Cinq régimes de gouvernance pour une meilleure organisation informatique

Pour moder­ni­ser une ges­tion de sys­tème d’in­for­ma­tion (SI), il faut s’ap­puyer sur des métho­do­lo­gies, des pro­ces­sus et des pro­cé­dures éprou­vés, dési­gnés dans la pro­fes­sion par best prac­tices et regrou­pés en réfé­ren­tiels. Lors des années That­cher, l’ad­mi­nis­tra­tion anglaise l’a­vait bien com­pris en créant le réfé­ren­tiel ITIL¹ et en impo­sant son uti­li­sa­tion à l’en­semble de ses sous-traitants.

Les best practices ITIL et eSCM

Pour les pres­ta­taires, les best prac­tices asso­ciées à des dis­po­si­tifs de cer­ti­fi­ca­tion consti­tuent tout d’a­bord un outil de pro­mo­tion ; ain­si, fin 2006, plus de 3 000 pro­fes­sion­nels fran­çais peuvent mettre en avant leur cer­ti­fi­ca­tion ITIL. Ensuite, cer­tains pres­ta­taires y ont vu une source d’a­van­tage com­pé­ti­tif ; c’est le cas de la SSII indienne Satyam Com­pu­ter Ser­vices qui, dési­reuse d’a­bais­ser les réti­cences des clients occi­den­taux pour l’off­shore, s’est asso­ciée à la pres­ti­gieuse uni­ver­si­té Car­ne­gie Mel­lon pour créer un réfé­ren­tiel sur la sous-trai­tance infor­ma­tique, l’e‑Sourcing Capa­bi­li­ty Model (eSCM²). L’as­so­cia­tion a bien­tôt été rejointe par Accen­ture, IBM, EDS, HP entre autres, fai­sant faire ain­si à l’eSCM un pas signi­fi­ca­tif vers la posi­tion recher­chée de cer­ti­fi­ca­tion incon­tour­nable³. Dès lors, c’est peut-être dans une pers­pec­tive plus large, celle de la com­pé­ti­tion au mind share, qu’il fau­drait ana­ly­ser la publi­ca­tion d’I­TIL V3 en mai dernier.

Même si la conver­sion de la pré­cé­dente ver­sion ITIL V2 en une norme anglaise (BS 15 000) puis inter­na­tio­nale (ISO 20 000) consa­crait son sta­tut de stan­dard de fait et fai­sait faire à ITIL un pas dans la direc­tion de cer­ti­fi­ca­tion des orga­ni­sa­tions⁴, l’Office Govern­ment of Com­merce pro­prié­taire d’I­TIL se devait de réagir.

C’est tout d’a­bord la créa­tion en 2006 d’un « Cha­pitre » de l’itSMF⁵ en I^nde.

Puis c’est la réno­va­tion de la sub­stance d’I­TIL avec le lan­ce­ment mon­dial d’I­TIL V3 en mai der­nier [1]. Ins­tru­ment de moder­ni­sa­tion des sys­tèmes infor­ma­tiques des années quatre-vingt-dix, l’or­ga­ni­sa­tion d’I­TIL V2 ren­voie encore aux dif­fé­rentes fonc­tions d’une direc­tion infor­ma­tique cen­trale et porte la marque de la gou­ver­nance des sys­tèmes cen­tra­li­sés (main­frame). La ver­sion 3 d’I­TIL change radi­ca­le­ment d’ap­proche en ins­cri­vant les best prac­tices dans un cycle de vie : ali­gne­ment du SI sur la stra­té­gie de l’en­tre­prise (stra­te­gy), concep­tion (desi­gn), déploie­ment (tran­si­tion) et l’ex­ploi­ta­tion main­te­nance (ope­ra­tion^)6. En orga­ni­sant ses best prac­tices dans un cycle de vie de SI, ITIL V3 s’af­fran­chit des contin­gences orga­ni­sa­tion­nelles et faci­lite l’ex­ten­sion de son appli­ca­tion vers la concep­tion et le déploie­ment infor­ma­tique alors qu’I­TIL V2 avait vu son adop­tion par le mar­ché limi­tée à la pro­duc­tion infor­ma­tique⁷.

Enfin, par la nature tech­nique de ce cycle de vie, ITIL V3 s’ins­crit comme le com­plé­ment natu­rel de l’eSCM qui suit plu­tôt un cycle de vie com­mer­cial⁸, et se réserve ain­si l’op­por­tu­ni­té d’une convergence.

Définir la stratégie de déploiement des best practices de SI

Le déploie­ment et la cer­ti­fi­ca­tion de réfé­ren­tiels consti­tuant une source directe d’a­mé­lio­ra­tion de leur compte d’ex­ploi­ta­tion (réduc­tion des coûts opé­ra­tion­nels et pro­mo­tion de leur marque), cer­tains pres­ta­taires ont axé leur stra­té­gie de déve­lop­pe­ment sur leur mise en œuvre systématique.

Mais pour les direc­tions des sys­tèmes d’in­for­ma­tion (DSI) des entre­prises uti­li­sa­trices, la démons­tra­tion d’un retour éco­no­mique signi­fi­ca­tif de la mise en œuvre des best prac­tices reste un exer­cice dif­fi­cile, ren­dant d’au­tant plus déli­cat leur déploie­ment : doit-on pri­vi­lé­gier une cer­ti­fi­ca­tion des pro­fes­sion­nels ou une cer­ti­fi­ca­tion des orga­ni­sa­tions ? Faut-il s’a­li­gner sur un stan­dard du mar­ché ou une norme natio­nale ? Y a‑t-il un réfé­ren­tiel plus proche du cœur de métier de l’en­tre­prise ? Quel réfé­ren­tiel pri­vi­lé­gier lors­qu’un domaine de ges­tion de SI est adres­sé par plu­sieurs réfé­ren­tiels ? Pour un réfé­ren­tiel choi­si, quelles sont les pre­mières pra­tiques à mettre en œuvre dans une pers­pec­tive de ges­tion du chan­ge­ment ? Com­ment rendre pérenne le déploie­ment de best prac­tices en dépit de leur évolution ?

Les réponses à ces dif­fé­rentes ques­tions sont enca­drées par le régime de gou­ver­nance de SI qui révèle la poli­tique infor­ma­tique de l’en­tre­prise dont on peut iden­ti­fier cinq modes majeurs :

1) une DSI dédiée exploite sur l’en­semble du cycle de vie un sys­tème d’in­for­ma­tion dédié pour le compte d’une direc­tion métier unique qui la finance et dont elle est la subordonnée ;
2) la direc­tion métier défi­nit et finance un sys­tème d’in­for­ma­tion construit prin­ci­pa­le­ment sur res­sources dédiées. Cet ouvrage est main­te­nu en condi­tions opé­ra­tion­nelles par la DSI. La direc­tion métier peut confier à la DSI le soin de dis­tri­buer les ser­vices à ses collaborateurs ;
3) la direc­tion métier défi­nit un sys­tème d’in­for­ma­tion construit majo­ri­tai­re­ment sur des res­sources mutua­li­sées avec d’autres direc­tions métier. Cet ouvrage est main­te­nu en condi­tions opé­ra­tion­nelles par la DSI ;
4) la direc­tion métier trans­fère à la DSI la mis­sion de four­nir les ser­vices répon­dant aux besoins de ses uti­li­sa­teurs en en par­ta­geant les risques : la rému­né­ra­tion de la DSI n’est pas uni­que­ment assu­rée par l’u­ti­li­sa­teur indi­vi­duel, mais incor­pore une rému­né­ra­tion for­fai­taire finan­cée par la direc­tion métier ;
5) la DSI est man­da­tée par la direc­tion métier pour four­nir à ses risques et périls les ser­vices adres­sant les besoins des uti­li­sa­teurs sur un péri­mètre don­né ; elle se rému­nère sur l’u­ti­li­sa­teur sui­vant un méca­nisme de com­mande-fac­tu­ra­tion formalisé.

Régimes de gouvernance types

Dès lors, nous avan­çons un modèle à cinq régimes types (The five IT gover­nance regimes⁹) que nous avons dési­gnés par « Maî­trise d’o­pé­ra­teur », « Maî­trise d’ou­vrage », « Maî­trise d’ou­vrage pri­vé vir­tuel », « Maî­trise de ser­vice » et « Maî­trise d’o­pé­ra­teur pri­vé vir­tuel¹⁰ ».

Ces régimes types se dis­tinguent essen­tiel­le­ment des uns des autres par la pro­prié­té du SI, le por­tage de la défi­ni­tion des fonc­tion­na­li­tés des SI, de la concep­tion-construc­tion, de la main­te­nance et de la dis­tri­bu­tion des ser­vices aux uti­li­sa­teurs qui peuvent échoir soit à la direc­tion métier soit à la direc­tion des sys­tèmes d’in­for­ma­tion (DSI).

Lorsque le pro­prié­taire du SI est la direc­tion métier, on est en régime de Maî­trise d’o­pé­ra­teur ou de Maî­trise d’ou­vrage, dans le cas contraire, on est en régime de Maî­trise de ser­vice. Les régimes Maî­trise d’o­pé­ra­teur et Maî­trise d’ou­vrage se dis­tinguent par le por­tage du main­tien en condi­tions opérationnelles.

Le régime de Maî­trise de ser­vice donne nais­sance à trois déclinaisons :

• la Maî­trise d’ou­vrage pri­vé vir­tuel où la DSI se voit confier la concep­tion, la construc­tion et la main­te­nance du SI,
• le régime de Maî­trise de ser­vice pro­pre­ment dit où la défi­ni­tion du ser­vice relève éga­le­ment de la DSI, la dis­tri­bu­tion du ser­vice res­tant néan­moins à la direc­tion métier,
• et le régime de Maî­trise d’o­pé­ra­teur pri­vé vir­tuel où la DSI est man­da­tée par la direc­tion métier pour répondre aux besoins de ses utilisateurs.

Governance Level Agreement

Alors que le choix d’un régime de gou­ver­nance per­met d’as­su­rer la contri­bu­tion du SI à la stra­té­gie de l’en­tre­prise [6], il apporte aus­si une meilleure orga­ni­sa­tion des res­sources infor­ma­tiques en les agen­çant sur un des sti­mu­lus émis par l’u­ti­li­sa­teur (pla­ce­ment d’une com­mande de ser­vice, spé­ci­fi­ca­tion d’une demande de solu­tion, expres­sion de besoin) et en aidant au choix des réfé­ren­tiels. Dans la pra­tique, pour un sys­tème d’in­for­ma­tion don­né, on éta­blit le régime de gou­ver­nance en décom­po­sant le sys­tème en élé­ments de manière que l’on puisse leur affec­ter un régime de gou­ver­nance type.

Le régime de gou­ver­nance ain­si conçu, on peut orien­ter un déploie­ment des dif­fé­rents réfé­ren­tiels en phase avec la poli­tique infor­ma­tique. Par exemple, pour un com­po­sant en régime de Maî­trise de ser­vice, ITIL V3 semble tout indi­qué alors qu’en Maî­trise d’ou­vrage, on pour­ra se conten­ter de mettre en œuvre ITIL V2. Si l’on est en Maî­trise d’o­pé­ra­teur pri­vé vir­tuel, on pour­ra envi­sa­ger l’eSCM ou le COBIT¹².

Nous avions dési­gné par Gover­nance Level Agree­ment¹¹ (GLA)[5] les arran­ge­ments entre un pres­ta­taire externe et son client qui condi­tionnent la ges­tion des enga­ge­ments de qua­li­té de ser­vice¹³.

Nous repren­drons ce terme pour dési­gner le régime de gou­ver­nance conçu à par­tir de nos régimes de gou­ver­nance types que nous nom­mons par « Régime MOP », « Régime MOA », « Régime MOS-OA », « Régime MOS » et « Régime MOS-OP »¹⁴. Quant aux actes de pro­prié­té du SI, aux moda­li­tés de défi­ni­tion des fonc­tion­na­li­tés des SI, et aux méca­nismes de dis­tri­bu­tion des ser­vices aux uti­li­sa­teurs figu­rant au régime, nous uti­li­se­rons res­pec­ti­ve­ment Land Level Agree­ment (LLA)^11, Func­tion Level Agree­ment (FLA) et User Level Agree­ment (ULA)¹⁵.

1. Infor­ma­tion Tech­no­lo­gy Infra­struc­ture Libra­ry : ITIL Ver­sion 2 est une biblio­thèque de huit livres où sont réper­to­riées les best prac­tices en ges­tion de SI : The busi­ness pers­pec­tive, Appli­ca­tion mana­ge­ment, Soft­ware asset mana­ge­ment, ICT Infra­struc­ture mana­ge­ment, Secu­ri­ty mana­ge­ment, Plan­ning to imple­ment ser­vice mana­ge­ment, Ser­vice deli­ve­ry et Ser­vice sup­port. IT Infra­struc­ture Libra­ry et ITIL sont des marques dépo­sées par l’Of­fice Govern­ment of Com­merce, UK.
2. eSCM est une marque dépo­sée par Car­ne­gie Mel­lon University.
3. Depuis cer­taines uni­tés indiennes d’IBM, d’Ac­cen­ture et d’In­fo­sys ont été cer­ti­fiées. http://itsqc.cs.cmu.edu
4. Contrai­re­ment à une norme ISO, la cer­ti­fi­ca­tion ITIL ne s’ap­plique jus­qu’à pré­sent qu’à des individus.
5. Son organe de pro­mo­tion, l’As­so­cia­tion itSMF Inter­na­tio­nal, compte des repré­sen­ta­tions, appe­lées « Cha­pitres », dans 42 pays. En 2006, 436 socié­tés adhé­raient au Cha­pitre France.
6. À ces quatre phases, ITIL V3 rajoute une boucle de pro­grès (conti­nuous impro­ve­ment).
7. Le mar­ché n’a rete­nu que les pra­tiques des deux livres Ser­vice deli­ve­ry et Ser­vice sup­port.
8. eSCM suit un cycle de vie à trois phases : ini­tia­tion (contrac­tua­li­sa­tion), deli­ve­ry (four­ni­ture) et com­ple­tion (fin de contrat) [2].
9. Marque dépo­sée, éga­le­ment pro­té­gée par les droits d’auteur.
10. Les locu­tions « Maî­trise d’ou­vrage pri­vé vir­tuel » et « Maî­trise d’o­pé­ra­teur » sont des marques dépo­sées, éga­le­ment pro­té­gées au titre du droit d’au­teur. L’O­pé­ra­teur pri­vé vir­tuel a été révé­lé par L’ex­ter­na­li­sa­tion des télé­coms d’en­tre­prise, Hermes Lavoi­sier [3].
11. Dési­gnés dans [5] par Balan­ced Level Agree­ment.
12. Control Objec­tives for Infor­ma­tion and Rela­ted Tech­no­lo­gy ; COBIT est une marque dépo­sée par l’IT Gover­nance Ins­ti­tute (ITGI).
13. Ces enga­ge­ments sont dési­gnés par la pro­fes­sion par Ser­vice Level Agree­ment (SLA) : « Enga­ge­ments de la part du four­nis­seur sur la qua­li­té du ser­vice four­ni. Les SLA déter­minent le niveau d’in­dem­ni­sa­tion du client en cas de non-atteinte d’un niveau mini­mum de dis­po­ni­bi­li­té de ser­vice » [4].
14. « Les régimes MOP, MOA, MOS-OA, MOS, MOS-OP » sont des marques déposées.
15. User Level Agree­ment désigne éga­le­ment les condi­tions d’u­ti­li­sa­tion du ser­vice [6].
 

---

Articles similaires :

Ges­tion alter­na­tive : mythes et réalités Le cli­mat journalistique Témoi­gnages La course à la pro­chaine géné­ra­tion de biothérapeutiques La mer et ses métiers