonctionne parce qu’il inclut les meilleures pratiques du domaine. Mais il s’agit simplement d’un cadre. Il ne doit pas être suivi étape par étape. Ce n’est pas une méthode!

Le meilleur moyen de faire en sorte qu’ITIL fonctionne dans votre entreprise est d’adopter les directives et les pratiques qui conviennent à votre entreprise et d’oublier le reste. Cela signifie qu’il faut d’abord bien comprendre le contexte de l’entreprise, sa stratégie business et la capacité des ressources dont elle dispose, que ce soit au niveau humain, financier ou matériel. Il est donc indispensable que le projet de mise en oeuvre des pratiques préconisées soit le résultat d’une collaboration profonde et efficace entre la haute direction, les directions métiers et la DSI. Il ne s’agit pas d’un projet strictement « informatique » comme beaucoup le croient.

Vous vous focalisez beaucoup trop sur les processus

ITIL V3 décrit 26 processus organisés en cinq étapes de cycle de vie des services. Chaque étape du cycle de vie est décrite dans une publication spécifique – Stratégie des services, Conception des services, Transition des services, Exploitation des services et Amélioration continue des services.

Les descriptions de processus d’ITIL V3 incluent des exemples de flux d’activités typiques. Par exemple, la description de la gestion des changements comprend un diagramme intitulé «Exemple de flux de processus pour un changement normale». Mais bien que les livres contiennent beaucoup d’autres excellents contenus, les exemples de flux de processus semblent avoir acquis leur vie propre. Ils sont clairement identifiés comme des exemples de la manière dont vous pourriez effectuer le travail. Or il existe une fâcheuse tendance à les considérer comme des étapes obligatoires: « ITIL dit que c’est comme ça qu’il faut faire ». FAUX! Ce n’est pas du tout ce que les auteurs, à l’origine, voulaient dire.

Il y a aussi un second problème. La conception de services ITIL décrit «les quatre piliers de la conception de services»: personnes, processus, produits (services, technologie et outils) et partenaires (fournisseurs, fabricants et vendeurs). Or, la quasi-totalité de la littérature publiée concerne les processus. Il y a très peu de conseils sur les personnes, les produits et les partenaires.

Cette insistance sur les processus peut conduire à de très mauvaises utilisations ITIL. Certaines organisations se contentent de documenter les processus et pensent avoir dès lors « implémenté » ITIL! D’autres organisations se concentrent sur quelques processus spécifiques et sont souvent déçues des résultats. Certes on ne peut pas tout mettre en oeuvre mais certaines pratiques ne créent de la valeur qu’associées avec d’autres. Il est donc essentiel de les mettre en oeuvre ensemble. Séparément elles ne créeront pas beaucoup de valeur, voire même elles contribueront à la détruire.

Vous mettez en oeuvre les bonnes pratiques en SILOS

Lorsque les organisations adoptent ITIL V3, elles considèrent souvent chacun des processus comme un ensemble d’activités distinct. Chaque processus a flux d’activités et ces flux sont indépendants les uns des autres. Par contre, les activités nécessaires pour créer de la valeur pour nos clients payants dépendent rarement du bon fonctionnement d’un seul processus en particulier. Le plus souvent, pour satisfaire les clients, nous avons besoin d’une combinaison d’éléments issus de plusieurs processus. Par exemple, la résolution d’un problème qui affecte les utilisateurs d’un service peut nécessiter des activités provenant de:

  • La gestion des incidents pour diagnostiquer les incidents remontés par des utilisateurs individuels et proposer des solutions de contournement,
  • Mais aussi la gestion des problèmes pour analyser les causes sous-jacentes et élaborer des solutions à long terme,
  • Sans oublier la gestion des actifs de service et de la configuration pour fournir les informations nécessaires à la gestion des incidents et des problèmes (notamment pour évaluer les impacts),
  • Ni la gestion financière pour  allouer un budget pour pouvoir développer une solution,
  • Bien sûr la gestion de la disponibilité et la gestion de la capacité pour analyser des solutions alternatives et formuler des recommandations,
  • Ainsi que la gestion des mises en production et du déploiement pour planifier le déploiement d’un correctif logiciel ou d’un composant matériel,
  • Sous le contrôle de la gestion des changement pour évaluer, approuver et surveiller le déploiement du logiciel,
  • Avec le support de la coordination de la conception pour superviser la conception et le développement d’une solution,
  • Et potentiellement beaucoup plus…

Lorsque chacun de ces processus a son propre flux d’activités vu de façon indépendante, cela peut entraîner des délais très longs. Nous l’avons d’ailleurs décrit dans un de nos précédents articles: Les changements à l’heure de DEVOPS. Les très bonnes organisations comprennent comment gérer le flux d’activités entre plusieurs processus. Hélas, ITIL V3 ne fournit pas assez de conseils pour aider les autres à bien faire les choses. En réalité, la V3 ne préconise pas de créer un flux d’activités distinct pour chaque processus. Mais c’est l’approche la plus simple à adopter. C’est donc celle que de nombreuses organisations ont mis en place dans le cadre de leur «implémentation d’ITIL».

Vous n’incluez pas les métiers dans la mise en oeuvre

Les mots ITIL et ITSM commencent par «IT» mais cela ne signifie pas qu’elles ne s’appliquent exclusivement qu’à «des initiatives purement informatiques».

Les équipes informatiques ne peuvent plus travailler en silo et implémenter une ITSM basée sur ITIL sans obtenir l’assentiment de tous les membres de la direction ou de toute personne extérieure au département informatique. C’est une recette imparable pour aboutir à une catastrophe. Le service informatique interagit avec le reste de l’entreprise. Il vous faut donc déterminer ce dont les métiers ont besoin pour réussir. Il faut ensuite déterminer la capacité de l’informatique à répondre à ces besoins. C’est ensuite seulement que l’ITSM peut vous aider

Si vous souhaitez réussir à tirer le meilleur parti d ITIL vous devez arriver à l’expliquer de façon compréhensible pour la haute direction. Mais faites attention, ils ne parlent ni le jargon ITIL ni le jargon informatique. Vous devez donc comprendre comment cela peut être bénéfique pour l’entreprise et être capable de le formuler en « termes commerciaux ». C’est à dire que vos arguments doivent porter sur les trois axes qui les intéressent : bénéfices, risques et ressources. Si vous réussissez à le faire, alors vous aurez le soutien et l’investissement des dirigeants. C’est la seule façon de pouvoir démarrer et réussir votre projet.

L’inclusion d’objectifs métier et la compréhension de la valeur métier par la DSI aideront votre équipe et votre entreprise à adopter ITIL afin de faciliter l’obtention de résultats. C’est bien là l’objectif!

Vous n’avez pas créé une feuille de route et un cas d’affaire pour l’adoption et l’adaptation d’ITIL

L’ITSM et ITIL ne concernent pas uniquement la mise en œuvre de processus pour avoir des processus. Trop d’organisations se concentrent tellement sur la mise en œuvre de processus qu’elles ignorent en quoi ces processus sont nécessaires pour atteindre l’objectif général.

L’objectif est de fournir des services qui apportent une valeur ajoutée à l’entreprise.

Créer une feuille de route et la relier à la valeur métier engendrée vous aidera à adopter les bonnes pratiques ITIL afin de prendre en charge les services et de ne pas mettre en œuvre des processus pour le plaisir de les mettre en œuvre.

Si vous êtes trop rigide et que vous essayez de tout mettre en œuvre en même temps sans autre raison que ce que vous estimez devoir faire, votre équipe résistera. C’est pourquoi tant de professionnels de l’informatique pensent que ITIL est trop bureaucratique. Un de mes clients me décrivait récemment ITIL « comme un monstre de bureaucratie« .

De même, si vous lancez de manière aléatoire certaines approches dans certains projets, personne ne sera en mesure de reconnaître en quoi ITIL améliore votre flux de travail.

Une feuille de route étape par étape vous donnera une idée précises de ce que vous devez faire pour adapter ITIL à vos besoins.

Vous pensez qu’un « bon » outil sera la solution à vos problèmes

Il existe beaucoup d’outils prétendument conçus pour aider à adopter ITIL et ITSM par les organisations.

Mais un outil ne va pas comprendre la valeur de l’informatique ni son incidence sur les résultats de votre entreprise. Un outil ne pourra pas comprendre les besoins spécifiques de chaque entreprise.

Un outil est juste un dispositif utilisé pour exécuter une fonction particulière. Les outils peuvent vous aider dans l’adoption des bonnes pratiques mais ils ne vont certainement pas faire le travail à votre place. Un outil vous servira seulement à automatiser certaines activités de vos processus et permettra la communication entre les activités. Vous devez donc faire tout le travail d’adaptation des bonnes pratiques à votre organisation d’abord. Ensuite vous pourrez regarder sur le marché pour trouver l’outil qui correspond le mieux à vos besoins spécifiques.

Vous n’investissez pas assez dans le conseil et la formation

Il existe de nombreux organismes  de formation proposant des cours ITIL Foundation. De nombreux professionnels de l’informatique réussissent leur certification ITIL. Les mêmes se présentent immédiatement comme des consultants ou des formateurs ITIL. Malheureusement une certification ne garantit absolument pas que vous sachiez appliquer les concepts ITIL.

La vérité est que tout le monde peut lire un guide de l’étudiant et apprendre les concepts ITIL, mais cela ne les mènera pas très loin, pas plus que leur organisation d’ailleurs. Comme nous l’avons dit, ITIL est un guide et non un évangile. Vous devez donc comprendre son impact et son intégration dans votre organisation. La seule façon de le faire est d’investir dans le cours de base ITIL avec un instructeur expérimenté qui peut montrer aux étudiants comment appliquer ITIL dans leur organisation. C’est pourquoi AXELOS préconise de suivre des formations auprès d’ATOs (Accredited Training Organizations) qui sont régulièrement auditées pour vérifier la qualité de leurs formations, bien au delà de la simple certification.

De même, de nombreuses organisations commettent l’erreur d’adapter ITIL sans aucune assistance qualifiée. Cela peut fonctionner pendant un petit bout de temps mais, sans aucun doute, au final le quotidien l’emportera et l’adoption échouera. Le résultat sera alors une perte d’argent et de temps sans retour sur investissement. Un consultant qualifié peut aider à éviter les erreurs courantes et à augmenter la vitesse d’adoption. Par contre un consultant qualifié aura un coût qu’il faut intégrer dans le cas d’affaire de votre projet. Ne vous focalisez pas uniquement les coûts mais essayez de voir la véritable création de valeur que peut vous apporter chaque consultant.

Conclusion : ITIL V4 résoudra-t-il vos problèmes?

ITIL V3 contient de très bons conseils, et de nombreuses organisations l’ont utilisé pour les aider à fournir des services informatiques de manière efficace. Toutefois, certaines faiblesses doivent être résolues pour lui permettre de rester pertinent dans un environnement technologique et commercial en rapide mutation. Il doit aider les organisations à créer une culture plus collaborative capable d’éliminer les silos de processus. Il doit prendre en charge les méthodes de travail modernes, en maintenant de bons processus. Mais il doit le faire en mettant davantage l’accent sur les personnes, la technologie et les fournisseurs.

Si votre entreprise a adopté ITIL V3 et trouve que cela fonctionne bien pour vous, vous n’avez pas besoin de jeter ce que vous avez fait, ni d’apporter des changements soudains et radicaux à votre gestion de l’informatique. Mais vous pensez probablement déjà aux changements que vous devez faire, en raison de l’évolution de votre culture organisationnelle et de l’environnement dans lequel vous opérez. Lors de la publication d’ITIL 4, vous constaterez que la version mise à jour est une excellente ressource pour aider votre organisation à réfléchir aux changements que vous devez faire et à la meilleure façon de les apporter. ITIL V4 vous aidera à réussir la difficile transformation numérique de votre organisation.

 

Crédits : Stuart Rance et Doug Tedder

COBIT 2019 – Vos questions, nos réponses

Depuis la publication de notre article présentant, en avant-première, les nouveautés de COBIT 2019, vous nous avez posé de nombreuses questions. Nous vous apportons quelques réponses. Pour l’heure, nous ne pouvons pas encore tout vous dire. Soyez patients. Nous vous donnerons notre avis détaillé sur cette nouvelle version du cadre de référence en Gouvernance de l’Information dès que les deux premières publications seront disponibles sur le site de l’ISACA.

Cadre de gouvernance COBIT 2019 - Questions réponses
Crédit © rawpixel 2018

L’accélération de la transformation numérique a rendu l’information et la technologie (I&T) cruciales pour le soutien, la croissance et la durabilité des entreprises. Les conseils d’administration et les cadres dirigeants ont pu jadis déléguer, ignorer ou éviter les décisions liées à l’I&T. Cependant ils savent maintenant que cette approche est mal avisée. Ce ne sont pas uniquement les entreprises digitales qui dépendent de l’I&T pour leur survie et leur croissance. La création de valeur par les parties prenantes (c’est-à-dire la réalisation des bénéfices à un coût optimal en ressources tout en optimisant les risques) est également souvent obtenue par la digitalisation de nouveaux modèles d’affaires, grâce à des processus efficaces et à des innovations réussies.

L’I&T est maintenant totalement intégrée à la gestion des risques d’entreprise et de la création de valeur. Un accent particulier a donc été mis sur la gouvernance de l’information d’entreprise et de la technologie (GEIT) au cours des deux dernières décennies. COBIT a reflété cet accent mis sur la GEIT dans ses dernières mises à jour, aboutissant à COBIT 5. Toutefois, une nouvelle édition, dont la sortie est prévue en novembre 2018, étendra et facilitera encore cette tendance.

La nouvelle édition s’appelle COBIT 2019. Les mises à jour de COBIT ne seront dorénavant plus identifiées par des numéros de version. Au lieu de cela, elles porteront  la date de la dernière mise à jour. Cela correspond à un environnement I&T dynamique qui génère des changements à un rythme si rapide qu’il est difficile de les suivre. COBIT 2019 prend en compte ces problèmes et les résout en faisant de COBIT un cadre de gouvernance I&T dynamique pouvant être mis à jour plus rapidement, en appliquant les commentaires des utilisateurs pour qu’ils restent pertinents pour la communauté internationale des professionnels de la gouvernance.

Vos questions, nos réponses

Qu’est-ce que COBIT?

Le processus de mise à jour de COBIT a impliqué des efforts considérables pour mettre en perspective ce qu’il est et ce qu’il n’est pas. Cet article décrit chaque côté de l’équation, en commençant par ce qu’il est.

COBIT 2019 peut être décrit comme un cadre pour la gouvernance et la gestion de l’I&T des entreprises, destiné à l’ensemble de l’organisation. L’I&T d’entreprise fait référence à tous les traitements I&T mis en place par l’entreprise pour atteindre ses objectifs, quel que soit le lieu où cela se produit dans l’organisation. En d’autres termes, l’I&T d’entreprise ne se limite pas au service informatique d’une organisation, mais il est certain qu’elle l’inclut. Elle inclut aussi sans aucun doute d’autres départements tout aussi importants comme les ressources humaines.

COBIT 2019 définit les composants permettant de construire et de maintenir un système de gouvernance : politiques, processus et procédures, structures organisationnelles, flux d’informations, compétences, infrastructure, culture et comportements. Celles-ci étaient appelées «facilitateurs» (« enablers » en anglais) dans COBIT 5. Il définit également les facteurs de conception que l’organisation doit prendre en compte pour créer un système de gouvernance parfaitement adapté.

Il aborde les problèmes de gouvernance en regroupant les composants de gouvernance pertinents dans des domaines prioritaires pouvant être gérés aux niveaux de maturité requis.

Qu’est-ce que COBIT n’est pas?

Après avoir décrit ce qu’est COBIT 2019, il est important de définir ce qu’il n’est pas. Cela implique de tordre définitivement le cou à certaines idées fausses au sujet de COBIT, telles que :

  • COBIT 2019 ne décrit pas complètement l’environnement I&T d’une organisation.
  • Ce n’est pas un cadre pour organiser les processus métier.
  • Ce n’est pas un cadre technique (informatique) pour gérer toutes les technologies.
  • Il ne prend ni ne prescrit aucune décision liée à l’informatique. Par exemple, il ne répond pas aux questions telles que: quelle est la meilleure stratégie informatique? Quelle est la meilleure architecture? Combien devrait coûter l’informatique? Au lieu de cela, il définit tous les composants qui décrivent quelles décisions doivent être prises, comment et par qui elles doivent être prises.

Pourquoi le logo a-t-il changé?

COBIT 5 a été publié en 2012, ce qui fait presque 7 ans. Depuis cette époque, d’autres cadres et les normes ont évolué, créant un paysage différent. L’émergence de nouvelles technologies et les tendances business en matière d’utilisation des technologies de l’information (transformation numérique, DevOps, par exemple) n’étaient pas intégrées dans COBIT 5. Un réalignement était donc nécessaire.

Pour rester pertinent, il est impératif que COBIT continue d’évoluer, ce qui nécessitera des mises à jour plus fréquentes et plus fluides. Dans le nouveau logo, la flèche rouge symbolise cette notion d’évolution continue. De plus, pour assurer un contrôle efficace des versions, toutes les mises à jour futures comporteront l’année correspondant à la publication la plus récente.

Quelles sont les publications de COBIT 2019 et quand seront-elles disponibles?

La famille de produits COBIT 2019 est n’est pas limitée aux produits qui seront prochainement publiés. Le développement de nouvelles orientations, formations et ressources pour soutenir la famille de produits COBIT 2019 sera continuellement évaluée en fonction de la demande du marché. Ce développement sera géré en cohérence avec les autres produits de l’ISACA.

Disponibles le 12 novembre 2018

  • Cadre COBIT 2019: Introduction et méthodologie – Introduction aux concepts clés de COBIT 2019.
  • Cadre COBIT 2019: Objectifs de gouvernance et de gestion. Cette publication décrit de manière exhaustive les 40 objectifs fondamentaux en matière de gouvernance et de gestion, les processus qu’ils contiennent, et d’autres composants connexes. Ce guide fait également référence à d’autres normes et référentiels du marché.

Disponibles le 10 décembre 2018

  • Guide de conception COBIT 2019: Conception d’une solution de gouvernance de l’information et de la technologie. Ce guide explore les facteurs de conception pouvant influencer la gouvernance. Il inclut un flux d’activités afin de planifier un système de gouvernance sur mesure pour l’entreprise.
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une solution de gouvernance de l’information et de la technologie. Ce titre représente une évolution du Guide de mise en œuvre de COBIT 5.  Il propose l’élaboration d’une feuille de route pour l’amélioration continue de la gouvernance. Il peut être utilisé en combinaison avec le Guide de conception COBIT 2019.

Les publications COBIT 2019 seront-elles gratuites pour les membres ISACA?

Dans le cadre de l’engagement de l’ISACA d’apporter une valeur optimale à ses membres, le téléchargement au format PDF des quatre publications principales de COBIT 2019 suivantes seront gratuites pour les membres :

  • Cadre COBIT 2019 : Introduction et méthodologie
  • Cadre COBIT 2019 : Objectifs de gouvernance et de gestion
  • Guide de conception COBIT 2019 : Conception d’une solution de gouvernance de l’information et de la technologie
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une Solution de gouvernance de l’information et de la technologie

De plus, les membres de l’ISACA recevront des réductions exclusives sur l’achat de publications imprimées. Pour en savoir plus, consultez le site de ‘ISACA : http://www.isaca.org/COBIT.

COBIT 2019 est-il aligné avec les autres normes et cadres internationaux?

L’un des principes directeurs appliqués tout au long du développement était de maintenir son positionnement de COBIT 2019 en tant que cadre général de gouvernance. Ainsi, il continue de s’aligner sur un certain nombre de normes, cadres et / ou réglementations pertinents. COBIT 2019 comprend des références et s’aligne sur des concepts provenant d’autres sources. Par exemple COBIT 2019 est aligné, entre autres, sur ITIL, ISO 27001, ISO 20000, DEVOPS, PRINCE2, PMBOK, TOGAF, COSO, SFIA, etc..

Dans ce contexte, l’alignement signifie que :

  • COBIT 2019 ne contredit aucune indication des référentiels et normes correspondants,
  • Le cadre COBIT 2019 ne copie pas le contenu de ces référentiels et normes associés,
  • COBIT 2019 fournit des conseils ou références équivalents aux normes et référentiels correspondants.

Une liste complète des normes et guides pratiques utilisés dans le cadre du développement de COBIT 2019 est fournie dans la présentation PPT intitulée  COBIT® 2019 Overview. Celle-ci, en anglais, est disponible dans la boîte à outils COBIT 2019 sur le site de l’ISACA. Cette liste figure également dans la publication Cadre COBIT 2019 : Introduction et méthodologie.

Y aura-t-il un cursus de formation de certification COBIT 2019?

Un nouveau parcours de formation et de certification sera proposé dès le début 2019. COBIT 2019 est un cadre en évolution continue. En conséquence, l’ISACA continuera en permanence à évaluer le marché et à proposer de nouveaux modules de formation. Les premier modules seront disponibles selon le calendrier suivant :

Janvier 2019 : Atelier de transition COBIT 5 vers COBIT 2019 (1 journée)

Ce cours de transition d’une journée présente les concepts, les modèles et les définitions clés du nouveau cadre en mettant l’accent principalement sur les différences majeures entre COBIT 2019 et COBIT 5.

Janvier 2019 : Formation et certification COBIT 2019 Foundation (3 jours)

Développée pour préparer les participants à l’examen de certification COBIT 2019 Foundation, cette formation plongera dans le contexte, les composants, les avantages et les principales raisons pour lesquelles utiliser COBIT en tant cadre de gouvernance de l’information et des technologies en entreprise.

Avril 2019 : Formation et certification COBIT 2019 Conception et mise en oeuvre (3 jours)

Cette formation de 3 jours prépare les participants à l’examen de certification COBIT 2019 Design and Implementation. Les participants apprendront comment concevoir un système de gouvernance parfaitement adapté au contexte de leur entreprise en s’appuyant sur le cadre de gouvernance de l’ISACA.

Où puis-je me former et passer les certifications?

La formation ainsi que les examens de certification seront disponibles à partir de janvier 2019. Vous pourrez y accéder via les canaux suivants:

  • Centres de formation accrédités par ISACA (via APMG ou Peoplecert);
  • Chapitres ISACA;
  • Conférences ISACA et ateliers pré-conférence;
  • Programme de formation sur site d’ISACA.

Pour ce qui nous concerne, 2AB & Associates sera accrédité par l’ISACA dès le lancement des modules de formation. Nous avons d’ores et déjà commencé le développement des trois modules initiaux prévus par ISACA. Les premières sessions COBIT 2019 Bridge et COBIT 2019 Foundation sont déjà à notre calendrier dès janvier 2019. Nous proposons également pour les personnes déjà certifiées COBIT 5 Foundation un atelier d’une journée leur permettant de faire la transition de leur certification actuelle vers la nouvelle version.

Nous organisons également, à la demande, des présentations d’une demi-journée destinées aux dirigeants des entreprises. N’hésitez pas à consulter le site www.2abassociates.fr ou www.2abassociates.ca pour en savoir plus.

Les programmes de formation COBIT 2019 remplaceront-il les formations COBIT 5?

ISACA continuera à soutenir l’accréditation et la délivrance de la formation et du cursus de certification COBIT 5. Ainsi, la formation COBIT 5 continuera à cohabiter avec la formation COBIT 2019. Il ne serait donc par judicieux de remettre votre formation COBIT à plus tard en attendant le nouveau cursus de formation/certification. Tout au contraire, nous vous invitons à profiter de notre offre promotionnelle sous forme de package Formation et certification COBIT 5 Foundation + atelier de transition vers COBIT 2019.

Les publications COBIT 5 resteront-elles disponibles en 2019?

L’ISACA continuera de soutenir les nombreuses organisations gouvernementales et  non gouvernementales qui, depuis 2012, ont mis en oeuvre COBIT 5. Tous les guides COBIT 5 (et produits dérivés) vont donc rester disponibles pour téléchargement ou achat en ligne. De plus, tous les produits, ressources et programmes de formation COBIT 5 resteront disponibles (parallèlement à COBIT 2019).

Quelles sont les différences entre COBIT 2019 et COBIT 5?

COBIT 2019 offre une plus grande flexibilité et une plus grande ouverture pour améliorer la pertinence dans le temps de COBIT.

  • L’introduction de nouveaux concepts tels que les domaines de focalisation et les facteurs de conception permet de proposer des bonnes pratiques pour adapter un système de gouvernance aux besoins de l’entreprise.
  • La mise à jour de l’alignement sur les normes, les cadres et les meilleures pratiques améliore la pertinence de COBIT.
  • Un modèle de type «open source» permettra à la communauté mondiale de la gouvernance de contribuer aux futures mises à jour  en apportant des commentaires, en partageant des applications et en proposant des améliorations au
    cadre et aux produits dérivés en temps réel. De la sorte, de nouvelles évolutions de COBIT pourront être publiées sur une base cyclique.
  • De nouvelles orientations et de nouveaux outils soutiennent l’élaboration d’un système de gouvernance optimal. Cela rend donc COBIT 2019 plus prescriptif.

ITIL – 5 erreurs majeures de mise en oeuvre

Vous suivez les réseaux sociaux? Vous discutez avec des responsables informatiques dans des entreprises, comme je le fais chaque jour? Alors nul doute que vous entendez beaucoup de critiques vis à vis d’ITIL. Pas assez agile. Sa mise en oeuvre coûte très cher aux entreprises. Difficile de convaincre le management d’obtenir les ressources nécessaires. Depuis l’implémentation d’ITIL, on est moins performants qu’avant. Toutes ces critiques sont souvent justifiées. Malheureusement, elles sont souvent la conséquence d’erreurs majeures dans l’implémentation des bonnes pratiques proposées par ITIL.

ITIL : 5 erreurs majeures de mise en oeuvre
Crédit © rawpixel 2018

En tout état de cause, qu’il s’agisse de mauvaise compréhension des « meilleures pratiques » de gestion des services informatiques ou de difficultés de mise en oeuvre, le risque est toujours le même. L’informatique est devenue un outil indispensable au fonctionnement des entreprises. Une informatique qui fonctionne mal ou qui n’est pas alignée sur les besoins des métiers constitue un risque important pour les opérations. Ce premier article recense 5 erreurs parmi les plus importantes mais aussi les plus courantes lorsqu’on veut s’appuyer sur ITIL.

Erreur N°1 : Vouloir réaliser l’implémentation d’ITIL

La pire erreur de toutes est probablement d’essayer de réaliser la «mise en oeuvre» d’ITIL. ITIL est un cadre de bonnes pratiques et, par conséquent, n’est pas destiné une mise en oeuvre en l’état dans une organisation. La règle, souvent incomprise, c’est qu’on ne fait jamais l’implémentation d’ITIL. D’ailleurs, chaque publication ITIL explique bien que chaque pratique est destinée à être «adoptée et adaptée». On doit réaliser l’implémentation de processus spécifiques à chaque Entreprise. Et on le fera en s’appuyant sur les bonnes pratiques préconisées par ITIL. ITIL devrait être vu comme un recueil de conseils. Ce sont seulement des exemples génériques dont vous devez tirer des leçons. Si on essaie d’appliquer à la lettre ces conseils sans tenir compte du métier de l’entreprise, de sa culture et des ressources disponibles, on est assuré de l’emmener au mieux dans une impasse, et au pire à un désastre.

La dernière publication parue à ce jour, ITIL Practitioner, a été publiée en 2015. Elle décrit un ensemble de lignes directrices pouvant vous aider à adopter et à adapter les principes d’ITIL. Ces principes incluent des idées telles que «se concentrer sur la valeur», «rester simple» et «progresser de manière itérative». Si vous utilisez ces principes pour vous guider dans l’adoption et l’adaptation d’ITIL aux besoins de votre organisation, vous n’irez jamais trop loin dans l’erreur. Et même, vous avez réellement de grandes chances d’atteindre vos objectifs.

Erreur N° 2 : Se focaliser uniquement sur les processus

La plupart des gens imaginent qu’ITIL concerne uniquement les processus. Ils s’efforcent donc d’optimiser ces processus, de les rendre plus efficaces et de veiller à ce que chacun atteigne ses objectifs. Is oublient alors l’essentiel. Aucun processus ne se fonctionne dans le vide. Donc, si vous voulez être efficace, vous devez avoir une vue d’ensemble de l’entreprise. Il vous faut donc absolument conserver une vision holistique de l’organisation. En aucun cas, vous ne devez vous limiter seulement à ce qui est écrit dans une publication ITIL ni au seul département informatique..

La notion de création de valeur

ITIL a pour objectif de vous aider à créer de la valeur pour vos clients. Cela signifie que chaque fois que vous améliorez un processus, l’amélioration réalisée doit être axée sur l’amélioration pour vos clients, et pas seulement sur l’amélioration du processus pour lui-même. Demandez-vous donc si vous pouvez expliquer à vos clients le but d’une amélioration en des termes qui ont du sens pour eux. Si la réponse est «non», essayez de trouver ce qui cloche.

N’oubliez jamais que l’informatique ne crée aucune valeur directement. Les services informatiques ne servent qu’à aider les métiers de l’entreprise. Ce sont eux qui sont créateurs de valeur grâce à leurs clients. Vos processus doivent donc les aider à être plus performants vis à vis de ceux-ci. Ainsi, au quotidien, lorsque je travaille avec mes clients, je documente toujours l’objectif de haut niveau de chaque processus. Et je le fais dans des termes qui ont du sens pour les clients des métiers. Par exemple, «la gestion du changement garantira que les changements vont du développement aux opérations en temps voulu pour répondre aux besoins de l’entreprise». Je peux alors travailler avec mon client pour l’aider à optimiser ses processus de gestion du changement de manière à répondre à ses attentes. Ce qui est, en fait, exactement ce que les meilleures pratiques ITIL me conseillent de faire.

Les facilitateurs de la création de valeur

Pour réussir à créer de la valeur, les processus ne suffisent pas. Il faut bien sûr que les processus soient opérés par des ressources humaines. Ces ressources humaines doivent elles-mêmes être organisées en structures au seins de l’entreprise. Il est donc essentiel de ne pas se limiter aux processus mais de travailler en même temps sur les ressources humaines et sur les structures organisationnelles, au minimum.

Erreur N° 3 : Se focaliser sur les outils

La troisième grande erreur que je rencontre est celle des organisations informatiques qui pensent qu’un outil de gestion des services informatiques peut obliger les équipes à se conformer aux bonnes pratiques ITIL. Ils reconnaissent qu’ils ne gèrent pas les incidents, les problèmes et les changements aussi bien qu’ils le souhaiteraient. Alors ils décident que le meilleur moyen de résoudre ce problème est d’acheter un nouvel outil, qui résoudra tous leurs problèmes.

Bien entendu, ce nouvel outil n’a que très peu d’utilité, à moins que l’organisation ne définisse d’abord ce qu’elle tente d’obtenir et ce qu’elle devra faire pour s’assurer que c’est ce que l’outil fournit. Lorsqu’un nouvel outil ITSM est simplement configuré pour prendre en charge toutes les mauvaises pratiques de travail qui posaient problème avec l’ancien outil, l’organisation ne va pas tarder à attribuer au nouvel outil des problèmes qui ne peuvent être résolus qu’en intégrant de meilleures pratiques de travail.

Un nouvel outil ITSM ne vous aidera à vous améliorer que si vous avez correctement préparé le terrain. Comprenez-vous les améliorations dont vous avez besoin dans vos processus, relations, compétences, votre organisation et les autres domaines de gestion des services informatiques?

Erreur N° 4 : Assigner une personne à chaque rôle

ITIL décrit de nombreux rôles. Par exemple, chaque processus définit le rôle d’un propriétaire et d’un gestionnaire du processus, ainsi que de nombreux autres rôles spécifiques. Il est courant de penser que chaque rôle ITIL doit correspondre à un titre de poste unique. Habituellement, il est alors courant de le confier à une seule personne qui devra répondre aux objectifs du rôle. Dans ces circonstance, il sera alors nécessaire de disposer d’un grand nombre de ressources humaines. De plus, cela aura pour conséquence des  personnes essayant de faire des choses similaires avec beaucoup trop peu de collaboration. Il est clair que ce schéma est très inefficient.

Voyons ce que ITIL dit réellement sur les rôles.


Les rôles sont souvent confondus avec les postes, mais il est important de réaliser qu’ils ne sont pas identiques. Chaque organisation définira les intitulés de poste et les descriptions de poste correspondant à ses besoins, et les détenteurs de ces intitulés de poste peuvent jouer un ou plusieurs des rôles requis.


Il est donc essentiel de ne pas confondre les notions de poste et de rôle.

Erreur N° 5 : Lancer un « énorme » projet de mise en oeuvre

Il y a de nombreuses années, avant que les informaticiens aient entendu parler d’Agile, un projet typique d’ITIL pouvait impliquer une équipe de plusieurs consultants qui prendraient deux ans ou plus pour documenter les processus, configurer les outils ITSM, former le personnel et «mettre en œuvre» le nouvel outil aligné sur ITIL. La première fois que quelqu’un tirait parti de la solution, ce serait quelques semaines avant la fin du projet. C’est à dire longtemps après avoir lancé le projet. Et encore, dans la plupart des cas, le projet n’arrivait jamais à ce stade. Il était arrêté avant cela après avoir gaspillé beaucoup de ressources et cassé des choses qui fonctionnaient…

Aujourd’hui, même les entreprises informatiques qui utilisent encore une approche en cascade pour le développement de logiciels n’adoptent plus cette approche pour améliorer l’ITSM. Les experts ITIL savent que toute amélioration des services informatiques peut être réalisée de manière progressive.

Alors, établissez d’abord une vision partagée de ce que vous essayez d’atteindre. Cela vous permettra de faire un premier petit pas vers votre objectif. Ensuite, prenez ce que vous avez appris de cette première étape pour planifier et exécuter la suivante. N’essayez pas de documenter chaque étape avant de commencer. Au contraire, continuez à apprendre et à vous améliorer et vous continuerez à vous rapprocher de votre vision.

Conclusion

Voici donc 5 erreurs absolument majeures que vous risquez de commenter lors de l’implémentation de votre gestion des services IT. Vous vous reconnaissez dans l’une d’entre elles ou même dans plusieurs? Alors ne vous étonnez pas si les métiers de l’entreprise considèrent que l’informatique coûte très cher et ne leur apporte pas grand chose en terme de valeur.

Malheureusement, il y a bien d’autres erreurs courantes que vous risquez de commettre. Dans une deuxième partie qui sera publiée prochainement, nous étudierons 5 autres erreurs d’implémentation.

Vous avez vous-même une expérience de mise en oeuvre qui n’a pas apporté les résultats escomptés? N’hésitez pas à commenter cet article et à lancer le débat. ITIL n’est-il pas un cadre de bonnes pratiques issues du terrain?

ISO/IEC 20000-1 : le cru 2018 est arrivé

Fantastique nouvelle pour toutes les personnes impliquées dans la gestion des services informatiques (ITSM), la norme internationale ISO/IEC 20000-1:2018 a été publiée ce 15 septembre 2018. Elle est désormais disponible en Anglais et en Français sur le site de l’ISO

ISO/IEC 20000-1:2018 nouvelle version de la norme de gestion des services (ITSM)
Crédit image © raw pixel.com

En cette saison de vendanges, les nouveaux crus sont très attendus. Et le millésime 2018 de la norme internationale ISO/IEC 20000-1 ne fait pas exception à la règle. Il s’agit là de la 3ème version de cette norme dont la première publication remonte à 2005. A l’origine, il s’agissait essentiellement de traduire les bonnes pratiques ITIL V2 sous forme d’une norme de gestion des services informatiques (ITSM). L’objectif était de permettre aux organisations informatiques de certifier leur système de management des services TI. Les référentiels de bonnes pratiques tels que ITIL ne permettant pas de certifier une organisation, ISO/IEC 20000 était la première norme ITSM.

L’enquête annuelle réalisée par l’ISO (International Standard Organization) montre qu’en 2016 la norme ISO 20000 est classée en 9ème position des normes sur lesquelles les entreprises se certifient le plus, avec 4537 certificats d’entreprises délivrés en 2016. Elle connaît d’ailleurs une croissance très importante de 63%, et spécialement en Asie.

ITSM - ISO 20000 dans le monde. Devant ITIL
Répartition des certifications ISO 20000 délivrées dans le monde en 2015 & 2016 – © ISO 2017

Aujourd’hui, ISO/IEC 20000-1:2018 reste alignée sur les bonnes pratiques ITSM, parmi lesquelles ITIL. Cependant, elle a largement pris son autonomie et son périmètre s’est sensiblement élargi. Nous vous livrons ici quelques unes des nouveautés attendues par tous les acteurs de la gestion des services.

Vue d’ensemble de la version 2018 d’ISO/IEC 20000-1

Les membres du sous-comité SC40 du JTC1 (ISO/IEC) ont fait un travail remarquable. Ils ont pris en compte les tendances et les défis actuels dans l’environnement de gestion des services. L’accent est désormais mis davantage sur la gestion et l’assurance qualité. Il est moins centré sur la formulation des processus et des procédures. Le fait qu’un écosystème de services soit composé d’un environnement multi-fournisseurs empêche souvent les entreprises de normaliser tous les processus dans toutes les organisations impliquées incluant leur chaîne logistique de service.

Les changements les plus importants dans la norme ISO/IEC 20000-1:2018

Les modifications suivantes ont été apportées par rapport à la version précédente de 2011:

  1. Au plus haut niveau, une nouvelle structure hiérarchique conforme aux autres normes relatives au système de management a été introduite. Cela facilite la certification des entreprises pour plusieurs normes, telles qu’ISO 9001 (gestion de la qualité) ou ISO 27001 (gestion de la sécurité de l’information).
  2. La section Termes et définitions a été supprimée. Elle est désormais remplacée par une référence aux termes et définitions de l’ISO / IEC 20000-10.
  3. Toutes les références à la « méthode PDCA » (« Plan-Do-Check-Act ») ont été supprimées.
  4. De nouvelles exigences sur le contexte de l’organisation et sur les activités relatives aux risques et aux opportunités ont été ajoutées.
  5. Une exigence explicite de «créer, mettre en œuvre, maintenir et améliorer continuellement un système de management des services (SMS)» a été ajoutée.
  6. Les exigences en matière d’informations documentées, de ressources, de compétences et de sensibilisation ont été mises à jour.
  7. Des exigences supplémentaires dans les domaines de la planification des services, de la connaissance, de la gestion des actifs, de la gestion de la demande et de la fourniture de services ont été introduites.
  8. Les exigences relatives à la gestion des incidents et à la gestion des demandes de service ont été divisées en deux chapitres distincts.

À première vue, la norme semble être devenue plus vaste et donc plus complexe. Cependant, les exigences concernant les processus sont beaucoup plus simples. De même, les exigences en matière de documentation ont été considérablement réduites. Cela permet aux organisations de définir leurs processus beaucoup plus librement. La norme est maintenant conçue davantage pour l’effet de la gestion des services que pour sa description détaillée.

La nouvelle norme sur l’ITSM en un seul coup d’oeil

Les changements et améliorations de cette nouvelle version de la norme ISO/IEC 20000 se reflètent dans le schéma suivant :

Schéma de la norme ISO/IEC 20000-1:2018. Au delà du périmètre ITIL
Crédit © ISO 2018

Comme on peut le voir, des questions telles que le leadership et l’engagement, la gestion des risques, la planification des services d’évaluation et l’amélioration de performance deviennent centrales.

Il est également clair que le nombre de processus a nettement augmenté par rapport à la version précédente de 2011. Cette nouvelle mouture de la norme voit son périmètre augmenter. Il est désormais aligné sur celui d’ITIL 2011 et prend en considération les nouveaux référentiels ITSM comme VeriSM, SIAM, COBIT, etc..

Un changement dans la cible de la norme

Le terme « service informatique » figurait déjà dans la dernière version de la norme. Mais la norme était principalement réservée aux organisations informatiques pour certifier leur système de management à ISO 20000. Avec la connectivité accrue des fournisseurs de services externes et les exigences moins détaillées pour les processus informatiques tels que la disponibilité et la gestion de la capacité, la norme est désormais également prédestinée à être utilisée en dehors des organisations informatiques. C’est la base de la certification de la gestion professionnelle des services d’entreprise à l’avenir avec la nouvelle norme ISO/IEC 20000-1: 2018. Attendons donc de voir comment cela va évoluer dans les prochains mois.

Quelles suites sont à prévoir dans les prochains mois?

Si votre organisation est déjà certifiée ou si vous commencez à mettre en œuvre ISO20000-1, ne vous inquiétez pas. Il est probable qu’il y aura une période de transition minimale de deux ans après la révision de la première partie. Rien de ce que vous faites actuellement pour l’ISO/IEC 20000-1:2011 actuelle ne sera perdu.

Pour les entreprises déjà certifiées ISO/IEC 20000-1:2011

Pour les entreprises déjà certifiées ISO/IEC 20000-1:2011, la transition doit être bien préparée. Cependant les changements ne seront pas vraiment importants. Il est toutefois conseillé de convenir de la date de transition avec le certificateur en temps utile. La date limite probable de cette nouvelle certification sera sans doute d’ici 2021 au plus tard.

Pour les entreprises non encore certifiées ISO/IEC 20000-1

Pour les entreprises qui souhaitent obtenir la certification ISO 20000-1 pour la première fois, cette édition est simplifiée. Elle est moins détaillée au niveau des exigences. Elle se concentre sur ce que les entreprises doivent faire pour avoir plus de liberté de mise en œuvre. La mise en oeuvre d’un système de management des services, en vue de la certification, devrait donc être plus facile.

Parmi les points-clés dont vous devez désormais vous préoccuper pour faire certifier votre SMS sur ISO/IEC 20000-1:2018 :

  • Quels sont les résultats attendus de votre système de gestion de services (SMS) et de vos services?
  • Qu’est-ce qui constitue une valeur pour l’organisation et les clients du SMS et des services?
  • Qui a le pouvoir de prendre des décisions clés sur le SMS et les services?
  • Comment les exigences SMS sont-elles intégrées dans les processus métier de l’organisation?
  • Quelles connaissances sont nécessaires pour soutenir le fonctionnement du SMS et des services?

Ce sont là des aspects clés pour l’ITSM et l’alignement sur le business. Aucune surprise donc de les retrouver au coeur de la nouvelle version de la norme. Ce sont également des questions qui matérialisent un peu plus la particularité d’ISO/IEC 20000-1:2018 vis à vis d’ITIL. En effet ITIL 2011 reste essentiellement focalisé sur les processus exclusivement. Ce sont également les questions qui sont au coeur des nouveaux référentiels ITSM tels que SIAM, VeriSM, etc. Il semble que la nouvelle version d’ITIL (ITIL4) annoncée pour le premier trimestre 2019 aille également dans ce sens.

Quid de la formation et des certifications de personnes?

A l’heure actuel, plusieurs organismes de certification de personnes proposent des certifications individuelles sur ISO/IEC 20000. Parmi elles, on peut citer APMG, EXIN ou PECB. Là encore ne vous inquiétez pas. votre certification ISO 20000 (Foundation, auditor, professional, lead implémenter ou lead auditor) demeurera valide. Les organismes de formations vont simplement devoir mettre à jour leurs cursus de formation pour les adapter à la nouvelle version de la norme. La mise à niveau des examens de certification devrait intervenir dans les prochaines semaines.

2AB & Associates (ex AB Consulting), accrédité auprès de l’APMG, d’EXIN et de PECB pour délivrer les formations et les certifications de personnes sur ISO/IEC 20000 est déjà en train de finaliser les nouveaux cours alignés sur la version 2018 de la norme. Nous préparons aussi un cours de transition vers ISO/IEC 20000-1:2018. Ce cours a pour objectif d’aider les personnes en train de conduire une certification de leur organisation sur la version 2011.

 

Catégories

Archives

Calendrier

mars 2019
L M M J V S D
« Fév    
 123
45678910
11121314151617
18192021222324
25262728293031
%d blogueurs aiment cette page :