Aligner la gouvernance des systèmes d’information sur la stratégie de l’entreprise

Une bonne gou­ver­nance est un gage pour une contri­bu­tion opti­male des sys­tèmes d’in­for­ma­tion (SI) aux per­for­mances glo­bales de l’en­tre­prise. Pour les uti­li­sa­teurs des sys­tèmes d’in­for­ma­tion et leurs repré­sen­tants les direc­tions des métiers de l’en­tre­prise, la gou­ver­nance des SI est ce qu’est la gou­ver­nance d’en­tre­prise pour les action­naires et le conseil d’ad­mi­nis­tra­tion d’une entre­prise : elle est un dis­po­si­tif de direc­tion et de contrôle des SI qui conci­lie au mieux l’ef­fi­ca­ci­té de la ges­tion d’une part et les inté­rêts, besoins et sécu­ri­té des uti­li­sa­teurs d’autre part.

Une synthèse de la gouvernance de SI actuelle

En 2005, le sujet était suf­fi­sam­ment d’ac­tua­li­té pour que l’As­so­cia­tion fran­çaise de l’au­dit et du conseil¹ et le Club infor­ma­tique des grandes entre­prises fran­çaises² publient un docu­ment jetant les bases d’une bonne gou­ver­nance de SI [1]. Depuis, prin­cipes d’or­ga­ni­sa­tion pour les uns, normes ou bonnes pra­tiques sou­te­nues par des outils logi­ciels ad hoc pour cer­tains ou dis­po­si­tifs rela­tion­nels pour d’autres, la gou­ver­nance a été mise en œuvre sous de nom­breuses variantes.

En pre­mier lieu, les effets de la gou­ver­nance sont visibles par l’or­ga­ni­gramme³ de son bras exé­cu­tif, la direc­tion des sys­tèmes d’in­for­ma­tion (DSI). Ain­si, une DSI d’une grande ville⁴ sera com­po­sée de deux sous-direc­tions : la sous-direc­tion du déve­lop­pe­ment et des pro­jets res­pon­sable du patri­moine appli­ca­tif et de la réa­li­sa­tion des pro­jets qui compte cinq « bureaux » : res­sources humaines, achat et finances, pro­jet de l’ha­bi­tant, pro­jets patri­mo­niaux et géo­gra­phiques, pro­jets de l’in­for­ma­tique com­mu­ni­cante et des nou­veaux médias et la sous-direc­tion de la pro­duc­tion et des réseaux, res­pon­sable pour sa part de l’é­qui­pe­ment des ser­vices, de l’in­gé­nie­rie des réseaux et de l’ex­ploi­ta­tion infor­ma­tique (figure 1).

Cette forme orga­ni­sa­tion­nelle est cou­ram­ment déci­dée par les direc­teurs infor­ma­tiques car elle reflète en effet un double impé­ra­tif : assu­rer une bonne écoute des direc­tions métiers afin de leur four­nir les pro­jets qui les aide­ront à rem­plir leur mis­sion, et prendre en compte le cycle de vie impo­sé par les tech­no­lo­gies de l’in­for­ma­tion afin d’op­ti­mi­ser l’emploi des res­sources opé­ra­tion­nelles informatique

En fai­sant col­ler au plus près son orga­ni­sa­tion avec celle de l’en­tre­prise, le direc­teur infor­ma­tique pré­pare la mise en œuvre des dis­po­si­tifs de pilo­tage avec les direc­tions métiers des dif­fé­rents pro­jets ins­crits au sché­ma direc­teur infor­ma­tique. Dans notre exemple⁵, il aura affaire avec la direc­tion des finances, la direc­tion du patri­moine et de l’ar­chi­tec­ture, la direc­tion des affaires sco­laires et la direc­tion de la voi­rie et des dépar­te­ments, et les pro­jets seront les appli­ca­tions d’é­la­bo­ra­tion et de pas­sa­tion des mar­chés publics, de ges­tion des opé­ra­tions d’in­ves­tis­se­ment, de recen­se­ment des besoins et des achats, des com­mandes et des stocks et de la ges­tion des inter­ven­tions de main­te­nance de la ville, les direc­tions métiers.

Rede­vable vis-à-vis de l’en­tre­prise des per­for­mances de sa direc­tion, le direc­teur infor­ma­tique déploie les bons pro­ces­sus, com­pé­tences et outils infor­ma­tiques dans l’en­semble de son orga­ni­sa­tion. Si une poli­tique de cer­ti­fi­ca­tion qua­li­té est pour­sui­vie par son entre­prise, il pour­ra recher­cher une cer­ti­fi­ca­tion ISO 9 000 pour sa propre direc­tion. Il peut éga­le­ment s’ins­pi­rer de recueils de pra­tiques de ges­tion infor­ma­tique publiés par dif­fé­rents orga­nismes et que l’on a vu appa­raître depuis quelques années sous l’ap­pel­la­tion de « best prac­tices ». Certes, le terme auto­pro­cla­mé « best prac­tices » peut faire sou­rire. Néan­moins cer­taines peuvent être le fruit d’une expé­rience cumu­lée depuis de longues années ou d’une recherche approfondie.

Publié par l’IT Gover­nance Ins­ti­tute, le Control Objec­tives for Infor­ma­tion and Rela­ted Tech­no­lo­gy (COBIT⁶) adresse les moyens pour assu­rer et contrô­ler l’a­li­gne­ment des sys­tèmes d’in­for­ma­tion sur la stra­té­gie et l’or­ga­ni­sa­tion de l’entreprise.

En matière de déve­lop­pe­ment logi­ciel, on peut citer le Capa­bi­li­ty Matu­ri­ty Model Inte­gra­tion (CMMI⁷) conçu au sein de la pres­ti­gieuse Car­ne­gie Mel­lon Uni­ver­si­ty ; l’ar­chi­tec­ture de sys­tèmes d’in­for­ma­tion sera trai­tée par The Open Group Archi­tec­ture Fra­me­work (TOGAF⁸) déve­lop­pé ini­tia­le­ment par le US Depart­ment of Defense (DoD) en 1995. Pour la pro­duc­tion infor­ma­tique, ce sera l’Infor­ma­tion Tech­no­lo­gy Infra­struc­ture Libra­ry (ITIL⁹) née dans l’ad­mi­nis­tra­tion anglaise dans les années 1990 ; pour gérer le cycle de vie des four­ni­tures externes, on pour­ra s’ap­puyer sur une pra­tique émer­gente, l’eSour­cing Capa­bi­li­ty Model for Client (eSCM-CL) déve­lop­pé éga­le­ment par Car­ne­gie Mel­lon Uni­ver­si­ty ; enfin pour la sécu­ri­té, on consul­te­ra la norme ISO 17 799. Par exemple, grâce à ITIL, les équipes de la sous-direc­tion de la pro­duc­tion et des réseaux dis­posent d’une base de modèles de pro­ces­sus éprou­vés, ges­tion des inci­dents, ges­tion des chan­ge­ments (infor­ma­tiques), ges­tion des mises en pro­duc­tion, ges­tion de la dis­po­ni­bi­li­té, ges­tion de la capa­ci­té, etc., qu’il leur appar­tien­dra d’a­dap­ter à leur contexte particulier

Ces pra­tiques sont loin d’être figées et pour­suivent un déve­lop­pe­ment ana­logue à un logi­ciel¹⁰. Cer­taines ont même débor­dé de leur domaine ini­tial pour enva­hir celui de leurs consœurs jus­qu’à pou­voir pré­tendre cou­vrir tous les domaines de mise en œuvre de gou­ver­nance de SI.

Dès lors, il a été néces­saire de réa­li­ser des rap­pro­che­ments pour orien­ter les entre­prises uti­li­sa­trices et pres­ta­taires [9]. Néan­moins, en consi­dé­rant les domaines his­to­riques res­pec­tifs des six pra­tiques, nous pou­vons ten­ter de les posi­tion­ner dans une chaîne de valeur unique¹¹ (figure 2).

Struc­tu­rée et munie de bonnes pra­tiques, la DSI est prête à assu­rer la confor­mi­té fonc­tion­nelle des appli­ca­tions aux besoins des direc­tions métiers ain­si que leur dis­po­ni­bi­li­té et leur sécurité.

Régimes transactionnels de gouvernance de SI

Si l’on en croit une étude du Cigref réa­li­sée avec McKin­sey en 2004 [2], le direc­teur infor­ma­tique (DI) et les direc­teurs métiers (DM) ont pris conscience de leur néces­saire com­plé­men­ta­ri­té qui per­met à l’en­tre­prise d’être plus pro­duc­tive, réac­tive ou inno­vante. Aus­si, une mesure de bonne gou­ver­nance est de pré­voir dif­fé­rents lieux de concer­ta­tion où le direc­teur infor­ma­tique pour­ra échan­ger avec les direc­teurs métiers sur des points essen­tiels du cycle de vie des sys­tèmes : comi­té de por­te­feuille de pro­jets et du patri­moine appli­ca­tif, comi­té sur la sécu­ri­té, comi­té sur la qua­li­té de ser­vice, comi­té technologique.

Or une bonne com­mu­ni­ca­tion n’emporte pas un bon par­tage des res­pon­sa­bi­li­tés, ce qui est une opé­ra­tion tout autre­ment déli­cate : la rela­tion DI/DM n’est pas un long fleuve tran­quille et « leur couple ne tient qu’à la pré­sence d’un cha­pe­ron de luxe : la direc­tion géné­rale qui, maniant carotte et bâton, sur­veille (…) la bonne avan­cée de cer­tains sys­tèmes d’in­for­ma­tion jugés stra­té­giques » [4]

Par exemple, si l’on se penche sur les spé­ci­fi­ca­tions d’une appli­ca­tion métier, on peut se poser deux ques­tions, l’une sur le moment de leur accep­ta­tion – avant ou après la déci­sion d’in­ves­tis­se­ment, et l’autre sur leur por­teur -, le direc­teur infor­ma­tique ou le direc­teur métier.

Notre expé­rience dans une branche par­ti­cu­lière des sys­tèmes d’in­for­ma­tion, les télé­coms d’en­tre­prise [6] [7], nous a ame­nés à iden­ti­fier plu­sieurs cas de figures qui depuis semblent se révé­ler éga­le­ment per­ti­nents pour l’en­semble du sys­tème d’information.

Lorsque l’en­tre­prise recherche une pro­duc­ti­vi­té accrue, les spé­ci­fi­ca­tions sont réa­li­sées avant la déci­sion d’in­ves­tis­se­ment et sont por­tées par le direc­teur infor­ma­tique, celui-ci livrant des ser­vices qui, par­ta­gés entre dif­fé­rentes direc­tions métiers, sont à même de géné­rer des effets d’é­chelle. Lorsque l’en­tre­prise sou­haite aug­men­ter sa réac­ti­vi­té face aux varia­tions de la demande, elles sont éga­le­ment réa­li­sées avant la déci­sion d’in­ves­tis­se­ment, mais sont por­tées par la direc­tion métier la plus direc­te­ment tou­chée par les varia­tions qui dès lors défi­nit un sys­tème lais­sant une large part à ses besoins spé­ci­fiques. Enfin, si l’on pour­suit des oppor­tu­ni­tés d’in­no­va­tion, les spé­ci­fi­ca­tions seront réa­li­sées pos­té­rieu­re­ment à la déci­sion d’in­ves­tis­se­ment et seront por­tées conjoin­te­ment par l’en­semble des par­ties afin d’as­su­rer une bonne mobi­li­sa­tion des connais­sances de part et d’autre.

Il reste à mettre en place des dis­po­si­tifs pour main­te­nir une soli­da­ri­té entre les dif­fé­rentes par­ties en dépit des res­pon­sa­bi­li­tés ain­si tran­chées. On pré­voi­ra ain­si des condi­tions d’u­ti­li­sa­tion des ser­vices par­ta­gés, on assu­re­ra un consen­sus sur la pré­vi­sion des besoins lors de l’in­gé­nie­rie d’un sys­tème spé­ci­fique et on s’en­ten­dra sur un par­tage de connais­sance dans le der­nier cas. Nous dési­gnons res­pec­ti­ve­ment ces dif­fé­rents dis­po­si­tifs par User Level Agree­ment (ULA), Traf­fic Level Agree­ment (TLA) et Know­ledge Level Agree­ment¹² (KLA).

Ain­si nous sommes ame­nés à éta­blir dif­fé­rents régimes tran­sac­tion­nels¹³ (Balan­ced Level Agree­ment¹²) :

• la sous­crip­tion de ser­vices par­ta­gés spé­ci­fiés par la DSI,
• la maî­trise d’ou­vrage d’un sys­tème pri­vé vir­tuel spé­ci­fiée par la direc­tion métier prioritaire,
• l’al­liance au sein d’une enti­té ad hoc où les enjeux et les risques sont par­ta­gés entre la DSI et le(s) direction(s) métier(s) que nous dési­gnons par Opé­ra­teur pri­vé vir­tuel (Vir­tual Pri­vate Ope­ra­tor¹²) de services.

Architecture et urbanisme transactionnel

Les Balan­ced Level Agree­ment remettent au centre de la gou­ver­nance l’es­sence de la rela­tion entre la DSI et les direc­tions métiers (voir tableau).

De nature contrac­tuelle, leur logique renou­velle les mises en œuvre de la gou­ver­nance. Jus­qu’à pré­sent, la rela­tion entre la DSI et une direc­tion métier por­teuse d’un pro­jet était actua­li­sée en fin de cycle lors de la phase d’é­la­bo­ra­tion du contrat de ser­vice qui inter­vient après la phase de spé­ci­fi­ca­tion-concep­tion du sys­tème d’information.

Les BLA per­mettent d’a­bor­der dès la phase de l’ar­chi­tec­ture d’en­tre­prise¹⁴ la pro­blé­ma­tique des moda­li­tés de coopé­ra­tion entre les dif­fé­rentes par­ties selon les dif­fé­rents pro­jets. Paral­lè­le­ment à l’ar­chi­tec­ture d’en­tre­prise et à l’ur­ba­nisme d’en­tre­prise, on éla­bore dans le champ rela­tion­nel une opé­ra­tion équi­va­lente, que l’on peut appe­ler archi­tec­ture et urba­nisme tran­sac­tion­nel, que nous dési­gnons par Balan­ced Level Sour­cing¹² (BLS) (figure 3).

Une gouvernance des systèmes d’information renouvelée

En éta­blis­sant un lien entre les objec­tifs stra­té­giques de l’en­tre­prise et les moda­li­tés de coopé­ra­tion entre les direc­tions métiers et la DSI, l’ar­chi­tec­ture et l’ur­ba­nisme tran­sac­tion­nel (Balan­ced Level Sour­cing) consti­tuent une nou­velle¹⁵ approche de gou­ver­nance de sys­tèmes d’in­for­ma­tion. Leur mise en scène dans des modèles d’or­ga­ni­sa­tion des sys­tèmes d’in­for­ma­tion pour les adap­ter à la nature des objec­tifs recher­chés (effets d’é­chelle, time to deli­ve­ry, inno­va­tion) peut aider à une meilleure col­la­bo­ra­tion et mobi­li­sa­tion des dif­fé­rentes direc­tions, et fina­le­ment, une meilleure per­for­mance éco­no­mique globale.

___________
1. www.afai.fr
2. www.cigref.fr. Le Cigref regroupe 120 des plus grandes entre­prises uti­li­sa­trices des tech­no­lo­gies de l’information.
3. Ain­si que par les titu­laires des prin­ci­paux postes.
4. Ville de Paris, source : Bul­le­tin muni­ci­pal offi­ciel de la Ville de Paris, 7 novembre 2006.
5. Source : Bul­le­tin muni­ci­pal offi­ciel de la Ville de Paris, 10 novembre 2006.
6. COBIT est une marque dépo­sée par l’IT Gover­nance Ins­ti­tute (ITGI).
7. CMMI est une marque dépo­sée par Car­ne­gie Mel­lon University.
8. TOGAF est une marque dépo­sée par The Open Group.
9. ITIL est une marque dépo­sée par l’Of­fice Govern­ment of Com­merce, UK (OGC). ITIL a don­né nais­sance à la norme BS 15 000 puis ISO 20 000.
10. Ain­si COBIT en est à la ver­sion 4.
11. On aura recon­nu la chaîne de valeur de M. Por­ter [10]. Néan­moins, la nôtre en dif­fère notam­ment par deux points : aux acti­vi­tés pri­maires et sup­port du modèle ini­tial, on a ajou­té en amont de la chaîne des acti­vi­tés au cœur de la gou­ver­nance ; les acti­vi­tés de sup­port deviennent des acti­vi­tés trans­verses autant géné­ra­trices de valeur que les acti­vi­tés pri­maires que sont le déve­lop­pe­ment appli­ca­tif et la four­ni­ture-pro­duc­tion de services.
12. Marque dépo­sée, éga­le­ment pro­té­gée par les droits d’auteur.
13. Dans un article pré­cé­dent por­tant sur la stra­té­gie de sour­cing externe [8], nous avons uti­li­sé le terme « régime contractuel ».
14. L’ar­chi­tec­ture d’en­tre­prise a pour objet la pro­jec­tion des dif­fé­rentes res­sources qui com­posent le corps de l’en­tre­prise sur un modèle de pro­ces­sus (pro­cess model). L’ur­ba­nisme a pour objet de pré­pa­rer la dis­po­ni­bi­li­té des dif­fé­rentes com­po­santes du SI (modules appli­ca­tifs, ser­veurs, réseaux…) qui consti­tue­ront les dif­fé­rents sys­tèmes sou­te­nant ce modèle de pro­ces­sus. Un ali­gne­ment des SI avec les affaires de l’en­tre­prise se concré­tise en un ali­gne­ment de l’ur­ba­nisme de SI avec l’ar­chi­tec­ture d’en­tre­prise [5].
15. On voit appa­raître depuis peu une approche com­plé­men­taire qui s’at­tache à dif­fé­ren­cier les rôles tenus par les direc­teurs infor­ma­tiques au-delà de la typo­lo­gie clas­sique « direc­teur infor­ma­tique », « direc­teur des sys­tèmes d’in­for­ma­tion », « Chief Infor­ma­tion Offi­cer » [3].

---

Articles similaires :

Poly­tech­ni­ciens et rues de Paris La maî­trise sta­tis­tique des processus Déter­mi­nisme, hasard, chaos, liberté. Le méri­dien de Jérusalem Géné­ral Louis Decharme (1900)