Home » Posts tagged 'ISO 20000'

Tag Archives: ISO 20000

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

COBIT 2019 – Vos questions, nos réponses

Depuis la publication de notre article présentant, en avant-première, les nouveautés de COBIT 2019, vous nous avez posé de nombreuses questions. Nous vous apportons quelques réponses. Pour l’heure, nous ne pouvons pas encore tout vous dire. Soyez patients. Nous vous donnerons notre avis détaillé sur cette nouvelle version du cadre de référence en Gouvernance de l’Information dès que les deux premières publications seront disponibles sur le site de l’ISACA.

Cadre de gouvernance COBIT 2019 - Questions réponses
Crédit © rawpixel 2018

L’accélération de la transformation numérique a rendu l’information et la technologie (I&T) cruciales pour le soutien, la croissance et la durabilité des entreprises. Les conseils d’administration et les cadres dirigeants ont pu jadis déléguer, ignorer ou éviter les décisions liées à l’I&T. Cependant ils savent maintenant que cette approche est mal avisée. Ce ne sont pas uniquement les entreprises digitales qui dépendent de l’I&T pour leur survie et leur croissance. La création de valeur par les parties prenantes (c’est-à-dire la réalisation des bénéfices à un coût optimal en ressources tout en optimisant les risques) est également souvent obtenue par la digitalisation de nouveaux modèles d’affaires, grâce à des processus efficaces et à des innovations réussies.

L’I&T est maintenant totalement intégrée à la gestion des risques d’entreprise et de la création de valeur. Un accent particulier a donc été mis sur la gouvernance de l’information d’entreprise et de la technologie (GEIT) au cours des deux dernières décennies. COBIT a reflété cet accent mis sur la GEIT dans ses dernières mises à jour, aboutissant à COBIT 5. Toutefois, une nouvelle édition, dont la sortie est prévue en novembre 2018, étendra et facilitera encore cette tendance.

La nouvelle édition s’appelle COBIT 2019. Les mises à jour de COBIT ne seront dorénavant plus identifiées par des numéros de version. Au lieu de cela, elles porteront  la date de la dernière mise à jour. Cela correspond à un environnement I&T dynamique qui génère des changements à un rythme si rapide qu’il est difficile de les suivre. COBIT 2019 prend en compte ces problèmes et les résout en faisant de COBIT un cadre de gouvernance I&T dynamique pouvant être mis à jour plus rapidement, en appliquant les commentaires des utilisateurs pour qu’ils restent pertinents pour la communauté internationale des professionnels de la gouvernance.

Vos questions, nos réponses

Qu’est-ce que COBIT?

Le processus de mise à jour de COBIT a impliqué des efforts considérables pour mettre en perspective ce qu’il est et ce qu’il n’est pas. Cet article décrit chaque côté de l’équation, en commençant par ce qu’il est.

COBIT 2019 peut être décrit comme un cadre pour la gouvernance et la gestion de l’I&T des entreprises, destiné à l’ensemble de l’organisation. L’I&T d’entreprise fait référence à tous les traitements I&T mis en place par l’entreprise pour atteindre ses objectifs, quel que soit le lieu où cela se produit dans l’organisation. En d’autres termes, l’I&T d’entreprise ne se limite pas au service informatique d’une organisation, mais il est certain qu’elle l’inclut. Elle inclut aussi sans aucun doute d’autres départements tout aussi importants comme les ressources humaines.

COBIT 2019 définit les composants permettant de construire et de maintenir un système de gouvernance : politiques, processus et procédures, structures organisationnelles, flux d’informations, compétences, infrastructure, culture et comportements. Celles-ci étaient appelées «facilitateurs» (« enablers » en anglais) dans COBIT 5. Il définit également les facteurs de conception que l’organisation doit prendre en compte pour créer un système de gouvernance parfaitement adapté.

Il aborde les problèmes de gouvernance en regroupant les composants de gouvernance pertinents dans des domaines prioritaires pouvant être gérés aux niveaux de maturité requis.

Qu’est-ce que COBIT n’est pas?

Après avoir décrit ce qu’est COBIT 2019, il est important de définir ce qu’il n’est pas. Cela implique de tordre définitivement le cou à certaines idées fausses au sujet de COBIT, telles que :

  • COBIT 2019 ne décrit pas complètement l’environnement I&T d’une organisation.
  • Ce n’est pas un cadre pour organiser les processus métier.
  • Ce n’est pas un cadre technique (informatique) pour gérer toutes les technologies.
  • Il ne prend ni ne prescrit aucune décision liée à l’informatique. Par exemple, il ne répond pas aux questions telles que: quelle est la meilleure stratégie informatique? Quelle est la meilleure architecture? Combien devrait coûter l’informatique? Au lieu de cela, il définit tous les composants qui décrivent quelles décisions doivent être prises, comment et par qui elles doivent être prises.

Pourquoi le logo a-t-il changé?

COBIT 5 a été publié en 2012, ce qui fait presque 7 ans. Depuis cette époque, d’autres cadres et les normes ont évolué, créant un paysage différent. L’émergence de nouvelles technologies et les tendances business en matière d’utilisation des technologies de l’information (transformation numérique, DevOps, par exemple) n’étaient pas intégrées dans COBIT 5. Un réalignement était donc nécessaire.

Pour rester pertinent, il est impératif que COBIT continue d’évoluer, ce qui nécessitera des mises à jour plus fréquentes et plus fluides. Dans le nouveau logo, la flèche rouge symbolise cette notion d’évolution continue. De plus, pour assurer un contrôle efficace des versions, toutes les mises à jour futures comporteront l’année correspondant à la publication la plus récente.

Quelles sont les publications de COBIT 2019 et quand seront-elles disponibles?

La famille de produits COBIT 2019 est n’est pas limitée aux produits qui seront prochainement publiés. Le développement de nouvelles orientations, formations et ressources pour soutenir la famille de produits COBIT 2019 sera continuellement évaluée en fonction de la demande du marché. Ce développement sera géré en cohérence avec les autres produits de l’ISACA.

Disponibles le 12 novembre 2018

  • Cadre COBIT 2019: Introduction et méthodologie – Introduction aux concepts clés de COBIT 2019.
  • Cadre COBIT 2019: Objectifs de gouvernance et de gestion. Cette publication décrit de manière exhaustive les 40 objectifs fondamentaux en matière de gouvernance et de gestion, les processus qu’ils contiennent, et d’autres composants connexes. Ce guide fait également référence à d’autres normes et référentiels du marché.

Disponibles le 10 décembre 2018

  • Guide de conception COBIT 2019: Conception d’une solution de gouvernance de l’information et de la technologie. Ce guide explore les facteurs de conception pouvant influencer la gouvernance. Il inclut un flux d’activités afin de planifier un système de gouvernance sur mesure pour l’entreprise.
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une solution de gouvernance de l’information et de la technologie. Ce titre représente une évolution du Guide de mise en œuvre de COBIT 5.  Il propose l’élaboration d’une feuille de route pour l’amélioration continue de la gouvernance. Il peut être utilisé en combinaison avec le Guide de conception COBIT 2019.

Les publications COBIT 2019 seront-elles gratuites pour les membres ISACA?

Dans le cadre de l’engagement de l’ISACA d’apporter une valeur optimale à ses membres, le téléchargement au format PDF des quatre publications principales de COBIT 2019 suivantes seront gratuites pour les membres :

  • Cadre COBIT 2019 : Introduction et méthodologie
  • Cadre COBIT 2019 : Objectifs de gouvernance et de gestion
  • Guide de conception COBIT 2019 : Conception d’une solution de gouvernance de l’information et de la technologie
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une Solution de gouvernance de l’information et de la technologie

De plus, les membres de l’ISACA recevront des réductions exclusives sur l’achat de publications imprimées. Pour en savoir plus, consultez le site de ‘ISACA : http://www.isaca.org/COBIT.

COBIT 2019 est-il aligné avec les autres normes et cadres internationaux?

L’un des principes directeurs appliqués tout au long du développement était de maintenir son positionnement de COBIT 2019 en tant que cadre général de gouvernance. Ainsi, il continue de s’aligner sur un certain nombre de normes, cadres et / ou réglementations pertinents. COBIT 2019 comprend des références et s’aligne sur des concepts provenant d’autres sources. Par exemple COBIT 2019 est aligné, entre autres, sur ITIL, ISO 27001, ISO 20000, DEVOPS, PRINCE2, PMBOK, TOGAF, COSO, SFIA, etc..

Dans ce contexte, l’alignement signifie que :

  • COBIT 2019 ne contredit aucune indication des référentiels et normes correspondants,
  • Le cadre COBIT 2019 ne copie pas le contenu de ces référentiels et normes associés,
  • COBIT 2019 fournit des conseils ou références équivalents aux normes et référentiels correspondants.

Une liste complète des normes et guides pratiques utilisés dans le cadre du développement de COBIT 2019 est fournie dans la présentation PPT intitulée  COBIT® 2019 Overview. Celle-ci, en anglais, est disponible dans la boîte à outils COBIT 2019 sur le site de l’ISACA. Cette liste figure également dans la publication Cadre COBIT 2019 : Introduction et méthodologie.

Y aura-t-il un cursus de formation de certification COBIT 2019?

Un nouveau parcours de formation et de certification sera proposé dès le début 2019. COBIT 2019 est un cadre en évolution continue. En conséquence, l’ISACA continuera en permanence à évaluer le marché et à proposer de nouveaux modules de formation. Les premier modules seront disponibles selon le calendrier suivant :

Janvier 2019 : Atelier de transition COBIT 5 vers COBIT 2019 (1 journée)

Ce cours de transition d’une journée présente les concepts, les modèles et les définitions clés du nouveau cadre en mettant l’accent principalement sur les différences majeures entre COBIT 2019 et COBIT 5.

Janvier 2019 : Formation et certification COBIT 2019 Foundation (3 jours)

Développée pour préparer les participants à l’examen de certification COBIT 2019 Foundation, cette formation plongera dans le contexte, les composants, les avantages et les principales raisons pour lesquelles utiliser COBIT en tant cadre de gouvernance de l’information et des technologies en entreprise.

Avril 2019 : Formation et certification COBIT 2019 Conception et mise en oeuvre (3 jours)

Cette formation de 3 jours prépare les participants à l’examen de certification COBIT 2019 Design and Implementation. Les participants apprendront comment concevoir un système de gouvernance parfaitement adapté au contexte de leur entreprise en s’appuyant sur le cadre de gouvernance de l’ISACA.

Où puis-je me former et passer les certifications?

La formation ainsi que les examens de certification seront disponibles à partir de janvier 2019. Vous pourrez y accéder via les canaux suivants:

  • Centres de formation accrédités par ISACA (via APMG ou Peoplecert);
  • Chapitres ISACA;
  • Conférences ISACA et ateliers pré-conférence;
  • Programme de formation sur site d’ISACA.

Pour ce qui nous concerne, 2AB & Associates sera accrédité par l’ISACA dès le lancement des modules de formation. Nous avons d’ores et déjà commencé le développement des trois modules initiaux prévus par ISACA. Les premières sessions COBIT 2019 Bridge et COBIT 2019 Foundation sont déjà à notre calendrier dès janvier 2019. Nous proposons également pour les personnes déjà certifiées COBIT 5 Foundation un atelier d’une journée leur permettant de faire la transition de leur certification actuelle vers la nouvelle version.

Nous organisons également, à la demande, des présentations d’une demi-journée destinées aux dirigeants des entreprises. N’hésitez pas à consulter le site www.2abassociates.fr ou www.2abassociates.ca pour en savoir plus.

Les programmes de formation COBIT 2019 remplaceront-il les formations COBIT 5?

ISACA continuera à soutenir l’accréditation et la délivrance de la formation et du cursus de certification COBIT 5. Ainsi, la formation COBIT 5 continuera à cohabiter avec la formation COBIT 2019. Il ne serait donc par judicieux de remettre votre formation COBIT à plus tard en attendant le nouveau cursus de formation/certification. Tout au contraire, nous vous invitons à profiter de notre offre promotionnelle sous forme de package Formation et certification COBIT 5 Foundation + atelier de transition vers COBIT 2019.

Les publications COBIT 5 resteront-elles disponibles en 2019?

L’ISACA continuera de soutenir les nombreuses organisations gouvernementales et  non gouvernementales qui, depuis 2012, ont mis en oeuvre COBIT 5. Tous les guides COBIT 5 (et produits dérivés) vont donc rester disponibles pour téléchargement ou achat en ligne. De plus, tous les produits, ressources et programmes de formation COBIT 5 resteront disponibles (parallèlement à COBIT 2019).

Quelles sont les différences entre COBIT 2019 et COBIT 5?

COBIT 2019 offre une plus grande flexibilité et une plus grande ouverture pour améliorer la pertinence dans le temps de COBIT.

  • L’introduction de nouveaux concepts tels que les domaines de focalisation et les facteurs de conception permet de proposer des bonnes pratiques pour adapter un système de gouvernance aux besoins de l’entreprise.
  • La mise à jour de l’alignement sur les normes, les cadres et les meilleures pratiques améliore la pertinence de COBIT.
  • Un modèle de type «open source» permettra à la communauté mondiale de la gouvernance de contribuer aux futures mises à jour  en apportant des commentaires, en partageant des applications et en proposant des améliorations au
    cadre et aux produits dérivés en temps réel. De la sorte, de nouvelles évolutions de COBIT pourront être publiées sur une base cyclique.
  • De nouvelles orientations et de nouveaux outils soutiennent l’élaboration d’un système de gouvernance optimal. Cela rend donc COBIT 2019 plus prescriptif.

ITIL – 5 erreurs majeures de mise en oeuvre

Vous suivez les réseaux sociaux? Vous discutez avec des responsables informatiques dans des entreprises, comme je le fais chaque jour? Alors nul doute que vous entendez beaucoup de critiques vis à vis d’ITIL. Pas assez agile. Sa mise en oeuvre coûte très cher aux entreprises. Difficile de convaincre le management d’obtenir les ressources nécessaires. Depuis l’implémentation d’ITIL, on est moins performants qu’avant. Toutes ces critiques sont souvent justifiées. Malheureusement, elles sont souvent la conséquence d’erreurs majeures dans l’implémentation des bonnes pratiques proposées par ITIL.

ITIL : 5 erreurs majeures de mise en oeuvre
Crédit © rawpixel 2018

En tout état de cause, qu’il s’agisse de mauvaise compréhension des « meilleures pratiques » de gestion des services informatiques ou de difficultés de mise en oeuvre, le risque est toujours le même. L’informatique est devenue un outil indispensable au fonctionnement des entreprises. Une informatique qui fonctionne mal ou qui n’est pas alignée sur les besoins des métiers constitue un risque important pour les opérations. Ce premier article recense 5 erreurs parmi les plus importantes mais aussi les plus courantes lorsqu’on veut s’appuyer sur ITIL.

Erreur N°1 : Vouloir réaliser l’implémentation d’ITIL

La pire erreur de toutes est probablement d’essayer de réaliser la «mise en oeuvre» d’ITIL. ITIL est un cadre de bonnes pratiques et, par conséquent, n’est pas destiné une mise en oeuvre en l’état dans une organisation. La règle, souvent incomprise, c’est qu’on ne fait jamais l’implémentation d’ITIL. D’ailleurs, chaque publication ITIL explique bien que chaque pratique est destinée à être «adoptée et adaptée». On doit réaliser l’implémentation de processus spécifiques à chaque Entreprise. Et on le fera en s’appuyant sur les bonnes pratiques préconisées par ITIL. ITIL devrait être vu comme un recueil de conseils. Ce sont seulement des exemples génériques dont vous devez tirer des leçons. Si on essaie d’appliquer à la lettre ces conseils sans tenir compte du métier de l’entreprise, de sa culture et des ressources disponibles, on est assuré de l’emmener au mieux dans une impasse, et au pire à un désastre.

La dernière publication parue à ce jour, ITIL Practitioner, a été publiée en 2015. Elle décrit un ensemble de lignes directrices pouvant vous aider à adopter et à adapter les principes d’ITIL. Ces principes incluent des idées telles que «se concentrer sur la valeur», «rester simple» et «progresser de manière itérative». Si vous utilisez ces principes pour vous guider dans l’adoption et l’adaptation d’ITIL aux besoins de votre organisation, vous n’irez jamais trop loin dans l’erreur. Et même, vous avez réellement de grandes chances d’atteindre vos objectifs.

Erreur N° 2 : Se focaliser uniquement sur les processus

La plupart des gens imaginent qu’ITIL concerne uniquement les processus. Ils s’efforcent donc d’optimiser ces processus, de les rendre plus efficaces et de veiller à ce que chacun atteigne ses objectifs. Is oublient alors l’essentiel. Aucun processus ne se fonctionne dans le vide. Donc, si vous voulez être efficace, vous devez avoir une vue d’ensemble de l’entreprise. Il vous faut donc absolument conserver une vision holistique de l’organisation. En aucun cas, vous ne devez vous limiter seulement à ce qui est écrit dans une publication ITIL ni au seul département informatique..

La notion de création de valeur

ITIL a pour objectif de vous aider à créer de la valeur pour vos clients. Cela signifie que chaque fois que vous améliorez un processus, l’amélioration réalisée doit être axée sur l’amélioration pour vos clients, et pas seulement sur l’amélioration du processus pour lui-même. Demandez-vous donc si vous pouvez expliquer à vos clients le but d’une amélioration en des termes qui ont du sens pour eux. Si la réponse est «non», essayez de trouver ce qui cloche.

N’oubliez jamais que l’informatique ne crée aucune valeur directement. Les services informatiques ne servent qu’à aider les métiers de l’entreprise. Ce sont eux qui sont créateurs de valeur grâce à leurs clients. Vos processus doivent donc les aider à être plus performants vis à vis de ceux-ci. Ainsi, au quotidien, lorsque je travaille avec mes clients, je documente toujours l’objectif de haut niveau de chaque processus. Et je le fais dans des termes qui ont du sens pour les clients des métiers. Par exemple, «la gestion du changement garantira que les changements vont du développement aux opérations en temps voulu pour répondre aux besoins de l’entreprise». Je peux alors travailler avec mon client pour l’aider à optimiser ses processus de gestion du changement de manière à répondre à ses attentes. Ce qui est, en fait, exactement ce que les meilleures pratiques ITIL me conseillent de faire.

Les facilitateurs de la création de valeur

Pour réussir à créer de la valeur, les processus ne suffisent pas. Il faut bien sûr que les processus soient opérés par des ressources humaines. Ces ressources humaines doivent elles-mêmes être organisées en structures au seins de l’entreprise. Il est donc essentiel de ne pas se limiter aux processus mais de travailler en même temps sur les ressources humaines et sur les structures organisationnelles, au minimum.

Erreur N° 3 : Se focaliser sur les outils

La troisième grande erreur que je rencontre est celle des organisations informatiques qui pensent qu’un outil de gestion des services informatiques peut obliger les équipes à se conformer aux bonnes pratiques ITIL. Ils reconnaissent qu’ils ne gèrent pas les incidents, les problèmes et les changements aussi bien qu’ils le souhaiteraient. Alors ils décident que le meilleur moyen de résoudre ce problème est d’acheter un nouvel outil, qui résoudra tous leurs problèmes.

Bien entendu, ce nouvel outil n’a que très peu d’utilité, à moins que l’organisation ne définisse d’abord ce qu’elle tente d’obtenir et ce qu’elle devra faire pour s’assurer que c’est ce que l’outil fournit. Lorsqu’un nouvel outil ITSM est simplement configuré pour prendre en charge toutes les mauvaises pratiques de travail qui posaient problème avec l’ancien outil, l’organisation ne va pas tarder à attribuer au nouvel outil des problèmes qui ne peuvent être résolus qu’en intégrant de meilleures pratiques de travail.

Un nouvel outil ITSM ne vous aidera à vous améliorer que si vous avez correctement préparé le terrain. Comprenez-vous les améliorations dont vous avez besoin dans vos processus, relations, compétences, votre organisation et les autres domaines de gestion des services informatiques?

Erreur N° 4 : Assigner une personne à chaque rôle

ITIL décrit de nombreux rôles. Par exemple, chaque processus définit le rôle d’un propriétaire et d’un gestionnaire du processus, ainsi que de nombreux autres rôles spécifiques. Il est courant de penser que chaque rôle ITIL doit correspondre à un titre de poste unique. Habituellement, il est alors courant de le confier à une seule personne qui devra répondre aux objectifs du rôle. Dans ces circonstance, il sera alors nécessaire de disposer d’un grand nombre de ressources humaines. De plus, cela aura pour conséquence des  personnes essayant de faire des choses similaires avec beaucoup trop peu de collaboration. Il est clair que ce schéma est très inefficient.

Voyons ce que ITIL dit réellement sur les rôles.


Les rôles sont souvent confondus avec les postes, mais il est important de réaliser qu’ils ne sont pas identiques. Chaque organisation définira les intitulés de poste et les descriptions de poste correspondant à ses besoins, et les détenteurs de ces intitulés de poste peuvent jouer un ou plusieurs des rôles requis.


Il est donc essentiel de ne pas confondre les notions de poste et de rôle.

Erreur N° 5 : Lancer un « énorme » projet de mise en oeuvre

Il y a de nombreuses années, avant que les informaticiens aient entendu parler d’Agile, un projet typique d’ITIL pouvait impliquer une équipe de plusieurs consultants qui prendraient deux ans ou plus pour documenter les processus, configurer les outils ITSM, former le personnel et «mettre en œuvre» le nouvel outil aligné sur ITIL. La première fois que quelqu’un tirait parti de la solution, ce serait quelques semaines avant la fin du projet. C’est à dire longtemps après avoir lancé le projet. Et encore, dans la plupart des cas, le projet n’arrivait jamais à ce stade. Il était arrêté avant cela après avoir gaspillé beaucoup de ressources et cassé des choses qui fonctionnaient…

Aujourd’hui, même les entreprises informatiques qui utilisent encore une approche en cascade pour le développement de logiciels n’adoptent plus cette approche pour améliorer l’ITSM. Les experts ITIL savent que toute amélioration des services informatiques peut être réalisée de manière progressive.

Alors, établissez d’abord une vision partagée de ce que vous essayez d’atteindre. Cela vous permettra de faire un premier petit pas vers votre objectif. Ensuite, prenez ce que vous avez appris de cette première étape pour planifier et exécuter la suivante. N’essayez pas de documenter chaque étape avant de commencer. Au contraire, continuez à apprendre et à vous améliorer et vous continuerez à vous rapprocher de votre vision.

Conclusion

Voici donc 5 erreurs absolument majeures que vous risquez de commenter lors de l’implémentation de votre gestion des services IT. Vous vous reconnaissez dans l’une d’entre elles ou même dans plusieurs? Alors ne vous étonnez pas si les métiers de l’entreprise considèrent que l’informatique coûte très cher et ne leur apporte pas grand chose en terme de valeur.

Malheureusement, il y a bien d’autres erreurs courantes que vous risquez de commettre. Dans une deuxième partie qui sera publiée prochainement, nous étudierons 5 autres erreurs d’implémentation.

Vous avez vous-même une expérience de mise en oeuvre qui n’a pas apporté les résultats escomptés? N’hésitez pas à commenter cet article et à lancer le débat. ITIL n’est-il pas un cadre de bonnes pratiques issues du terrain?

ISO/IEC 20000-1 : le cru 2018 est arrivé

Fantastique nouvelle pour toutes les personnes impliquées dans la gestion des services informatiques (ITSM), la norme internationale ISO/IEC 20000-1:2018 a été publiée ce 15 septembre 2018. Elle est désormais disponible en Anglais et en Français sur le site de l’ISO

ISO/IEC 20000-1:2018 nouvelle version de la norme de gestion des services (ITSM)
Crédit image © raw pixel.com

En cette saison de vendanges, les nouveaux crus sont très attendus. Et le millésime 2018 de la norme internationale ISO/IEC 20000-1 ne fait pas exception à la règle. Il s’agit là de la 3ème version de cette norme dont la première publication remonte à 2005. A l’origine, il s’agissait essentiellement de traduire les bonnes pratiques ITIL V2 sous forme d’une norme de gestion des services informatiques (ITSM). L’objectif était de permettre aux organisations informatiques de certifier leur système de management des services TI. Les référentiels de bonnes pratiques tels que ITIL ne permettant pas de certifier une organisation, ISO/IEC 20000 était la première norme ITSM.

L’enquête annuelle réalisée par l’ISO (International Standard Organization) montre qu’en 2016 la norme ISO 20000 est classée en 9ème position des normes sur lesquelles les entreprises se certifient le plus, avec 4537 certificats d’entreprises délivrés en 2016. Elle connaît d’ailleurs une croissance très importante de 63%, et spécialement en Asie.

ITSM - ISO 20000 dans le monde. Devant ITIL
Répartition des certifications ISO 20000 délivrées dans le monde en 2015 & 2016 – © ISO 2017

Aujourd’hui, ISO/IEC 20000-1:2018 reste alignée sur les bonnes pratiques ITSM, parmi lesquelles ITIL. Cependant, elle a largement pris son autonomie et son périmètre s’est sensiblement élargi. Nous vous livrons ici quelques unes des nouveautés attendues par tous les acteurs de la gestion des services.

Vue d’ensemble de la version 2018 d’ISO/IEC 20000-1

Les membres du sous-comité SC40 du JTC1 (ISO/IEC) ont fait un travail remarquable. Ils ont pris en compte les tendances et les défis actuels dans l’environnement de gestion des services. L’accent est désormais mis davantage sur la gestion et l’assurance qualité. Il est moins centré sur la formulation des processus et des procédures. Le fait qu’un écosystème de services soit composé d’un environnement multi-fournisseurs empêche souvent les entreprises de normaliser tous les processus dans toutes les organisations impliquées incluant leur chaîne logistique de service.

Les changements les plus importants dans la norme ISO/IEC 20000-1:2018

Les modifications suivantes ont été apportées par rapport à la version précédente de 2011:

  1. Au plus haut niveau, une nouvelle structure hiérarchique conforme aux autres normes relatives au système de management a été introduite. Cela facilite la certification des entreprises pour plusieurs normes, telles qu’ISO 9001 (gestion de la qualité) ou ISO 27001 (gestion de la sécurité de l’information).
  2. La section Termes et définitions a été supprimée. Elle est désormais remplacée par une référence aux termes et définitions de l’ISO / IEC 20000-10.
  3. Toutes les références à la « méthode PDCA » (« Plan-Do-Check-Act ») ont été supprimées.
  4. De nouvelles exigences sur le contexte de l’organisation et sur les activités relatives aux risques et aux opportunités ont été ajoutées.
  5. Une exigence explicite de «créer, mettre en œuvre, maintenir et améliorer continuellement un système de management des services (SMS)» a été ajoutée.
  6. Les exigences en matière d’informations documentées, de ressources, de compétences et de sensibilisation ont été mises à jour.
  7. Des exigences supplémentaires dans les domaines de la planification des services, de la connaissance, de la gestion des actifs, de la gestion de la demande et de la fourniture de services ont été introduites.
  8. Les exigences relatives à la gestion des incidents et à la gestion des demandes de service ont été divisées en deux chapitres distincts.

À première vue, la norme semble être devenue plus vaste et donc plus complexe. Cependant, les exigences concernant les processus sont beaucoup plus simples. De même, les exigences en matière de documentation ont été considérablement réduites. Cela permet aux organisations de définir leurs processus beaucoup plus librement. La norme est maintenant conçue davantage pour l’effet de la gestion des services que pour sa description détaillée.

La nouvelle norme sur l’ITSM en un seul coup d’oeil

Les changements et améliorations de cette nouvelle version de la norme ISO/IEC 20000 se reflètent dans le schéma suivant :

Schéma de la norme ISO/IEC 20000-1:2018. Au delà du périmètre ITIL
Crédit © ISO 2018

Comme on peut le voir, des questions telles que le leadership et l’engagement, la gestion des risques, la planification des services d’évaluation et l’amélioration de performance deviennent centrales.

Il est également clair que le nombre de processus a nettement augmenté par rapport à la version précédente de 2011. Cette nouvelle mouture de la norme voit son périmètre augmenter. Il est désormais aligné sur celui d’ITIL 2011 et prend en considération les nouveaux référentiels ITSM comme VeriSM, SIAM, COBIT, etc..

Un changement dans la cible de la norme

Le terme « service informatique » figurait déjà dans la dernière version de la norme. Mais la norme était principalement réservée aux organisations informatiques pour certifier leur système de management à ISO 20000. Avec la connectivité accrue des fournisseurs de services externes et les exigences moins détaillées pour les processus informatiques tels que la disponibilité et la gestion de la capacité, la norme est désormais également prédestinée à être utilisée en dehors des organisations informatiques. C’est la base de la certification de la gestion professionnelle des services d’entreprise à l’avenir avec la nouvelle norme ISO/IEC 20000-1: 2018. Attendons donc de voir comment cela va évoluer dans les prochains mois.

Quelles suites sont à prévoir dans les prochains mois?

Si votre organisation est déjà certifiée ou si vous commencez à mettre en œuvre ISO20000-1, ne vous inquiétez pas. Il est probable qu’il y aura une période de transition minimale de deux ans après la révision de la première partie. Rien de ce que vous faites actuellement pour l’ISO/IEC 20000-1:2011 actuelle ne sera perdu.

Pour les entreprises déjà certifiées ISO/IEC 20000-1:2011

Pour les entreprises déjà certifiées ISO/IEC 20000-1:2011, la transition doit être bien préparée. Cependant les changements ne seront pas vraiment importants. Il est toutefois conseillé de convenir de la date de transition avec le certificateur en temps utile. La date limite probable de cette nouvelle certification sera sans doute d’ici 2021 au plus tard.

Pour les entreprises non encore certifiées ISO/IEC 20000-1

Pour les entreprises qui souhaitent obtenir la certification ISO 20000-1 pour la première fois, cette édition est simplifiée. Elle est moins détaillée au niveau des exigences. Elle se concentre sur ce que les entreprises doivent faire pour avoir plus de liberté de mise en œuvre. La mise en oeuvre d’un système de management des services, en vue de la certification, devrait donc être plus facile.

Parmi les points-clés dont vous devez désormais vous préoccuper pour faire certifier votre SMS sur ISO/IEC 20000-1:2018 :

  • Quels sont les résultats attendus de votre système de gestion de services (SMS) et de vos services?
  • Qu’est-ce qui constitue une valeur pour l’organisation et les clients du SMS et des services?
  • Qui a le pouvoir de prendre des décisions clés sur le SMS et les services?
  • Comment les exigences SMS sont-elles intégrées dans les processus métier de l’organisation?
  • Quelles connaissances sont nécessaires pour soutenir le fonctionnement du SMS et des services?

Ce sont là des aspects clés pour l’ITSM et l’alignement sur le business. Aucune surprise donc de les retrouver au coeur de la nouvelle version de la norme. Ce sont également des questions qui matérialisent un peu plus la particularité d’ISO/IEC 20000-1:2018 vis à vis d’ITIL. En effet ITIL 2011 reste essentiellement focalisé sur les processus exclusivement. Ce sont également les questions qui sont au coeur des nouveaux référentiels ITSM tels que SIAM, VeriSM, etc. Il semble que la nouvelle version d’ITIL (ITIL4) annoncée pour le premier trimestre 2019 aille également dans ce sens.

Quid de la formation et des certifications de personnes?

A l’heure actuel, plusieurs organismes de certification de personnes proposent des certifications individuelles sur ISO/IEC 20000. Parmi elles, on peut citer APMG, EXIN ou PECB. Là encore ne vous inquiétez pas. votre certification ISO 20000 (Foundation, auditor, professional, lead implémenter ou lead auditor) demeurera valide. Les organismes de formations vont simplement devoir mettre à jour leurs cursus de formation pour les adapter à la nouvelle version de la norme. La mise à niveau des examens de certification devrait intervenir dans les prochaines semaines.

2AB & Associates (ex AB Consulting), accrédité auprès de l’APMG, d’EXIN et de PECB pour délivrer les formations et les certifications de personnes sur ISO/IEC 20000 est déjà en train de finaliser les nouveaux cours alignés sur la version 2018 de la norme. Nous préparons aussi un cours de transition vers ISO/IEC 20000-1:2018. Ce cours a pour objectif d’aider les personnes en train de conduire une certification de leur organisation sur la version 2011.

 

COBIT et VeriSM : la recette du succès

Le modèle VeriSM récemment lancé, semble être un complément intéressant à COBIT. VeriSM, bien que très récent, a suscité beaucoup d’intérêt et de discussions dans les équipes de gestion des services. Déjà de nombreuses organisations envisagent et évaluent cette approche.

COBIT et VeriSM : La recette du succès
Crédit : © Dreamstime

Des idées clés au cœur de VeriSM

Quelques idées fortes sont au coeur même du modèle VeriSM :

  • Dans un monde de services numériques, gouverner les services devient une préoccupation importante pour l’ensemble de toute organisation. Ce n’est plus le problème de l’informatique uniquement,
  • Le « département informatique » est simplement une aptitude organisationnelle comme toutes les autres (par exemple les RH, les ventes, le marketing). Il doit donc travailler en étroite collaboration avec toutes les autres capacités de conception, de construction et de gestion des services numériques,
  • Toutes les organisations doivent prendre conscience de leur environnement, des ressources et capacités disponibles (à la fois en interne et en externe) lors de la conception, du développement et de la fourniture de services numériques. C’est le concept de réseau de management ou de management maillé,
  • Des principes de gestion des services clairement définis devraient servir de guide pour tout nouveau service. Ceci, afin de garantir que ce sont bien les bons «muscles» du maillage qui sont sollicités au fur et à mesure du développement du service et pendant toute la durée de son cycle de vie.

VeriSM n’est pas en soi un cadre, un référentiel ou une méthodologie. VeriSM est, en fait, un modèle préconisant l’évaluation et l’utilisation flexible des pratiques de gestion. Ces pratiques sont décrites dans VeriSM au travers des éléments du management maillé (« Management Mesh« ).

COBIT 5 est l’un de ces cadres de meilleures pratiques en matière de gouvernance et de management de l »information. Il présente donc une grande synergie avec VeriSM. De ce fait COBIT 5 aidera les organisations à adopter une approche VeriSM et à établir et exploiter efficacement un maillage du management.

LE CONCEPT DE MANAGEMENT MAILLE DE VeriSM

VeriSM - Le management maillé
Crédits © Van Haren 2017

COBIT 5 pour la Gouvernance

Le modèle VeriSM repose sur l’établissement d’une gouvernance efficace des services gestion de l’information et de la prestation de services informatiques performants.

COBIT 5 est un cadre reconnu en matière de gouvernance de l’Entreprise. Il définit un référentiel unique de gouvernance qui couvre de façon transparente l’ensemble de l’Entreprise, de manière globale et de bout en bout. Il s’agit là de trois des cinq principes clés de COBIT.

COBIT 5 : LES 5 PRINCIPES

COBIT : les 5 principes
Crédits : © ISACA 2012 – Tous droits réservés

Les principes de gestion des services VeriSM doivent refléter les besoins et les moteurs de l’organisation et de ses parties prenantes traduits en objectifs de l’entreprise. Ils constituent donc une composante clé de la gouvernance.

La cascade d’objectifs de COBIT 5

Les besoins des parties prenantes de l’Entreprise doivent être traduits en actions stratégiques pour être mise en oeuvre. La cascade d’objectifs de COBIT 5 représente le mécanisme de traduction des besoins des parties prenantes en objectifs d’entreprise précis, réalisables et personnalisés, puis en objectifs liés aux TI et en objectifs pour chacun des facilitateurs. Cette traduction permet de fixer des objectifs précis à tous les niveaux. De plus, ces objectifs couvrent tous les domaines de l’entreprise. Ils viennent ainsi en appui aux objectifs généraux et aux exigences des parties prenantes. Ils permettent donc de soutenir efficacement l’alignement entre les besoins de l’entreprise et les solutions et services informatiques.

LA CASCADE D’OBJECTIFS DE COBIT 5

La cascade d'objectifs de COBIT 5
Crédit : © ISACA 2012 – Tous droits réservés

COBIT 5 fournit de plus une matrice permettant de faire correspondre les principales préoccupations des parties prenantes avec 17 objectifs génériques de toute Entreprise. Grâce à une seconde matrice, ces 17 objectifs d’Entreprise peuvent ensuite être  mis en correspondance avec 17 objectifs pour le département TI. Par exemple, l’objectif de transparence financière de l’Entreprise  pourra être mis en correspondance avec l’objectif TI de « transparence des coûts, des bénéfices et des risques IT ». Enfin, une troisième matrice permet de faire correspondre ces objectifs TI avec les processus à mettre en oeuvre ou à améliorer. Les processus constituent une des 7 catégories de facilitateurs. La relation n’est pas univoque. Un processus de bas niveau peut ainsi supporter plusieurs objectifs d’entreprise. Toutefois grâce à cette cascade d’objectifs, il est aisé d’identifier les principaux processus soutenant chacun des objectifs stratégiques de l’Entreprise.

Bien sûr chaque entreprise est différente. Ces matrices sont donc fournies à titre d’exemples et doivent être adaptées à chaque organisation spécifique.

Le management maillé de VeriSM

Les organisations définiront leur maillage de gestion de différentes manières qui leur seront propres. Comme indiqué ci-dessus, les éléments du maillage sont nombreux et variés. COBIT 5 encourage également une approche holistique pour comprendre et rassembler les différentes ressources et capacités de gestion des services.

COBIT 5 définit 7 catégories de facilitateurs (« enablers ») :

Les 7 facilitateurs de COBIT 5
Crédit © ISACA 2012 – Tous droits réservés

À l’heure actuelle, l’ISACA n’a publié des guides de référence détaillés que pour les facilitateurs « processus » et « information« . Cependant ils fournissent des indications importantes et suffisantes sur la documentation et la classification des éléments clés de tout maillage de gestion.

La mise en œuvre de VeriSM en Entreprise

Les organisations qui adoptent d’abord une approche VeriSM considéreront / évalueront très probablement COBIT 5 comme une manière d’ajouter une valeur significative au maillage de gestion. A l’opposé, les organisations qui utilisent déjà COBIT 5 y trouveront un avantage significatif lors de l’adoption d’une approche VeriSM. Quel que soit le modèle proposé en premier, le cycle de vie de mise en oeuvre inclus dans COBIT 5 est une excellente démarche pour répondre à la complexité et aux défis généralement rencontrés lors de tout projet de transformation.

L’approche de programme de transformation de COBIT 5

COBIT 5 : Le modèle de mise en oeuvre
Crédit © ISACA 2012 – Tous droits réservés

Le diagramme ci-dessus décrit avec une extrême précision le modèle de mise en oeuvre de tout projet de transformation.  Expliqué en détail dans le Guide de mise en œuvre  de COBIT 5 (ISACA) et soutenu par une qualification professionnelle, l’approche selon le cycle de vie détaille une démarche holistique en 7 étapes pour parvenir à un changement durable en se focalisant sur trois axes :

  • Amélioration continue : Permettre et soutenir le changement organisationnel pour offrir des avantages durables en veillant à ce que les améliorations soient intégrées dans la structure de l’organisation,
  • Facilitation du changement : Le programme est conçu pour soutenir le besoin d’amélioration continue, avec des changements apportés dans des itérations hiérarchisées et gérables, garantissant que les avantages sont fournis à un rythme de changement auquel l’organisation peut faire face,
  • Gestion de programme : appliquer des techniques formelles de gestion de programme et de projet (analyse de rentabilisation formelle, objectifs bien définis et bien définis, parrainage de cadres) pour garantir que les avantages sont réalisés

L’importance de la facilitation du changement

On estime jusqu’à 70% le taux d’échec des projets de transformation. Bien sûr, il y a de nombreuses raisons à cela. Cependant,  parmi celles-ci, les principales sont liées aux personnes et en particulier à la résistance au changement.

Kotter reconnaît cela dans son modèle de changement en huit étapes, dont la première étape critique est de créer un sentiment d’urgence. Cela se reflète dans l’étape 1 de l’anneau de facilitation du changement. En clair, cela signifie être capable de répondre à la question suivante :


Il y a un million et une chose que nous pourrions faire,

Pourquoi cela doit-il se produire et pourquoi cela doit-il arriver maintenant?


Si cela ne peut pas être clairement expliqué, d’une manière qui ait du sens et soit convaincante pour l’ensemble de l’organisation, la réponse est probablement : « ça ne marchera pas!« .

Encore une fois, la cascade des objectifs est utile ici. Il devrait y avoir une cascade claire entre les objectifs du programme et la réalisation des objectifs de l’Entreprise. Certes, la réalisation d’objectifs d’entreprise de haut niveau, bien qu’ils soient clairement pertinents pour tous les employés, n’est peut-être pas ce qui nous fait sortir du lit le matin. Cependant, c’est ce qui excite les plus hauts niveaux du management organisationnel et de la gouvernance. C’est donc ce qui assurera le parrainage de la direction qui est si crucial pour la réussite de tout programme.

Les services numériques au coeur du besoin de transformation des entreprises

Il existe de nombreuses définitions différentes du terme service numérique. La mienne serait : un service numérique est un service qui permet aux consommateurs de traiter avec l’entreprise par voie électronique à un moment et à un endroit qui leur conviennent, sans qu’une interaction humaine soit nécessaire. Amazon, Uber, Airbnb sont tous des exemples de fournisseurs de services numériques. La demande des consommateur est en croissance exponentielle. Déjà aujourd’hui on voit les consommateurs aller voir et toucher les produits qu’ils souhaitent acheter dans des magasins. Ensuite ils rentrent les commander en ligne sur un site de vente en ligne tel qu’Amazon. Demain cela concernera 90% des Entreprises dans tous les domaines (banques, assurance, hôtellerie, etc.). Toutes ces Entreprises vont devoir se transformer pour survivre.

 

Crédits : Mark Flynn et blog de l’APMG

VeriSM: le nouvel ITIL de l’ère digitale?

En proposant une approche nouvelle de la gestion des services, le modèle VeriSM pourrait bien être l’évolution digitale du référentiel ITIL à l’ère du numérique.

VeriSM est-il le nouvel ITIL de l'ère digitale?
Crédit © VeriSM Global

ITIL, le référentiel phare d’AXELOS, commence à sérieusement prendre de l’âge et à perdre de son avance. VeriSM, plus adapté aux contraintes de l’entreprise du futur, pourrait bien être un challenger sérieux dans les prochains mois pour ITIL. AXELOS est bien conscient de la nécessité de faire évoluer son cadre de bonnes pratiques. La Société Britannique a d’ailleurs lancé récemment une initiative qui devrait aboutir Q1/2019 au lancement de ITIL 4. Il n’en reste pas moins que de sérieux concurrents commencent à voir le jour. VeriSM a été conçu dès l’origine pour répondre aux attentes des Entreprises de l’ère digitale. Ce nouveau cadre de bonnes pratiques semble être, assez logiquement, aujourd’hui, en bonne position pour prendre l’avantage.

VeriSM, qu’est-ce que c’est?

VeriSM (de l’anglais Value-driven Evolving Responsive Integrated Service Management) a été développé en 2017 par l’IFDC. Il s’agit d’une gestion des services intégrée, réactive, évolutive et centrée sur la création de valeur.

Cette approche vise à mettre en place des pratiques nouvelles de gestion des services, au niveau de l’ensemble de l’organisation. On ne se focalise plus sur le seul département informatique. Ces nouvelles pratiques sont plus flexibles. Elles sont également plus centrées sur la création de valeur et l’accélération du « Time-to-Market » de produits ou services nouveaux.

ITIL ne suffit pas?

En 2007, le référentiel ITIL a été revu en intégralité dans une version ITIL V3 plus cohérente et ambitieuse, autour de 5 ouvrages. Chacun de ces ouvrages recense les meilleures pratiques pour la gestion des services informatiques (IT Service Management ou ITSM) en suivant les 5 phases du cycle de vie des services. En 2011, le Cabinet Office, alors en charge du portefeuille des bonnes pratiques de l’état Britannique publie une refonte « cosmétique » d’ITIL dénommée ITIL 2011. Malheureusement, ITIL 2011 n’apporte pas de grand changement aux bonnes pratiques d’ITIL V3. ITIL reste ITIL. C’est d’ailleurs le sens de l’appellation ITIL 2011 qui n’est en aucun cas une nouvelle version du référentiel. Il est cependant évident que depuis la parution d’ITIL V3 en 2007 le contexte des Entreprise a largement évolué. La mondialisation des affaires nécessite toujours plus d’agilité des Entreprises pour qu’elles puissent survivre.

Pourquoi un échec relatif d’ITIL à créer de la valeur business?

Dans le même temps, les mises en oeuvre des bonnes pratiques basées sur ITIL ont largement échoué à produire les résultats attendus. La faute n’est pas à ITIL. La faute est à attribuer pour une large part à des consultants incompétents lorsqu’on parle de mise en oeuvre. Les implémentations réalisées ont essentiellement contribué à « rigidifier » les entreprises pour tirer un maximum de bénéfices au niveau de l’informatique. Hélas ces avantages ont été ciblés au détriment de l’agilité du business.

La faute est également à porter à l’étendue du cadre de bonnes pratiques d’AXELOS. Il ne se focalise malheureusement que sur les aspects informatiques. Une entreprise ne devrais utiliser l’informatique que comme un « outil » au service du business. Or les mises en oeuvre de processus basés sur ITIL sont réalisées pour la plupart pour les DSI. De plus, elles se déroulent bien souvent sans la participation du Business. Or c’est bien le business qui crée de la valeur et en aucun cas l’informatique. L’informatique est et doit rester un outil au service du business.

AXELOS s’en est d’ailleurs est bien rendu compte et a publié « ITIL Practitioner » accompagné d’une nouvelle certification. Cette publication, mal positionnée et surtout mal ciblée a été un échec. La plupart des consultants « experts » ont échoué à obtenir la certification ITIL Practitioner.

Qu’apporte VeriSM en plus d’ITIL?

L’évolution du modèle d’affaire des Entreprises entraîne un besoin d’évolution des pratiques. Et c’est cette évolution des pratiques qui explique le besoin des professionnels de l’informatique de disposer d’un nouveau référentiel intégrant les nouveaux enjeux de la DSI et des métiers (et plus seulement ceux de la production) : « time-to-market », « user experience / customer experience (UX/CX) », agile-DevOps, nouvelles pratiques du support, intégration du cloud sous toutes ses formes dans la fourniture des services, positionnement de la production en tant qu’agrégateur de services, etc. Autant d’enjeux déjà embarqués dans le modèle VeriSM. VeriSM pourrait donc bien être une alternative au référentiel ITIL 4 dont la sortie est prévue en 2019. Ce d’autant que le contenu t’ITIL 4 reste encore largement inconnu.

Comment est conçu VeriSM?

Le modèle VeriSM, récemment traduit en français, est décrit dans plusieurs ouvrages, dont un « pocket guide » disponible sur le site de Van Haren Publishing proposant une approche de la gestion des services d’un point de vue organisationnel.

La première publication, structurée en quatre parties, parait finalement assez générique :

  • La première partie, plutôt exploratoire du service management, interroge sur le bien-fondé d’une culture « service », sa structuration et ce qu’elle implique, notamment en matière de gestion des compétences.
  • La seconde partie, plus descriptive, est au cœur de l’ouvrage. A première vue, elle parait très conceptuelle et est pourtant enrichie d’exemples explicites.
  • La troisième partie propose un rappel des concepts, technologies et pratiques liés à l’agilité, à la culture DevOps, au Lean management, au cloud, au big data, à l’IoT, au shift left, à la CX et UX (Consumer et User eXperience), au continuous delivery, à la méthode Kanban, à la Théorie des contraintes ou encore à l’amélioration continue.
  • Enfin, la quatrième partie propose des annexes illustrant par exemple les notions d’asset management, de « security by design » ou encore la structure générique d’une « policy ».

Le modèle VeriSM repose également sur un découpage intéressant – façon SIAM (Service Integration And Management) – et décrivant les activités clés d’un intégrateur de services. VeriSM propose d’aider les métiers à se digitaliser en ne se contentant plus de fournir des services en mode infrastructure. Il faut désormais créer de la valeur, identifier et explorer des technologies de pointe. Cela nécessite des compétences nouvelles dans un écosystème qui se diversifie chaque jour un peu plus.

Le modèle VeriSM
Le modèle VeriSM © IFDC Global

Alors pourquoi adopter VeriSM?

Toute l’originalité de VeriSM réside dans le cœur même de son modèle, le « Management Maillé » sur lequel s’appuient quatre groupes d’activités autour du cycle de vie d’un service : définir, produire, fournir et supporter.

Ce modèle favorise une approche flexible permettant de s’adapter aux besoins d’un produit ou d’un service spécifique.

VeriSM - Le management maillé
Crédit © Van Haren Publishing

L’idée centrale du modèle est de construire un modèle d’opération couvrant ces 4 groupes d’activités en s’appuyant et en mixant intelligemment l’utilisation de pratiques et de facilitateurs issus des 4 pôles du « management maillé » :

  • L’environnements : les éléments « stabilisateurs » (processus, métriques, outillages), les concurrents, la culture, les contraintes légales, etc.
  • Les ressources : équipes, budgets, actifs, connaissance, temps, etc.
  • Les pratiques de management : ITIL / COBIT / CMMI / IT4IT, ISO/CEI 20000, ISO/CEI 27000, DevOps, agilité, lean management, PPM, SIAM, etc.
  • Les technologies émergentes : cloud, containers, IoT, big data, automation, dont certaines ne sont plus forcément émergentes mais désormais intégrées dans la fourniture de services.

Pour chaque produit, ces domaines sont pris en considération et interagissent.

Même si, aujourd’hui, la description du cœur même du référentiel n’est pas encore très détaillée et peut-être un peu trop « stratosphérique », la prochaine version dont la sortie est planifiée pour fin 2018 devrait tenir ses promesses et offrir de nouveaux horizons à la gestion des services. Tous les espoirs sont désormais  permis. Ce modèle est pensé et structuré pour répondre aux nouveaux enjeux de la transformation digitale des entreprises. Il pourrait donc devenir le nouveau référentiel de pratiques pour le management des services.

 

ITIL : renaissance ou dernier soupir?

ITIL, le référentiel phare en matière de gestion des services informatiques commence à prendre de l’âge. Aucune évolution notable n’a été publiée depuis 2011. Et encore, la version 2011 n’était elle-même qu’une révision cosmétique (en anglais « refresh ») de la version ITIL V3 publiée en 2007. Cela fait donc dix ans que rien de vraiment nouveau n’a été publié. A l’occasion du salon ITSMF Fusion 2017, AXELOS a levé le voile sur l’avenir d’ITIL en 2018.

ITIL: renaissance en 2018?
Crédits: © AXELOS

On peut comprendre qu’une méthodologie n’évolue pas beaucoup. Mais justement le problème d’ITIL c’est qu’il ne s’agit aucunement d’une méthodologie. ITIL est un cadre de bonnes pratiques pour améliorer les services informatiques délivrés aux métiers. Or, durant ces dix dernières années, les Entreprises et leurs métiers ont subi une transformation radicale. Il est donc clair que leurs besoins de services informatiques ont également énormément changé. Les attentes des affaires sont très différentes aujourd’hui de ce qu’elles étaient il y a dix ans. Les risques auxquels tout service TI est exposé ont également évolué. L’environnement technologique a subi un bouleversement encore jamais vu auparavant.

L’annonce faite par AXELOS

Selon AXELOS, propriétaire du référentiel, ITIL® est «l’approche la plus largement utilisée pour la gestion des services informatiques dans le monde». La société indique qu’il existe des millions de praticiens d’ITIL dans le monde. Elle indique également que le référentiel est utilisé par la majorité des grandes organisations pour gérer leurs  opérations informatiques.

Il aurait donc été naturel que l’annonce d’une mise à jour d’ITIL suscite de nombreux commentaires. Cependant, comme vous l’avez sûrement constaté, tant la presse que les réseaux sociaux ne s’y sont guère intéressés.

La raison de ce manque d’intérêt est la raison même pour laquelle AXELOS veut faire cette mise à jour. ITIL a désormais atteint un point de non pertinence dans un monde économique dynamique et agile. L’environnement économique est aujourd’hui très différent de celui dans lequel ITIL a été développé.

De nouveaux modèles d’architecture, de nouvelles approches de management et, plus généralement, la transformation numérique des organisations ont relégué ITIL au stade de relique du passé.

Pourtant, des investissements substantiels ont été réalisés par nombre d’organisations dans le monde. Il s’agit notamment de la certification de leurs collaborateurs. Le grand nombre de fournisseurs de technologie qui ont vu le jour autour de ce framework et le vaste réseau de consultants et de sociétés de formation qui ont bâti leurs offres autour d’ITIL suggèrent que ce référentiel ne disparaîtra pas tranquillement du jour au lendemain.

Mais cette mise à jour annoncée sera-t-elle suffisante pour une renaissance d’ITIL en 2018? Ou marquera-t-elle son dernier soupir?

ITIL est-il en core pertinent dans un monde qui change?

Lors de l’annonce faite à ITSMF Fusion 2017, Margo Leach, Chef de produit chez AXELOS a admis la nécessité de faire évoluer ITIL pour pouvoir s’aligner sur un monde en pleine évolution tout en revendiquant sa pertinence au jour d’aujourd’hui.


« Les principes fondamentaux d’ITIL sont valables et restent essentiels pour permettre aux entreprises de se transformer et d’évoluer », a déclaré M. Leach. « Mais nous devons ajouter un élément supplémentaire au cœur d’TIL: la rapidité de mise sur le marché et l’agilité, c’est-à-dire la capacité d’une entreprise à répondre aux menaces commerciales, aux demandes et aux opportunités du marché. »


AXELOS a également reconnu que d’autres approches, (DevOps, …) traitent déjà de ces problèmes. « Le nouvel ITIL doit inclure des conseils pratiques et explicites sur la façon d’intégrer les principes des nouvelles méthodes de travail contemporaines« , a déclaré Margo Leach.

L’évolution rapide des technologies basées sur le cloud, les nouvelles approches telles que DevOps et l’enracinement des méthodologies agiles ont remis en question bon nombre de méthodes, apparemment rigides et bureaucratiques, souvent associées à ITIL.

En conséquence, et en dépit de leurs investissements importants dans le référentiel sous la forme de formation et d’outils, de nombreuses Organisations mettent maintenant l’accent sur la nécessité d’investissement futur sur de nouveaux cadres plus pertinents.

Alors n’est-il pas trop tard pour un nouvel ITIL?

La mise à jour d’ITIL ne devrait donc pas surprendre. Même si l’éditeur a affirmé il y a plusieurs années qu’il n’y aurait plus d’autres mises à jour. Néanmoins, le manque de pertinence perçu s’est également traduit par la perte de position dominante comme en témoigne l’arrivée d’une approche de gestion de service et d’un programme de certification concurrents, appelé VeriSM.

VeriSM prétend également représenter une approche moderne de «Gestion des services pour l’ère numérique». Le nombre de leaders de l’industrie et d’organisations qui le soutiennent est éloquent. A tout le moins, c’est la reconnaissance évidente par l’industrie que le domaine traditionnel de la gestion des services est en train de perdre son sens original et risque de ne plus être pertinent.

La transformation digitale entraîne un changement d’orientation

Ce que je crains, c’est que la prochaine mise à jour ITIL et la nouvelle approche VeriSM passent à côté de ce qui se passe réellement. A mon sens, la transformation numérique ne concerne pas vraiment la technologie ni son utilisation particulière. Il s’agit de la transformation des modèles d’affaires et d’opérations. Cela se traduit par un transfert fondamental de pouvoir de l’Entreprise vers le Client. En d’autres termes il ne s’agit pas d’une transformation technologique. Il s’agit plutôt d’une transformation de la société.

En tant que tel, le paradigme organisationnel de l’organisation doit passer de l’optimisation et de l’efficacité à l’expérience client et à facilitation pour l’utilisateur tout au long de son parcours. Le problème est que l’accent principal, tant pour ITIL que pour la gestion des services au sein des organisations, est entièrement basé sur l’efficacité et l’optimisation des opérations (informatiques ou autres).

De plus, les adoptions de la gestion des services TI sont largement basées sur des processus linéaires. A l’opposé, le monde libre-service et centré sur le client crée une abondance d’interactions client asynchrones et asymétriques avec l’organisation et la technologie qui doit les supporter.

Le résultat net est un cadre de bonnes pratiques de plus en plus déconnecté des besoins réels des Entreprises qu’il soutient. C’est d’ailleurs aussi le cas pour un secteur industriel tout entier.

Y a-t-il un avenir pour ITIL?

Je rencontre quotidiennement des dirigeants d’entreprises et des DSI. Nous discutons des défis auxquels ils sont confrontés et des stratégies qu’ils utilisent pour y répondre. L’accent est alors systématiquement mis sur l’efficacité et l’optimisation. Ce sont là les facteurs de valeur traditionnels de la gestion des services informatiques (ITSM).

Mais la priorité est aujourd’hui ailleurs. C’est l’agilité, l’adaptabilité et l’amélioration de l’expérience client qui sont la clé des affaires en 2018. L’objectif pour toute Organisation est de créer un avantage compétitif sur le marché. Ce sont là des moteurs qu’AXELOS a correctement identifiés. L’efficacité demeure bien sûr une préoccupation quotidienne. Pour ce faire, les entreprises se tournent de plus en plus vers les services et l’automatisation basés sur le cloud pour optimiser leurs opérations.

ITIL, VeriSM ou tout autre cadre ou approche de gestion de service souhaite reste pertinent? Alors leur objectif doit être la prise en compte des nouvelles priorités des Organisations. Leur axe principal doit donc être de réorienter les organisations vers l’expérience client et de les éloigner des modèles centrés sur les systèmes ou centrés sur le service.

Les praticiens de la gestion des services IT vous diront que cela a toujours été l’objectif principal. Je ne les contredis pas. Mais il est temps de reconnaître que, dans la pratique, ce n’est pas ce qui s’est passé. Si ITIL doit rester pertinent en 2018, cela doit changer radicalement. Il n’y aura d’avenir pour ITIL qu’à cette condition.

Vous avez sûrement un avis. N’hésitez pas à nous laisser votre commentaire…

DSI en 2015 : quel est le bon profil?

Responsable de la stratégie informatique de l’entreprise, le DSI n’a pas seulement besoin de connaissances en informatique. Il doit d’abord être un organisateur, un manager et un leader. Voire un visionnaire. Alors quel profil choisir pour ce rôle : informaticien expérimenté ou pas? Votre DSI est-il la personne qui convient pour ce poste?

réunion DSI

Le challenge de l’Entreprise du 21ème siècle réside dans sa capacité d’innovation face à un marché extrêmement dynamique sur lequel les positions compétitives sont en constante évolution. La mondialisation de l’économie apporte toujours plus de concurrence et toujours plus d’informations à compiler pour être à la hauteur du challenge. Dans un monde où l’information est la clé de la création de valeur, il est clair que la capacité de l’Entreprise à gérer cette information revêt une importance stratégique. Fini le temps où le département informatique ne servait que de support au Business. Aujourd’hui son rôle est plus orienté vers l’innovation et le leadership stratégique. Le rôle du DSI a donc considérablement évolué ces dernières années pour passer de celui d’un super-technicien capable de mettre en place une équipe de « pompiers » en charge de résoudre des incidents et de garantir la disponibilité des service IT aux métiers pour soutenir leur activité opérationnelle génératrice de valeur, vers celui de leader stratégique, capable de travailler avec les métiers sur de nouveaux axes de productivité s’appuyant sur la transformation permanente de l’Entreprise en vue de son adaptation à l’environnement concurrentiel.

Les compétences requises pour un DSI ont bien évidemment évolué dans ce sens. Le DSI du 21ème siècle est donc d’abord un stratège, un manager doté d’un fort leadership et un visionnaire capable d’imaginer avec les métiers de l’Entreprise quels seront ses marchés de demain, afin de permettre à ces derniers d’occuper ces nouveaux marchés avant leurs concurrents. Y a-t-il encore besoin d’être un informaticien pour occuper le poste de DSI? Rien n’est moins sûr.

Une révolution technologique et culturelle est en cours

La mobilité et le Cloud sont en train de remodeler de façon fondamentale l’informatique d’entreprise. Ils ont déjà changé la relation globale entre l’informatique et le reste de l’organisation. Cette nouvelle façon de gérer l’information est devenue à la fois un défi et une immense opportunité pour les DSIs, mais saisir cette opportunité exige un changement de culture, de mentalité et de compétences. Pour réussir, le DSI et le personnel du département informatique doivent travailler main dans la main avec le business dans un vrai partenariat basé sur une relation de confiance.

Age du boulierLes attentes de pouvoir travailler en utilisant les outils les mieux adaptés à leurs besoins, et la capacité de mener en parallèle des tâches personnelles et  des tâches de leur Entreprise au travail, mais aussi à la maison, tout en préservant la confidentialité des renseignements personnels sont devenues la norme pour une majorité d’employés.

Cette nouvelle organisation engendre des risques importants au niveau de la sécurité des informations et de la résilience de l’Entreprise. Il est donc vital que le DSI soit également un véritable gestionnaire des risques d’Entreprise afin d’inclure les aspects liés à la cyber-résilience dans sa stratégie.

Quel est le rôle d’un DSI?

COBIT® 5 décrit le DSI comme étant « le plus haut dirigeant de l’entreprise en charge de l’alignement des stratégies IT et des stratégies d’affaires. Il est également responsable de la planification, des ressources et de la gestion de la livraison des services informatiques ainsi que des solutions pour soutenir les objectifs de l’entreprise ».

En d’autres termes, son rôle, en coopération avec l’ensemble des membres du Comité de Direction, consiste à participer à l’élaboration des stratégies Business et à s’assurer que les stratégies IT sont bien « embarquées » (ou alignées) avec celles de l’Entreprise. La stratégie IT devra ensuite être validée et approuvée par le Comité Stratégique qui répond au Conseil d’Administration.

COBIT® 5 décrit le Comité Stratégique comme « un groupe de hauts dirigeants nommés par le conseil d’administration afin de s’assurer que ce dernier participe aux grands dossiers et décisions liés à l’IT, et qu’il en est tenu informé. Le comité est responsable de gérer les portefeuilles d’investissements en informatique, les services informatiques et les actifs informatiques en veillant à la création de valeur et que le risque soit géré. Le comité est généralement présidé par un membre du Conseil d’Administration et non par le Directeur du Système d’Information« .

Le DSI est chargé d’identifier les domaines potentiels de croissance qui auront un besoin accru du soutien informatique, et de diriger la conception et l’exécution d’une stratégie Informatique qui construit ces fonctions essentielles dans le domaine IT. En d’autres termes, le DSI a donc comme rôle d’élaborer la stratégie IT (« Responsible »), en alignement avec les stratégies Business en vue de satisfaire les objectifs de l’Entreprise qui eux-mêmes se déclinent de la mission qui lui a été assignée par le Conseil d’Administration. Le Comité Stratégique a, pour sa part, la charge de valider l’ensemble des stratégies et de s’assurer de leur alignement.

Une fois les stratégies validées, le DSI répond (est « Accountable ») de la livraison des solutions et des services définis dans la stratégie. Sa première responsabilité sera donc de rédiger et de faire appliquer la Politique Informatique. Pour cela il devra gérer les risques IT dans la limite de l’appétit du risque de l’Entreprise, négocier et implémenter des contrats complexes, notamment en matière de sous-traitance, transmettre la politique en vue de son application à son Senior Management qui la traduira en processus, et s’assurer de la résilience du système informatique, incluant les aspects de sécurité, d’intégrité et de confidentialité, ainsi que de s’assurer de la conformité légale et réglementaire.

Les aptitudes et compétences requises pour un DSI

Pour remplir son rôle, le DSI devra donc faire montre d’aptitudes et de compétences correspondant aux responsabilités qui lui sont assignées.

1. Alignement des stratégies du système d’information et des métiers de l’entreprise

Cela signifie être capable de:

  • Anticiper les besoins de l’entreprise à long terme
  • Améliorer l’efficacité et l’efficience des processus de l’organisation
  • Déterminer le modèle de système d’information et l’architecture d’entreprise alignés avec la politique de l’Organisation et assurer un environnement sécurisé
  • Prendre des décisions stratégiques pour la politique informatique au niveau de l’Entreprise, y compris au niveau des stratégies de sourcing
  • Faire preuve de leadership pour la construction et la mise en œuvre de solutions innovantes sur les long terme

2. Gouvernance du Système d’Information

Cela signifie être capable de:

  • Faire preuve de leadership concernant la stratégie de gouvernance informatique en communiquant, propageant et contrôlant les processus pertinents du département informatique entier
  • Définir, déployer et contrôler la Management des Systèmes d’Information en ligne avec les impératifs Business
  • Prendre en compte tous les paramètres internes et externes tels que la législation et le respect de normes de l’industrie pour optimiser les risques et le déploiement de ressources en vue de générer un bénéfice Business équilibré.

3. Gestion des relations avec les métiers

Cela signifie être capable de:

  • Identifier les relations clés qui devraient être initiées pour comprendre les exigences informatiques du Business
  • Promouvoir la vision et les opportunités que la technologie peut présenter pour l’entreprise, y compris la possibilité de transformation et son impact probable sur le Business
  • Diriger la conception d’une procédure pratique permettant de maintenir des relations positives avec le Business

4. Développement du Business Plan

Cela signifie être capable de:

  • Fournir un leadership stratégique pour le développement de Business Plans pour exploiter au mieux les capacités des technologie de l’information afin de répondre aux besoins des métiers
  • Considérer les modèles possibles et applicables de sourcing
  • Présenter une analyse coûts/bénéfices et des arguments justifiables à l’appui de la stratégie choisie
  • Communiquer et vendre le Business Plan aux parties prenantes de l’Enterprise en tenant compte des intérêts politiques, financiers, et organisationnels.

5. Management des risques métiers liés à l’informatique

Cela signifie être capable de:

  • Diriger la définition d’une politique de gestion des risques en tenant compte de toutes les contraintes possibles, y compris les questions techniques, économiques et politiques
  • Mettre en œuvre la gestion des risques au niveau du Système d’information grâce à l’application des politiques et procédures de gestion des risques
  • Évaluer les risques pour le Business de l’organisation, y compris au niveau d’Internet, du Cloud et des appareils mobiles
  • Documenter les risques potentiels et les plans de réponse.

6. Leadership et travail d’équipe

Cela signifie être capable de:

  • Renforcer l’engagement sur une vision partagée afin de fournir des services client de qualité
  • Encouragez les personnels à prendre des décisions de façon indépendante et à assumer le leadership dans leur domaine d’expertise
  • Vaincre, grâce à sa performance, à la confiance qui lui est faite et au soutien à son leadership
  • Créer un environnement dans lequel les membres de l’équipe sont des moteurs pour améliorer performances et la productivité
  • Veiller à ce que les liens appropriés / partenariats entre les équipes soient maintenues.

7. Gestion Financière

Cela signifie être capable de:

  • Assurer la gestion financière stratégique des finances, le financement du capital / hors trésorerie, l’amortissement des coûts de projet, la gestion d’exercice, la gestion du coût du capital.

Alors avez-vous le bon profil pour être DSI en 2015?

Compétences requises pour un DSILe DSI, par essence, doit absolument être membre du Comité de Direction car c’est à ce niveau que se situent les responsabilités de Gouvernance et de Stratégie. Au niveau du savoir être, il doit être capable de travailler en équipe avec les autres membres du Comité de Direction et savoir se concentrer sur ce qu’il convient de faire (la stratégie et la rédaction de politiques) plutôt que sur comment on va le faire (les processus et les procédures). Le « comment » relève de la responsabilité du Senior Management.

Sur la base des éléments décrits précédemment, il est clair que le DSI de 2015 n’est pas un « informaticien » ayant un profil technique et ayant gravi les échelons pour arriver à ce poste en fin de carrière. Il doit s’agir avant tout d’un stratège, d’un manager complet, d’un organisateur, d’un leader et d’un visionnaire. Ce type de profil ne correspond pas du tout au profil d’un ingénieur informaticien mais plutôt à celui d’une personne issue d’une grande école de management ou de commerce avec une expérience réussie de quelques années à un poste de senior manager ou de membre d’un Comité de Direction.

Quelques formations et certifications viendront idéalement compléter les aptitudes et les compétences du DSI, sur la base des référentiels de bonnes pratiques universellement utilisés dans ce domaine.

Voici quelques unes des formations et certifications typiquement destinées à un profils de DSI :

COBIT® pour le Board et les Exécutifs (1 jour) : les responsabilités de gouvernance et de management du système d’information et comment réaliser l’alignement avec les attentes des actionnaires/propriétaires, les objectifs de l’Entreprise et la Stratégie Informatique.

COBIT® 5 Foundation (3 jours) : les fondamentaux de la gouvernance et du management des systèmes d’informations, incluant comment en implémenter les facilitateurs et évaluer leur aptitude à supporter la mission de l’Entreprise.

RESILIA Foundation (3 jours) : les fondamentaux de la cyber-résilience, incluant la cyber-sécurité, et notamment comment intégrer la cyber-résilience dans la stratégie informatique.

ITIL® Service strategy (3 jours) : formation de niveau « intermediate » du cursus ITIL, la qualification Stratégie de Service (SS) est l’un des cinq modules du cycle de vie des services ITIL et vous fournit les conseils vous permettant de concevoir, développer et mettre en œuvre la stratégie de fournisseur de service en alignement avec la stratégie de l’Entreprise.

AB Consulting, seul Organisme de Formation Accrédité (ATO) par l’ISACA et AXELOS sur la totalité de ces domaines en Afrique, vous propose l’ensemble de ces formations et certifications. Nous pouvons également vous aider au travers de nos services de coaching et d’accompagnement sur ces aspects ainsi que réaliser à votre demande des évaluation d’aptitude de votre système de management ou de votre système de gouvernance.

Pour plus d’informations ou pour vous abonner à notre newsletter, merci de compléter le formulaire de contact:

La création de valeur pour les nuls

Avis à tous ceux qui croient que rester assis à un bureau, à regarder un écran et à chauffer son fauteuil, ou que marcher autour du bureau toute la journée avec une tasse de café à la main en bavardant et participer à des réunions stériles est synonyme de CRÉATION DE VALEUR et que répartir son temps entre LinkedIn et Facebook correspond à un EQUILIBRE ENTRE TRAVAIL ET VIE SOCIALE, la lecture de l’article suivant risque de paraître un peu douloureuse ……….

création de valeur

Les entreprises existent pour créer de la valeur pour leurs actionnaires et par conséquent, le terme « création de valeur » n’est pas qu’un concept fumeux comme certains l’imaginent. Il y a d’innombrables mesures pro-actives qu’on peut prendre pour y parvenir, parmi lesquelles :

  1. améliorer la qualité et la rapidité des décisions prises
  2. tirer un avantage business des investissements en informatique
  3. améliorer sensiblement l’efficacité opérationnelle
  4. contrôler et améliorer la performance du personnel
  5. réduire les risques métiers, et bien plus encore……..

Quoi qu’il en soit, la réalité c’est que la plupart des DSIs passent l’essentiel de leur temps à essayer vainement de satisfaire les attentes des métiers et seraient bien inspirés de s’attaquer activement à certains points sur lesquels le Business est très impacté tels que

  1. des initiatives ratées de l’informatique et la perception d’une valeur délivrée très faible par rapport aux investissements consentis,
  2. une augmentation exponentielle des dépenses informatiques et une complexité totalement inutile de l’infrastructure,
  3. des problèmes récurrents de fourniture des services IT avec un nombre relativement important d’incidents et des changements fréquemment en échec,
  4. des résultats d’audit interne mettant en évidence des performances médiocres et des services de mauvaise qualité,
  5. une incapacité récurrente à satisfaire aux exigences réglementaires et / ou contractuelles.

Six étapes vers la création de valeur

1. Travailler pour assurer une disponibilité garantie

La première étape, la plus simple, consiste à assurer un temps de fonctionnement maximal de l’infrastructure informatique et à prévenir toute interruption des flux d’information. C’est ce qui permet aux métiers de travailler, au niveau opérationnel, et de créer de la valeur pour l’entreprise. Il faut bien réaliser que la différence entre 99,9% et 99,8% de disponibilité des systèmes critiques et des ressources réseau sur une année représente de 8 heures 45 minutes. C’est suffisant pour générer la perte de dizaines, voire de centaines de milliers d’Euros par le Business, en fonction de la nature de votre entreprise. C’est en gardant cela à l’esprit et en assurant une continuité absolue des services IT que vous apparaîtrez comme un bon fournisseur de services IT au Business.

Toutefois, tant que le département informatique sera considéré seulement comme un fournisseur de services, il demeurera un centre de coûts, une fonction de soutien pur qui rendra des comptes à tout le monde sauf au Comité de Direction et au Conseil d’Administration.

L’objectif du département informatique doit être faire évoluer son rôle de la simple fourniture de services de soutien pour les métiers vers celui de facilitation pour les métiers, puis d’innovation stratégique guidant la transformation du Business grâce à l’acquisition d’un bon niveau d’aptitude pour chacun des « facilitateurs » (« enablers »)  de la création de valeur pour l’Entreprise. Le tableau ci-dessous, bien que non exhaustif, résume les caractéristiques de chacun de ces statuts :

rôle de l'IT dans la création de valeur

2. Améliorer la réactivité de l’IT pour faire face aux demandes du Business

Une fois que le premier objectif est atteint, la seconde étape vers la création de valeur, du point de vue de la production informatique est de bâtir « la réactivité». Quel est notre niveau de réactivité pour satisfaire tous les besoins Business, que ce soit au travers de la Gestion de la demande ou des opérations quotidiennes? Pour commencer son chemin sur la voie de l’amélioration de la réactivité, le département informatique doit se concentrer sur sa transformation organisationnelle vers une structure horizontale permettant l’accélération de la prise de décision, c’est à dire passer d’une organisation centralisée à une organisation fédérale basée sur l’octroi de privilèges d’accès suffisants pour tous les niveaux afin de mieux répartir les responsabilités et de fonctionner plus efficacement. Le côté négatif c’est que ce type de structure est principalement axé sur le «contrôle» plutôt que sur «l’efficacité».

Améliorer la réactivité, c’est d’abord répondre efficacement aux problèmes concernant les stations de travail, les applicatifs, les imprimantes et tous les autres incidents auxquels fait face quotidiennement l’utilisateur final et qui freinent la productivité de l’entreprise. Améliorer globalement les niveaux de service grâce à la mise en oeuvre d’OLAs (Accords de Niveau Opérationnel), de SLAs (Accord sur les Niveaux de Service) ainsi que d’indicateurs clés de performance (KPIs) pour l’équipe IT doit être notre principal objectif.

3. Se focaliser sur la création de valeur grâce aux projets

Le passage du statut de gestionnaire des opérations informatiques à celui de réalisateur d’initiatives innovantes se mesure à la façon dont les projets du département IT réussissent et permettent aux métiers de l’Entreprise d’atteindre leurs objectifs, contribuant, de ce fait, à créer de la valeur. L’échec des initiatives informatiques peut être dû à une mauvaise définition des besoins, au non respect des délais correspondant au «time to market», à des critères mal définis de validation de la solution livrée par les utilisateurs et à bien d’autres raisons encore. Le but ici est de décrire ce que nous réalisons avec nos investissements informatiques et un bon point de départ serait d’avoir un processus permettant de mieux sélectionner les projets s’appuyant sur la mise en place d’un Comité Stratégique incluant à la fois le Business et le management informatique et capable d’examiner les avantages et les inconvénients de chaque initiative en prenant en compte le calcul du ROI et du TCO notamment.

Tous le monde s’accorde sur la nécessité pour l’informatique de changer son approche en évitant de se focaliser sur la technique et les coûts pour mettre en avant la valeur créée par ses initiatives.

Pour parvenir à cela, il existe des techniques de gestion de budget informatique parmi lesquelles :

  • le benchmarking des dépenses informatiques avec des entreprises similaires, du même secteur d’activité, afin d’en tirer une évaluation raisonnable de ce que devraient être le revenu brut et les charges d’exploitation de l’informatique
  • la décomposition le budget en trois parts : support, croissance et transformation.

4. Etre prudent vis à vis des nouveautés technologiques

En l’absence de véritable innovation, le département informatique peut créer de la valeur en réalisant une analyse complète des tendances technologiques actuelles, des possibilités offertes pour résoudre des problèmes Business ou pour améliorer les processus et participer à l’adoption rapide de ces solutions pour faire que, grâce à la technologie, les métiers acquièrent un avantage concurrentiel sur leur marché. Dans cet objectif, il est vital que les DSIs restent en phase avec les innovations technologiques au travers de la lecture de publications et de bulletins importants, qu’ils assistent régulièrement à des conférences / séminaires et rencontrent d’autres dirigeants d’Entreprises.

Une maxime Anglaise qui s’applique parfaitement à l’évolution rapide de la technologie dit que « l’oiseau qui arrive le premier attrape le ver, mais la souris qui arrive juste après mangera le fromage ». Ceci se vérifie complètement dans le cas de l’adoption précoce d’une nouvelle technologie qui va se traduire par un risque relativement élevé et c’est la raison pour laquelle certains préfèrent choisir d’attendre et de voir.

Mettre en avant la création de valeur, en vue de résoudre des problèmatiques métiers, nécessite une compréhension en profondeur des processus business et du flux d’information associé. Afin d’atteindre cet objectif, le management informatique et les membres de leurs équipes vont devoir entreprendre leur «retour sur terre » et aller « sur le terrain » pour comprendre les véritables défis business auxquels les employés et les clients de l’Entreprise font face. Cet exercice aidera le personnel informatique à obtenir, non seulement une pause bienvenue de son travail quotidien, mais aussi l’aidera à réaliser l’importance vitale de sa contribution au Business.

Certains dirigeants considèrent que c’est le fait d’exhiber un classeur rempli de politiques et procédures qui constitue « une bonne gouvernance » et « crée de la valeur », mais dans la réalité, cela ne fera, au mieux, que soutenir ce qui existe déjà.

5. Gérer la performance du département informatique

La gestion de la performance est un composant clé de la gouvernance. C’est une exigence de vérification dans la plupart des organisations où il faut effectuer régulièrement des auto-évaluations et des rapports de performance basés sur des KPIs. Toutes les activités liées à la performance doivent être rapportées et revues sur une base annuelle. La transparence est clé pour une bonne gouvernance.

6. Rester à l’écoute des métiers. Ce n’est jamais l’informatique qui décide

Dernier point mais non le moindre, être à l’écoute du Business et / ou du feedback des clients et agir en conséquence, c’est cela qui crée réellement de la valeur. Nous avons trop tendance à penser que c’est notre point de vue qui est juste. C’est ce que Microsoft a fait avec Windows 8, puis « foiré » encore davantage avec Windows 8.1, avant de corriger le tir (ou presque) avec Windows 10.

En quoi consistent les « facilitateurs » de la création de valeur?

Les facilitateurs sont des facteurs qui, individuellement ou collectivement, influencent la réussite d’une activité, dans le cas présent, la gouvernance et le management du SI de l’entreprise, en vue de créer de valeur. Les facilitateurs sont influencés par la cascade d’objectifs, c’est à dire que des objectifs de plus haut niveau liés au SI définissent ce que les différents facilitateurs devraient permettre d’atteindre.

facilittaeurs de la création de valeur

Le schéma ci-dessus, extrait du référentiel COBIT® 5 montre qu’il y a sept facilitateurs à implémenter et à améliorer en permanence pour créer de la valeur pour l’Entreprise :

  • Les principes, les politiques et les systèmes de management représentent le mécanisme, sous forme de chaîne, permettant de traduire les exigences des actionnaires en orientations pratiques pour la gestion quotidienne.
  • Les processus décrivent un ensemble organisé de pratiques et d’activités requises pour atteindre des objectifs et pour produire un ensemble de résultats permettant la réalisation des objectifs globaux. Les processus constituent la mise en oeuvre pratique des politiques.
  • Les structures organisationnelles sont les principales entités de décision dans l’entreprise. Ce sont elles qui décident d’implémenter les processus.
  • La culture, l’éthique et le comportement des individus et de l’entreprise sont très souvent sous-estimés en tant que facteurs de réussite dans les activités de gouvernance et de gestion. Ce sont les personnes qui composent les structures organisationnelles et qui implémentent et exécutent les processus.
  • L’information est omniprésente dans toute organisation. Elle comprend toute l’information produite et utilisée par l’entreprise. L’information est nécessaire pour prendre les décisions stratégiques et maintenir l’organisation fonctionnelle et bien gouvernée, mais au niveau opérationnel, elle est souvent le produit phare de l’entreprise elle-même.
  • Les services, l’infrastructure et les applications comprennent l’infrastructure, la technologie et les applications qui fournissent à l’entreprise les traitements et les services en matière de technologies de l’information. Il s’agit bien sûr de l’informatique et des télécommunications qui stockent, traitent et communiquent les informations.
  • Le personnel, les aptitudes et les compétences sont liés aux individus et sont nécessaires pour la réussite de toutes les activités ainsi que pour la prise de décisions éclairées et de mesures correctives. Il est vital, pour pouvoir créer de la valeur, de disposer du nombre approprié de ressources humaines possédant des aptitudes de savoir-être et de savoir-faire correspondant à ce qui est décrit dans les 6 autres facilitateurs.

Y a-t-il des référentiels sur ce sujet?

COBIT® 5, le référentiel de Gouvernance et de Management du SI, publié par l’ISACA en 2012 définit la création de valeur comme étant l’objectif de la Gouvernance et décrit les mécanismes à mettre en oeuvre pour y arriver.

Si vous souhaitez aller plus loin, AB Consulting, seul Organisme de Formation officiellement accrédité par ISACA et APMG en Afrique de l’Ouest et seul habilité à délivrer les formations correspondantes et à organiser les examens de certification, vous propose les formations suivantes :

COBIT® Foundation sur 3 jours

COBIT® 5 Implementation sur 3 jours

COBIT® 5 Assessor sur 3 jours

sans oublier nos « bootcamps » :

COBIT® 5 Implémentation Boot Camp (Foundation + Implementation) sur 5 jours

COBIT® 5 Assessor Boot Camp (Foundation + Assessor) sur 5 jours

Pour plus d’information ou pour vous abonner à notre Newsletter, merci de compléter le formulaire de contact :

 

 

Cyber-résilience: un tournant stratégique

Les approches traditionnelles de gestion de la sécurité de l’information se concentrent généralement sur l’aptitude d’une organisation à prévenir et détecter les cyber-attaques sur son information et ses actifs. Mais le mythe largement répandu de la cybersécurité comme parade infaillible contre les cyber-risques grâce à une série de contrôles techniques est maintenant très largement battu en brèche. La nature et la fréquence des cyber-attaques ont énormément évolué ces dernières années au point qu’une cyber-attaque réussie sur votre système d’information est désormais considérée comme inévitable.

cyber-résilience

L’accent nouvellement mis sur la cyber-résilience reflète cette évolution en déplaçant les efforts sur comment les organisations peuvent résister, réagir et surtout récupérer d’une cyber-attaque réussie. Mais une-certification du personnel sur la cyber-résilience peut-elle vraiment avoir un impact significatif sur une organisation?

Pourquoi une certification en cyber-résilience?

Un niveau de cyber-résilience trop faible est maintenant un risque considéré comme critique au niveau du Conseil d’Administration et de la direction des Entreprises, ainsi que par la sécurité, mais aussi par les équipes informatiques et de la gestion des risques. Le top management est conscient de la pénurie de spécialistes dans le domaine de la sécurité et recherche des praticiens experts compétents comprenant les vulnérabilités, les menaces et les risques, en mesure d’expliquer les impacts potentiels sur l’entreprise.

Les qualifications traditionnelles en cybersécurité se focalisent principalement sur l’identification et la prévention des attaques. En revanche, RESILIA, le référentiel de bonnes pratiques de cyber-résilience publié récemment par AXELOS, se présente sous la forme d’un portefeuille complet de publications, d’un cursus de formations et d’outils de sensibilisation visant à renforcer la cyber-résilience des Organisations en commençant par le Conseil d’Administration et en descendant sur tous les niveaux de management et opérationnels de l’Entreprise. Le guide des meilleurs pratiques de Cyber résilience (Cyber Resilience Best Practices – TSO Ed.) complète et supporte les certifications Foundation et Practitioner, la sensibilisation à l’échelle de l’organisation toute entière, et un outil aidant à définir une feuille de route en cyber-résilience permettant d’adresser et de proposer des plans d’action et/ou d’amélioration appropriés.

RESILIA n’est pas une norme et ne permet donc pas de certifier les Organisations. A l’image des autres référentiels de bonnes pratiques, RESILIA permet de qualifier et de certifier uniquement les personnes grâce à des examens qui testent leurs connaissances et leur permettent de développer des compétences pratiques en cyber-résilience basées sur un langage commun, avec le potentiel de faciliter le changement comportemental au sein des organisations. RESILIA a été développé par AXELOS® pour être un complément à ITIL et en adopte la structure. Organisé sur la base des 5 phases du cycle de vie (Stratégie, conception, transition, exploitation et amélioration continue) ainsi que des 25 processus et des 4 fonctions d’ITIL 2011, RESILIA permet aux personnes déjà certifiées sur ITIL d’intégrer les aspects de la cyber-résilience à leurs compétences déjà acquises.

Le cursus officiel de certification comporte deux niveaux: Foundation et Practitioner. Ces formations ainsi que les examens de certifications sont proposés en exclusivité par des organismes de de formation accrédités par AXELOS®. Foundation est un niveau idéal pour des acteurs au sein de départements tels que les ressources humaines, le département commercial, la finance, les achats et la formation, ainsi que la sécurité, la technologie et la gestion de services informatiques, qui ont tous un rôle à jouer pour assurer la résilience. Le niveau praticien (Practitioner) complète le niveau Foundation, qui en constitue le prérequis, et cible principalement les spécialistes de la sécurité.

La formation à la certification RESILIA se concentre sur la recherche d’un équilibre efficace entre les personnes, les processus et la technologie et contribue à construire une collaboration performante entre la sécurité, la technologie et la gestion de services IT. Les cursus ont été conçus pour compléter les cycles de formation existant en matière de sécurité technique.

Les formations et certifications RESILIA sont profitables à la fois pour les personnes et les organisations. Les individus seront en mesure de démontrer leur expertise en la matière grâce à la certification, à se différencier dans la zone à croissance rapide de la sécurité de l’information et de la résilience, où les compétences sont rares, les salaires élevés et où la certification constitue à une prime à l’emploi. En s’appuyant sur RESILIA, les parties prenantes de l’Organisation bénéficieront d’une collaboration accrue avec leurs collègues dans les différents silos fonctionnels alors même que les systèmes de gestion de cyber-résilience s’intègreront efficacement dans toute l’organisation toute entière.

Les organisations peuvent en tirer avantage pour inclure:

  • une meilleure compétence organisationnelle dans le traitement de la cyber-résilience grâce à des spécialistes bien formés
  • une protection contre les menaces en assurant des contrôles bien compris et supportés
  • l’intégration et l’efficacité de leurs processus critiques intégrés, tels que la gestion des incidents, couvrant les cyber-risques.

Vers une compréhension commune de la gestion des risques

La formation de quelques personnes sur la cyber-résilience n’aura que peu d’effets pour protéger les organisations de cyber-menaces. De plus en plus, les menaces ciblent la plus grande vulnérabilité de toute organisation – son personnel. Une étude récente d’IBM a mis en évidence que 95% des cyber-attaques réussissent à cause des actions involontaires d’un membre du personnel. Nous avons déjà abordé ce thème dans nos récents articles Pare-feu humain : votre meilleure protection et Cyber-sécurité – Ingénierie sociale : un risque majeur.

Les personnes doivent toujours se situer au cœur de toute stratégie efficace de cyber-résilience. La sensibilisation de «tout le personnel» doit jouer un rôle fondamental dans la réduction des risques, favorisant son engagement fort, son adaptabilité aux évènements de sécurité ainsi qu’en permettant de mesurer son efficacité. Le contexte des cyber-risques est en mutation permanente. Il est donc essentiel de planifier la formation continue et la participation de l’ensemble du personnel de l’organisation à la cyber-résilience à ces programmes et de ne pas se limiter à une seule session de sensibilisation lors de l’embauche des personnels…

Une stratégie de cyber-résilience performante devrait donc incorporer les contrôles au niveau de la technique, des processus et du personnel. S’assurer que les employés sont bien formés pour reconnaître un cyber-risque, et capables de réagir en conséquence en temps opportun est essentiel. Une focalisation globale doit se faire sur l’alignement des priorités stratégiques de l’Entreprise, des outils de gestion, des services, des systèmes d’exploitation des architectures avec des programmes de formation continue et l’implication des personnels à travers toute l’organisation.

Il est essentiel d’amener les gens, les processus et la technologie à travailler de concert pour protéger, détecter et répondre aux cyber-menaces et aux attaques. Le cadre RESILIA des meilleures pratiques pour la cyber-résilience, en conjonction avec les systèmes de gestion des services existants tels que ITIL et les cadres de gestion de projets et de programmes qui incluent PRINCE2, permet aux organisations de créer une approche proactive, équilibrée et collaborative visant à l’identification et la gestion des cyber-risques tout en leur donnant la capacité de détecter et récupérer des cyber-attaques plus rapidement, en minimisant les dommages financiers ou de réputation qui pourraient en découler.

Pour plus d’information ou pour vous abonner à notre newsletter, merci de remplir le formulaire de contact:

Jugez-vous votre organisation IT efficace?

Votre organisation IT est-elle efficace? Comment pouvez-vous évaluer son efficacité? Vos clients Business ont-ils la même perception que vous?

organisation IT efficace

 

L’évaluation de l’efficacité, tout comme celle de la qualité, peut être très subjective. Dans de nombreux cas, l’efficacité est évaluée par rapport au denier service que vous avez mis en production ou au travers d’un projet que votre organisation livré. En outre, on accordera beaucoup plus de poids à des résultats décevants qu’à des résultats positifs. C’est naturel n’est-ce pas ? Dans un monde idéal, vos services informatiques devraient fonctionner de façon optimale. Nous avons donc besoin de définir des caractéristiques objectives de l’efficacité des organisations informatiques avant de pouvoir travailler à les améliorer.

Commençons par définir la mission de l’informatique « fournir la capacité de traitement de l’information requise par le business à un coût qui représente une valeur« . Beaucoup d’entre vous sont en train de lire cette définition en se disant qu’elle est très floue. En effet, les besoins de l’entreprise évoluent en permanence et il en va de même de la perception de la valeur. L’efficacité ne peut être évaluée que par rapport aux attentes attentes actuelles, aux objectifs de niveau de service définis et aux ressources disponibles. Pour cette raison, l’une des caractéristiques les plus importantes d’une organisation informatique efficace est sa capacité à répondre rapidement à l’évolution des besoins du business.

Pour être considérées comme efficaces, les organisations IT devront satisfaire les contraintes suivantes :

Flexibilité

L’IT fournit des services à la demande (résolution de problème et assistance) ainsi que des services planifiés (amélioration et projets). Les problèmes à priorité élevée, les demandes toujours urgentes, et l’évolution des besoins de l’entreprise vont perturber les dates cibles d’achèvement, le périmètre planifié et l’effort estimé. Les organisations efficaces doivent trouver un juste équilibre entre la variabilité des demandes, l’évolution permanente des priorités, et les changements dans les besoins. Afin d’obtenir cette flexibilité, les entreprises doivent gérer les demandes, les horaires, les priorités, le périmètre / les exigences, la mise à disposition et les compétences du personnel afin d’optimiser les résultats et de minimiser les impacts.

Adaptabilité

Les organisations informatiques doivent répondre aux évolutions nécessaires dans les types de services fournis, elles doivent intégrer et soutenir les nouvelles technologies, et elles doivent adapter aux changements organisationnels de l’entreprise et de l’informatique. Afin de s’adapter, l’informatique doit redéfinir ses rôles, transformer ses processus de planification et de livraison, et investir fortement dans la formation (notamment les bonnes pratiques telles que ITIL, COBIT ou encore Lean IT).

Prévisibilité

Des résultats reproductibles ne peuvent être atteints que par l’exécution de processus normalisés et par un engagement vis à vis de la qualité qui évite l’héroïsme et les solutions sur mesure.

Efficience

Chacune de ces caractéristiques est en conflit avec les autres. Une approche équilibrée est donc nécessaire. L’efficacité est généralement sacrifiée pour améliorer la flexibilité. L’efficacité peut être améliorée grâce à la documentation des connaissances, à la formation croisée, à l’utilisation des processus standardisés, d’outils de gestion, et en limitant la variété des environnements techniques.

Fiabilité

La fiabilité fait référence aux applications, à l’infrastructure et aux personnes qui délivrent les services. Les moyens de traitement (infrastructures, réseaux, applications) doivent être fiables, mais le personnel doit aussi faire preuve de fiabilité dans la livraison de services IT. Cela impose donc de définir des critères d’acceptation, d’effectuer des revues de qualité, des tests, et de nombreuses autres activités qui assureront la cohérence de la fourniture de services et des moyens de traitement mis en oeuvre.

Innovation

Le business ne comprend pas les limites de la capacité et de la technologie disponibles. L’IT est dans la position idéale pour recommander des stratégies au business plutôt que d’attendre que ce soit l’entreprise qui définisse elle-même ses stratégies. Sur un plan plus tactique, l’IT devrait être à la recherche de solutions visant à réduire les problèmes et améliorer les processus de telle sorte qu’ils s’alignent avec les autres caractéristiques.

Pro-activité

L’informatique doit être capable d’anticiper les besoins ou les incidents et de prendre des mesures pour se préparer à des pointes d’activité ou pour éviter les problèmes. Grâce à la compréhension des besoins business et des capacités existantes, et en effectuant le suivi des changements, l’IT peut anticiper et manager de façon pro-active. Cela nécessitera des processus reproductibles, des métriques et des mesures, et aussi une communication renforcée avec le business.

Alors, quelle stratégie adopter pour une IT efficace?

équipe IT efficace

Ces contraintes peuvent parfois se contredire entre elles et entraîner du gaspillage. La rigueur nécessaire du processus qui nous rend prévisible peut aussi entraver notre efficacité. Afin d’équilibrer les contraintes, l’IT doit affiner son rôle et sa culture. En plus d’exploiter et de soutenir la capacité de traitement existante, l’IT doit reconnaître que les besoins de l’entreprise évoluent en permanence et qu’une organisation efficace doit être en mesure de répondre à ces changements. Afin d’offrir de la valeur, les organisations informatiques doivent assurer les caractéristiques d’efficacité qui ont été décrites plus haut. Cela nécessitera de gérer l’organisation informatique comme une entité business indépendante qui est responsable de ses coûts et de ses revenus, et elle devra faire la preuve de sa valeur à ses clients sur une base quotidienne.

Le succès ne se mesure pas sur le respect ou le dépassement des attentes. Les attentes peuvent être impossible à satisfaire (compte tenu notamment des ressources disponibles) ou déraisonnables. Le succès se mesure par la gestion des attentes, la prise d’engagements et l’atteinte ou le dépassement des engagements. L’IT doit faire montre de leadership et pas simplement attendre que le business décide du parti qu’il peut tirer de la technologie. Lorsque l’IT démontre sa valeur, elle peut de nouveau être considérée comme un investissement et non pas simplement comme un coût destiné à être réduit ou éliminé.

Pour plus d’informations ou pour vous abonner à notre newsletter, merci de remplir le formulaire de contact:

 

Catégories

Archives

Calendrier

décembre 2018
L M M J V S D
« Nov    
 12
3456789
10111213141516
17181920212223
24252627282930
31  
%d blogueurs aiment cette page :