Application de l’ISO/IEC 20000 : Cohérence, bon sens et décence
Une
organisation doit-elle réellement atteindre une grande maturité lors de
l’application d’un référentiel ou d’une norme ? CMMI, ITIL ou la toute
récente ISO/IEC 20000 se posent comme des gages de garantie et de qualité
pour une entreprise. Mais leur application a des impacts organisationnels,
financiers et humains à prendre en compte.
Une
nouvelle ère a débuté en septembre 1987 lorsque le Software Engineering
Institute (SEI) a introduit le modèle de maturité, Process Maturity
Framework. L’objectif de ce modèle est d’améliorer le développement et la
maintenance des logiciels. La première organisation intéressée était le
département américain de la défense (DOD), espérant trouver une méthode
permettant d’évaluer la capacité de leurs fournisseurs, développeurs de
logiciels. Le modèle était fourni avec un questionnaire de maturité pour
identifier les zones d’amélioration. Il classait les projets et les
organisations, le plus haut niveau indiquant moins d’anomalies logicielles,
des processus de développement répétables et une meilleure gestion de
projet. Partir d’un modèle est plutôt intellectuel, mais c’est une bonne
façon de définir une approche.
Un plan en cinq points
Depuis leur introduction il y a vingt ans, modèles de maturité et
questionnaires d’évaluation ont envahi l’entreprise. Le modèle à cinq
niveaux fournit un mécanisme normé de mesure et de comparaison pour toute
organisation ou activité. Il se caractérise par sa simplicité et fait appel
au bon sens – cinq niveaux pour atteindre le Nirvana. Un modèle mature
représente la meilleure réponse possible à tout événement, demande ou
incident, et montre la voie d’une gestion proactive et préventive. C’est une
véritable gestion des services, un processus optimisé pour fournir une
amélioration permanente au système. Cinq étapes pour rentrer dans le paradis
d’une informatique bien gérée. Sept est trop complexe, cinq c’est bien
assez !
La défense du trois !
L’approche du modèle de maturité est parfaite pour promouvoir tout programme
d’amélioration à grande échelle, que cela soit en interne ou en externe. Les
différents niveaux fournissent des objectifs intermédiaires avec des
résultats et des bénéfices visibles, ce qui le rend particulièrement
attractif à la fois pour le management et les équipes terrain. Atteindre un
certain niveau de maturité peut ainsi être facilement vendu aux clients ou à
toute autre personne concernée. Inutile d’avancer à un rythme effréné !
Prenez le temps, et décidez même de vous arrêter au niveau trois ou quatre.
Si cela n’apporte pas de véritable avantage concurrentiel à l’entreprise,
pourquoi essayer d’atteindre le niveau cinq ? Cette approche avec CMMI est
celle utilisée dans le développement et la maintenance des logiciels. Le
lien entre le plus haut niveau de maturité et la véritable performance de
l’entreprise peut parfois apparaître mystérieux, ou tout au moins pas
immédiatement apparent. Mais le modèle est très clair et les entreprises
peuvent s’étalonner à cette échelle. Nul n’a besoin d’être parfait, ou
d’être accepté dans la communauté des élus. Mais être vu comme une
organisation vraiment professionnelle implique d’atteindre au moins le
niveau trois. La pression pour l’obtenir s’accroît car cette évaluation
représente une “lettre de référence” de plus en plus demandée pour concourir
dans les appels d’offre.
Pas tous égaux
ITSM
a choisi une approche différente, globale. Les organisations qui appliquent
les meilleures pratiques ITIL et qui démontrent une conformité complète
peuvent se vanter d’une certification BS15000. Cette norme, publiée en 2000,
promeut une solution intégrée pour la gestion des services, basée sur des
processus. La norme comprend deux parties. La première est une liste
d’éléments obligatoires que toute organisation doit respecter, sorte de kit
de survie dans le monde du service IT. Un des problèmes vient du fait que,
si leur environnement n’est pas hostile ou si leurs priorités business sont
différentes, certaines entreprises fonctionnent très bien sans la panoplie
complète. Le seul point important est l’évaluation du processus de décision
qui conduit à cette cible. La seconde partie est un code de pratique
comprenant les éléments à adresser pour obtenir la certification. C’est un
ensemble d’orientations et de recommandations. De par sa conception, cette
norme ne reconnaît que le blanc et le noir, nullement les dégradés de gris.
Dans le système de certification de la BS15000, maintenant ISO/IEC 20000,
vous êtes soit dedans soit dehors. Pourquoi ?
Cette approche contredit l’esprit même d’ITIL. Le marché reconnaît les
meilleures pratiques de gestion des services parce qu’elles sont basées sur
le bon sens. Elles sont issues du terrain et non d’un modèle sur tableau
noir. Les expériences, bonnes ou mauvaises, nous enseignent toutes la même
chose : c’est bon d’avoir une vision et de la partager avant de prendre les
décisions, mais c’est encore mieux d’avoir des objectifs intermédiaires.
Limiter la certification aux entreprises ayant déployé complètement ITIL est
préjudiciable au concept d’adoption des meilleures pratiques. Ne pas
accepter les entreprises qui sont désireuses d’implémenter une bonne gestion
de services mais sont encore à quelques longueurs d’une certification est
plus un vote élitiste qu’une progression vers une informatique mieux gérée.
Ne créez pas un modèle pour quelques uns – donnez à chaque entreprise sur la
voie de l’ITSM la chance d’être classée.
Une vision applicable
L’objectif est que les deux piliers de notre maison informatique, les
opérations et les études, utilisant des modèles similaires de maturité,
incorporent de multiples niveaux pour de multiples besoins. Vous pourriez
choisir le bon niveau à viser, par exemple CMMI 3 et ITSM 4. Les deux
référentiels de maturité reposant sur des processus fourniraient à
l’organisation un guide efficace dans l’établissement de programmes
d’amélioration. Des questionnaires de maturité compatibles donneraient une
évaluation sur ces deux domaines – nous pourrions même avoir un
questionnaire commun.
Cela
construirait un cadre harmonisé de contrôle de l’informatique, aidant le
management à obtenir une meilleure contribution de l’informatique aux
objectifs métiers. Bien sûr, ce cadre contient d’autres référentiels (par
exemple, ISO17799), ou méthodes (PMI ou Prince2 pour la gestion de projet).
Enfin et surtout, n’oublions pas que l’informatique doit être aussi conçue
pour les informaticiens. Elle doit être un centre de progrès et
d’innovation, ainsi qu’un lieu d’intégration de meilleures pratiques et de
méthodes. Et il y a un besoin de renforcer la cohérence et l’alignement dans
cette boîte à meilleures pratiques. Le cœur de toute grande ressource
informatique, ce ne sont pas ses technologies et ses méthodes, mais ses
hommes – le facteur humain. Nous avons à définir les postes créés ou
modifiés par les référentiels et à clarifier les rôles et responsabilités.
L’impact sur le personnel est parfois dramatique et le mouvement vers un
changement culturel est souvent vu comme la partie la plus difficile d’un
projet ou programme. Regardons les choses en face et commençons à développer
un référentiel de ressources humaines informatiques, couvrant tout au autant
les métiers que l’informatique de l’entreprise.
Ceux
qui font la promotion d’ITIL doivent comprendre que dans certaines
entreprises, une implémentation complète d’ITIL n’est pas souhaitable. Une
solution qui apporte valeur, véritable conformité et mise en œuvre adaptée,
est nécessaire pour ces organisations qui trouvent qu’une cible au niveau
cinq c’est deux étapes trop loin.
Note
pour la version française parue dans Information & Systèmes en octobre 2006.
Une version anglaise de cet article a paru dans ITP Europe Report en
novembre 2005. C’est justement pour éviter le « noir et blanc » et pour
conserver le fondement du principe de la bonne pratique que l’itSMF France
s’est engagé auprès de l’AFNOR. Thierry CHAMFRAULT y a pris la présidence de
la commission de normalisation ISO/IEC 20000. L’objectif est bien
d’augmenter le niveau d’applicabilité de la norme et ainsi de mettre les
acteurs opérationnels dans une démarche conforme à ce quelle prétend être.
*
Président de l’ISTASE (Ecole d’ingénieurs de l’Université Jean Monnet de
Saint-Etienne) – Vice-Président du Club Mines Informatique
NDLR :
L’article nous a été
communiqué par l’auteur à Tunis à l’occasion de sa participation aux
conférences sur l’ITIL, le COBIT et le CMMI, organisé par
AB Consulting du 29 au 1er décembre 2006.