Magazine N°628 Octobre 2007 - Entreprise et management

Tru DÔ KHAC (79)

consultant indépendant

Cinq régimes de gouvernance pour une meilleure organisation informatique

Les meilleurs prestataires en services d'information recourent systématiquement aux processus éprouvés de gestion et répertoriés dans des référentiels publiés ; pour les utilisateurs, leur déploiement est commandé par le régime de gouvernance de système d'information.

Pour moderniser une gestion de système d'information (SI), il faut s'appuyer sur des méthodologies, des processus et des procédures éprouvés, désignés dans la profession par best practices et regroupés en référentiels. Lors des années Thatcher, l'administration anglaise l'avait bien compris en créant le référentiel ITIL1 et en imposant son utilisation à l'ensemble de ses sous-traitants.

Les best practices ITIL et eSCM

Pour les prestataires, les best practices associées à des dispositifs de certification constituent tout d'abord un outil de promotion ; ainsi, fin 2006, plus de 3 000 professionnels français peuvent mettre en avant leur certification ITIL. Ensuite, certains prestataires y ont vu une source d'avantage compétitif ; c'est le cas de la SSII indienne Satyam Computer Services qui, désireuse d'abaisser les réticences des clients occidentaux pour l'offshore, s'est associée à la prestigieuse université Carnegie Mellon pour créer un référentiel sur la sous-traitance informatique, l'e-Sourcing Capability Model (eSCM2). L'association a bientôt été rejointe par Accenture, IBM, EDS, HP entre autres, faisant faire ainsi à l'eSCM un pas significatif vers la position recherchée de certification incontournable3. Dès lors, c'est peut-être dans une perspective plus large, celle de la compétition au mind share, qu'il faudrait analyser la publication d'ITIL V3 en mai dernier.

Même si la conversion de la précédente version ITIL V2 en une norme anglaise (BS 15 000) puis internationale (ISO 20 000) consacrait son statut de standard de fait et faisait faire à ITIL un pas dans la direction de certification des organisations4, l'Office Government of Commerce propriétaire d'ITIL se devait de réagir.

C'est tout d'abord la création en 2006 d'un « Chapitre » de l'itSMF5 en Inde.

Puis c'est la rénovation de la substance d'ITIL avec le lancement mondial d'ITIL V3 en mai dernier [1]. Instrument de modernisation des systèmes informatiques des années quatre-vingt-dix, l'organisation d'ITIL V2 renvoie encore aux différentes fonctions d'une direction informatique centrale et porte la marque de la gouvernance des systèmes centralisés (mainframe). La version 3 d'ITIL change radicalement d'approche en inscrivant les best practices dans un cycle de vie : alignement du SI sur la stratégie de l'entreprise (strategy), conception (design), déploiement (transition) et l'exploitation maintenance (operation)6. En organisant ses best practices dans un cycle de vie de SI, ITIL V3 s'affranchit des contingences organisationnelles et facilite l'extension de son application vers la conception et le déploiement informatique alors qu'ITIL V2 avait vu son adoption par le marché limitée à la production informatique7.

Enfin, par la nature technique de ce cycle de vie, ITIL V3 s'inscrit comme le complément naturel de l'eSCM qui suit plutôt un cycle de vie commercial8, et se réserve ainsi l'opportunité d'une convergence.

Définir la stratégie de déploiement des best practices de SI

Le déploiement et la certification de référentiels constituant une source directe d'amélioration de leur compte d'exploitation (réduction des coûts opérationnels et promotion de leur marque), certains prestataires ont axé leur stratégie de développement sur leur mise en œuvre systématique.

Mais pour les directions des systèmes d'information (DSI) des entreprises utilisatrices, la démonstration d'un retour économique significatif de la mise en œuvre des best practices reste un exercice difficile, rendant d'autant plus délicat leur déploiement : doit-on privilégier une certification des professionnels ou une certification des organisations ? Faut-il s'aligner sur un standard du marché ou une norme nationale ? Y a-t-il un référentiel plus proche du cœur de métier de l'entreprise ? Quel référentiel privilégier lorsqu'un domaine de gestion de SI est adressé par plusieurs référentiels ? Pour un référentiel choisi, quelles sont les premières pratiques à mettre en œuvre dans une perspective de gestion du changement ? Comment rendre pérenne le déploiement de best practices en dépit de leur évolution ?

Les réponses à ces différentes questions sont encadrées par le régime de gouvernance de SI qui révèle la politique informatique de l'entreprise dont on peut identifier cinq modes majeurs :

1) une DSI dédiée exploite sur l'ensemble du cycle de vie un système d'information dédié pour le compte d'une direction métier unique qui la finance et dont elle est la subordonnée ;
2) la direction métier définit et finance un système d'information construit principalement sur ressources dédiées. Cet ouvrage est maintenu en conditions opérationnelles par la DSI. La direction métier peut confier à la DSI le soin de distribuer les services à ses collaborateurs ;
3) la direction métier définit un système d'information construit majoritairement sur des ressources mutualisées avec d'autres directions métier. Cet ouvrage est maintenu en conditions opérationnelles par la DSI ;
4) la direction métier transfère à la DSI la mission de fournir les services répondant aux besoins de ses utilisateurs en en partageant les risques : la rémunération de la DSI n'est pas uniquement assurée par l'utilisateur individuel, mais incorpore une rémunération forfaitaire financée par la direction métier ;
5) la DSI est mandatée par la direction métier pour fournir à ses risques et périls les services adressant les besoins des utilisateurs sur un périmètre donné ; elle se rémunère sur l'utilisateur suivant un mécanisme de commande-facturation formalisé.

Régimes de gouvernance types

Dès lors, nous avançons un modèle à cinq régimes types (The five IT governance regimes9) que nous avons désignés par « Maîtrise d'opérateur », « Maîtrise d'ouvrage », « Maîtrise d'ouvrage privé virtuel », « Maîtrise de service » et « Maîtrise d'opérateur privé virtuel10 ».

Ces régimes types se distinguent essentiellement des uns des autres par la propriété du SI, le portage de la définition des fonctionnalités des SI, de la conception-construction, de la maintenance et de la distribution des services aux utilisateurs qui peuvent échoir soit à la direction métier soit à la direction des systèmes d'information (DSI).

Les cind régimes de gouvernance de SI
  Propriétaire du SI Définition Conception constructeur Maintenance Distribution
Maîtrise d'opérateur Métier Métier Métier Métier Métier
Maîtrise d'ouvrage Métier Métier Métier DSI Métier
Maîtrise d'ouvrage privé virtuel DSI Métier DSI DSI Métier
Maîtrise de service DSI DSI DSI DSI Métier
Maîtrise d'opérateur privé virtuel DSI DSI DSI DSI DSI

 
Lorsque le propriétaire du SI est la direction métier, on est en régime de Maîtrise d'opérateur ou de Maîtrise d'ouvrage, dans le cas contraire, on est en régime de Maîtrise de service. Les régimes Maîtrise d'opérateur et Maîtrise d'ouvrage se distinguent par le portage du maintien en conditions opérationnelles.

Le régime de Maîtrise de service donne naissance à trois déclinaisons :

 la Maîtrise d'ouvrage privé virtuel où la DSI se voit confier la conception, la construction et la maintenance du SI,
 le régime de Maîtrise de service proprement dit où la définition du service relève également de la DSI, la distribution du service restant néanmoins à la direction métier,
 et le régime de Maîtrise d'opérateur privé virtuel où la DSI est mandatée par la direction métier pour répondre aux besoins de ses utilisateurs.

Governance Level Agreement

Alors que le choix d'un régime de gouvernance permet d'assurer la contribution du SI à la stratégie de l'entreprise [6], il apporte aussi une meilleure organisation des ressources informatiques en les agençant sur un des stimulus émis par l'utilisateur (placement d'une commande de service, spécification d'une demande de solution, expression de besoin) et en aidant au choix des référentiels. Dans la pratique, pour un système d'information donné, on établit le régime de gouvernance en décomposant le système en éléments de manière que l'on puisse leur affecter un régime de gouvernance type.

Le régime de gouvernance ainsi conçu, on peut orienter un déploiement des différents référentiels en phase avec la politique informatique. Par exemple, pour un composant en régime de Maîtrise de service, ITIL V3 semble tout indiqué alors qu'en Maîtrise d'ouvrage, on pourra se contenter de mettre en œuvre ITIL V2. Si l'on est en Maîtrise d'opérateur privé virtuel, on pourra envisager l'eSCM ou le COBIT12.

Nous avions désigné par Governance Level Agreement11 (GLA)[5] les arrangements entre un prestataire externe et son client qui conditionnent la gestion des engagements de qualité de service13.

Nous reprendrons ce terme pour désigner le régime de gouvernance conçu à partir de nos régimes de gouvernance types que nous nommons par « Régime MOP », « Régime MOA », « Régime MOS-OA », « Régime MOS » et « Régime MOS-OP »14. Quant aux actes de propriété du SI, aux modalités de définition des fonctionnalités des SI, et aux mécanismes de distribution des services aux utilisateurs figurant au régime, nous utiliserons respectivement Land Level Agreement (LLA)11, Function Level Agreement (FLA) et User Level Agreement (ULA)15.

1. Information Technology Infrastructure Library : ITIL Version 2 est une bibliothèque de huit livres où sont répertoriées les best practices en gestion de SI : The business perspective, Application management, Software asset management, ICT Infrastructure management, Security management, Planning to implement service management, Service delivery et Service support. IT Infrastructure Library et ITIL sont des marques déposées par l'Office Government of Commerce, UK.
2. eSCM est une marque déposée par Carnegie Mellon University.
3. Depuis certaines unités indiennes d'IBM, d'Accenture et d'Infosys ont été certifiées. http://itsqc.cs.cmu.edu
4. Contrairement à une norme ISO, la certification ITIL ne s'applique jusqu'à présent qu'à des individus.
5. Son organe de promotion, l'Association itSMF International, compte des représentations, appelées « Chapitres », dans 42 pays. En 2006, 436 sociétés adhéraient au Chapitre France.
6. À ces quatre phases, ITIL V3 rajoute une boucle de progrès (continuous improvement).
7. Le marché n'a retenu que les pratiques des deux livres Service delivery et Service support.
8. eSCM suit un cycle de vie à trois phases : initiation (contractualisation), delivery (fourniture) et completion (fin de contrat) [2].
9. Marque déposée, également protégée par les droits d'auteur.
10. Les locutions « Maîtrise d'ouvrage privé virtuel » et « Maîtrise d'opérateur » sont des marques déposées, également protégées au titre du droit d'auteur. L'Opérateur privé virtuel a été révélé par L'externalisation des télécoms d'entreprise, Hermes Lavoisier [3].
11. Désignés dans [5] par Balanced Level Agreement.
12. Control Objectives for Information and Related Technology ; COBIT est une marque déposée par l'IT Governance Institute (ITGI).
13. Ces engagements sont désignés par la profession par Service Level Agreement (SLA) : « Engagements de la part du fournisseur sur la qualité du service fourni. Les SLA déterminent le niveau d'indemnisation du client en cas de non-atteinte d'un niveau minimum de disponibilité de service » [4].
14. « Les régimes MOP, MOA, MOS-OA, MOS, MOS-OP » sont des marques déposées.
15. User Level Agreement désigne également les conditions d'utilisation du service [6].
 

Références

[1] ITIL Refresh News life Cycle Launch, Office Government of Commerce, 2007.
[2] The eSCM-SP v2 - The eSourcing Capability Model for Service Providers, par Elaine B. Hyder, Keith M. Heston, Mark C. Paulk, ITsqc, Carnegie Mellon University, 2004.
[3] L'externalisation des télécoms d'entreprise - L'Opérateur privé virtuel, par Tru Dô-Khac, Hermes Lavoisier, 2005.
[4] Guide SSI (Sécurité des systèmes d'information), Glossaire, Medef, Direction de l'innovation et de la recherche, mai 2005.
[5] Stratégie de sourcing - l'approche contractuelle, par Tru Dô-Khac, La Jaune et la Rouge, octobre 2006.
[6] Aligner la gouvernance des systèmes d'information sur la stratégie de l'entreprise, par Tru Dô-Khac, La Jaune et la Rouge, janvier 2007.

 

Commentaires

"Régime de gouvernance informatique", une représentation (ontologie) originale de rupture ?
Un régime (Ang : regime) de gouvernance informatique n'est ni un "modèle" (Ang : model) ni un "cadre" (Ang : framework) de gouvernance informatique.
Mais pourquoi la formulation régime de gouvernance informatique (Ang : IT governance regime) est-elle pratiquement absente dans la littérature en management informatique, tant académique que professionnelle ?
Ainsi, les professeurs Weill et Ross (MIT), cités dans Wikipedia comme les tenants d'un des trois courants de pensée sur la gouvernance informatique (IT Governance), parlent d'archetype pour "IT Monarchy", "Business Monarchy", "Feudalism",...
Enfin, depuis avril 2010, une quinzaine de tribunes ont été accueillies dans la presse spécialisée (cf site Répertoire d'articles sur l'IT Regime Management).

Ajouter un commentaire

Publication des commentaires

La publication des commentaires est modérée, principalement pour éviter l'offre de Viagra ou de Cialis sans ordonnance.
Cela est exécuté une ou deux fois par jour.

Ce n'est donc pas la peine de les écrire plusieurs fois, sous prétexte qu'on ne les voit pas  apparaître immédiatement

Actualités

.