Cinq régimes de gouvernance pour une meilleure organisation informatique

Pour mod­erniser une ges­tion de sys­tème d’in­for­ma­tion (SI), il faut s’ap­puy­er sur des méthodolo­gies, des proces­sus et des procé­dures éprou­vés, désignés dans la pro­fes­sion par best prac­tices et regroupés en référen­tiels. Lors des années Thatch­er, l’ad­min­is­tra­tion anglaise l’avait bien com­pris en créant le référen­tiel ITIL¹ et en imposant son util­i­sa­tion à l’ensem­ble de ses sous-traitants.

Les best practices ITIL et eSCM

Pour les prestataires, les best prac­tices asso­ciées à des dis­posi­tifs de cer­ti­fi­ca­tion con­stituent tout d’abord un out­il de pro­mo­tion ; ain­si, fin 2006, plus de 3 000 pro­fes­sion­nels français peu­vent met­tre en avant leur cer­ti­fi­ca­tion ITIL. Ensuite, cer­tains prestataires y ont vu une source d’a­van­tage com­péti­tif ; c’est le cas de la SSII indi­enne Satyam Com­put­er Ser­vices qui, désireuse d’abaiss­er les réti­cences des clients occi­den­taux pour l’off­shore, s’est asso­ciée à la pres­tigieuse uni­ver­sité Carnegie Mel­lon pour créer un référen­tiel sur la sous-trai­tance infor­ma­tique, l’e‑Sourcing Capa­bil­i­ty Mod­el (eSCM²). L’as­so­ci­a­tion a bien­tôt été rejointe par Accen­ture, IBM, EDS, HP entre autres, faisant faire ain­si à l’eSCM un pas sig­ni­fi­catif vers la posi­tion recher­chée de cer­ti­fi­ca­tion incon­tourn­able³. Dès lors, c’est peut-être dans une per­spec­tive plus large, celle de la com­péti­tion au mind share, qu’il faudrait analyser la pub­li­ca­tion d’I­TIL V3 en mai dernier.

Même si la con­ver­sion de la précé­dente ver­sion ITIL V2 en une norme anglaise (BS 15 000) puis inter­na­tionale (ISO 20 000) con­sacrait son statut de stan­dard de fait et fai­sait faire à ITIL un pas dans la direc­tion de cer­ti­fi­ca­tion des organ­i­sa­tions⁴, l’Office Gov­ern­ment of Com­merce pro­prié­taire d’I­TIL se devait de réagir.

C’est tout d’abord la créa­tion en 2006 d’un « Chapitre » de l’itSMF⁵ en Inde.

Puis c’est la réno­va­tion de la sub­stance d’I­TIL avec le lance­ment mon­di­al d’I­TIL V3 en mai dernier [1]. Instru­ment de mod­erni­sa­tion des sys­tèmes infor­ma­tiques des années qua­tre-vingt-dix, l’or­gan­i­sa­tion d’I­TIL V2 ren­voie encore aux dif­férentes fonc­tions d’une direc­tion infor­ma­tique cen­trale et porte la mar­que de la gou­ver­nance des sys­tèmes cen­tral­isés (main­frame). La ver­sion 3 d’I­TIL change rad­i­cale­ment d’ap­proche en inscrivant les best prac­tices dans un cycle de vie : aligne­ment du SI sur la stratégie de l’en­tre­prise (strat­e­gy), con­cep­tion (design), déploiement (tran­si­tion) et l’ex­ploita­tion main­te­nance (oper­a­tion^)6. En organ­isant ses best prac­tices dans un cycle de vie de SI, ITIL V3 s’af­fran­chit des con­tin­gences organ­i­sa­tion­nelles et facilite l’ex­ten­sion de son appli­ca­tion vers la con­cep­tion et le déploiement infor­ma­tique alors qu’I­TIL V2 avait vu son adop­tion par le marché lim­itée à la pro­duc­tion infor­ma­tique⁷.

Enfin, par la nature tech­nique de ce cycle de vie, ITIL V3 s’in­scrit comme le com­plé­ment naturel de l’eSCM qui suit plutôt un cycle de vie com­mer­cial⁸, et se réserve ain­si l’op­por­tu­nité d’une convergence.

Définir la stratégie de déploiement des best practices de SI

Le déploiement et la cer­ti­fi­ca­tion de référen­tiels con­sti­tu­ant une source directe d’amélio­ra­tion de leur compte d’ex­ploita­tion (réduc­tion des coûts opéra­tionnels et pro­mo­tion de leur mar­que), cer­tains prestataires ont axé leur stratégie de développe­ment sur leur mise en œuvre systématique.

Mais pour les direc­tions des sys­tèmes d’in­for­ma­tion (DSI) des entre­pris­es util­isatri­ces, la démon­stra­tion d’un retour économique sig­ni­fi­catif de la mise en œuvre des best prac­tices reste un exer­ci­ce dif­fi­cile, ren­dant d’au­tant plus déli­cat leur déploiement : doit-on priv­ilégi­er une cer­ti­fi­ca­tion des pro­fes­sion­nels ou une cer­ti­fi­ca­tion des organ­i­sa­tions ? Faut-il s’align­er sur un stan­dard du marché ou une norme nationale ? Y a‑t-il un référen­tiel plus proche du cœur de méti­er de l’en­tre­prise ? Quel référen­tiel priv­ilégi­er lorsqu’un domaine de ges­tion de SI est adressé par plusieurs référen­tiels ? Pour un référen­tiel choisi, quelles sont les pre­mières pra­tiques à met­tre en œuvre dans une per­spec­tive de ges­tion du change­ment ? Com­ment ren­dre pérenne le déploiement de best prac­tices en dépit de leur évolution ?

Les répons­es à ces dif­férentes ques­tions sont encadrées par le régime de gou­ver­nance de SI qui révèle la poli­tique infor­ma­tique de l’en­tre­prise dont on peut iden­ti­fi­er cinq modes majeurs :

1) une DSI dédiée exploite sur l’ensem­ble du cycle de vie un sys­tème d’in­for­ma­tion dédié pour le compte d’une direc­tion méti­er unique qui la finance et dont elle est la subordonnée ;
2) la direc­tion méti­er définit et finance un sys­tème d’in­for­ma­tion con­stru­it prin­ci­pale­ment sur ressources dédiées. Cet ouvrage est main­tenu en con­di­tions opéra­tionnelles par la DSI. La direc­tion méti­er peut con­fi­er à la DSI le soin de dis­tribuer les ser­vices à ses collaborateurs ;
3) la direc­tion méti­er définit un sys­tème d’in­for­ma­tion con­stru­it majori­taire­ment sur des ressources mutu­al­isées avec d’autres direc­tions méti­er. Cet ouvrage est main­tenu en con­di­tions opéra­tionnelles par la DSI ;
4) la direc­tion méti­er trans­fère à la DSI la mis­sion de fournir les ser­vices répon­dant aux besoins de ses util­isa­teurs en en partageant les risques : la rémunéra­tion de la DSI n’est pas unique­ment assurée par l’u­til­isa­teur indi­vidu­el, mais incor­pore une rémunéra­tion for­faitaire financée par la direc­tion métier ;
5) la DSI est man­datée par la direc­tion méti­er pour fournir à ses risques et périls les ser­vices adres­sant les besoins des util­isa­teurs sur un périmètre don­né ; elle se rémunère sur l’u­til­isa­teur suiv­ant un mécan­isme de com­mande-fac­tura­tion formalisé.

Régimes de gouvernance types

Dès lors, nous avançons un mod­èle à cinq régimes types (The five IT gov­er­nance regimes⁹) que nous avons désignés par « Maîtrise d’opéra­teur », « Maîtrise d’ou­vrage », « Maîtrise d’ou­vrage privé virtuel », « Maîtrise de ser­vice » et « Maîtrise d’opéra­teur privé virtuel¹⁰ ».

Ces régimes types se dis­tinguent essen­tielle­ment des uns des autres par la pro­priété du SI, le portage de la déf­i­ni­tion des fonc­tion­nal­ités des SI, de la con­cep­tion-con­struc­tion, de la main­te­nance et de la dis­tri­b­u­tion des ser­vices aux util­isa­teurs qui peu­vent échoir soit à la direc­tion méti­er soit à la direc­tion des sys­tèmes d’in­for­ma­tion (DSI).

Lorsque le pro­prié­taire du SI est la direc­tion méti­er, on est en régime de Maîtrise d’opéra­teur ou de Maîtrise d’ou­vrage, dans le cas con­traire, on est en régime de Maîtrise de ser­vice. Les régimes Maîtrise d’opéra­teur et Maîtrise d’ou­vrage se dis­tinguent par le portage du main­tien en con­di­tions opérationnelles.

Le régime de Maîtrise de ser­vice donne nais­sance à trois déclinaisons :

• la Maîtrise d’ou­vrage privé virtuel où la DSI se voit con­fi­er la con­cep­tion, la con­struc­tion et la main­te­nance du SI,
• le régime de Maîtrise de ser­vice pro­pre­ment dit où la déf­i­ni­tion du ser­vice relève égale­ment de la DSI, la dis­tri­b­u­tion du ser­vice restant néan­moins à la direc­tion métier,
• et le régime de Maîtrise d’opéra­teur privé virtuel où la DSI est man­datée par la direc­tion méti­er pour répon­dre aux besoins de ses utilisateurs.

Governance Level Agreement

Alors que le choix d’un régime de gou­ver­nance per­met d’as­sur­er la con­tri­bu­tion du SI à la stratégie de l’en­tre­prise [6], il apporte aus­si une meilleure organ­i­sa­tion des ressources infor­ma­tiques en les agençant sur un des stim­u­lus émis par l’u­til­isa­teur (place­ment d’une com­mande de ser­vice, spé­ci­fi­ca­tion d’une demande de solu­tion, expres­sion de besoin) et en aidant au choix des référen­tiels. Dans la pra­tique, pour un sys­tème d’in­for­ma­tion don­né, on établit le régime de gou­ver­nance en décom­posant le sys­tème en élé­ments de manière que l’on puisse leur affecter un régime de gou­ver­nance type.

Le régime de gou­ver­nance ain­si conçu, on peut ori­en­ter un déploiement des dif­férents référen­tiels en phase avec la poli­tique infor­ma­tique. Par exem­ple, pour un com­posant en régime de Maîtrise de ser­vice, ITIL V3 sem­ble tout indiqué alors qu’en Maîtrise d’ou­vrage, on pour­ra se con­tenter de met­tre en œuvre ITIL V2. Si l’on est en Maîtrise d’opéra­teur privé virtuel, on pour­ra envis­ager l’eSCM ou le COBIT¹².

Nous avions désigné par Gov­er­nance Lev­el Agree­ment¹¹ (GLA)[5] les arrange­ments entre un prestataire externe et son client qui con­di­tion­nent la ges­tion des engage­ments de qual­ité de ser­vice¹³.

Nous repren­drons ce terme pour désign­er le régime de gou­ver­nance conçu à par­tir de nos régimes de gou­ver­nance types que nous nom­mons par « Régime MOP », « Régime MOA », « Régime MOS-OA », « Régime MOS » et « Régime MOS-OP »¹⁴. Quant aux actes de pro­priété du SI, aux modal­ités de déf­i­ni­tion des fonc­tion­nal­ités des SI, et aux mécan­ismes de dis­tri­b­u­tion des ser­vices aux util­isa­teurs fig­u­rant au régime, nous utilis­erons respec­tive­ment Land Lev­el Agree­ment (LLA)^11, Func­tion Lev­el Agree­ment (FLA) et User Lev­el Agree­ment (ULA)¹⁵.

1. Infor­ma­tion Tech­nol­o­gy Infra­struc­ture Library : ITIL Ver­sion 2 est une bib­lio­thèque de huit livres où sont réper­toriées les best prac­tices en ges­tion de SI : The busi­ness per­spec­tive, Appli­ca­tion man­age­ment, Soft­ware asset man­age­ment, ICT Infra­struc­ture man­age­ment, Secu­ri­ty man­age­ment, Plan­ning to imple­ment ser­vice man­age­ment, Ser­vice deliv­ery et Ser­vice sup­port. IT Infra­struc­ture Library et ITIL sont des mar­ques déposées par l’Of­fice Gov­ern­ment of Com­merce, UK.
2. eSCM est une mar­que déposée par Carnegie Mel­lon University.
3. Depuis cer­taines unités indi­ennes d’IBM, d’Ac­cen­ture et d’In­fos­ys ont été cer­ti­fiées. http://itsqc.cs.cmu.edu
4. Con­traire­ment à une norme ISO, la cer­ti­fi­ca­tion ITIL ne s’ap­plique jusqu’à présent qu’à des individus.
5. Son organe de pro­mo­tion, l’As­so­ci­a­tion itSMF Inter­na­tion­al, compte des représen­ta­tions, appelées « Chapitres », dans 42 pays. En 2006, 436 sociétés adhéraient au Chapitre France.
6. À ces qua­tre phas­es, ITIL V3 rajoute une boucle de pro­grès (con­tin­u­ous improve­ment).
7. Le marché n’a retenu que les pra­tiques des deux livres Ser­vice deliv­ery et Ser­vice sup­port.
8. eSCM suit un cycle de vie à trois phas­es : ini­ti­a­tion (con­trac­tu­al­i­sa­tion), deliv­ery (four­ni­ture) et com­ple­tion (fin de con­trat) [2].
9. Mar­que déposée, égale­ment pro­tégée par les droits d’auteur.
10. Les locu­tions « Maîtrise d’ou­vrage privé virtuel » et « Maîtrise d’opéra­teur » sont des mar­ques déposées, égale­ment pro­tégées au titre du droit d’au­teur. L’Opéra­teur privé virtuel a été révélé par L’ex­ter­nal­i­sa­tion des télé­coms d’en­tre­prise, Her­mes Lavoisi­er [3].
11. Désignés dans [5] par Bal­anced Lev­el Agree­ment.
12. Con­trol Objec­tives for Infor­ma­tion and Relat­ed Tech­nol­o­gy ; COBIT est une mar­que déposée par l’IT Gov­er­nance Insti­tute (ITGI).
13. Ces engage­ments sont désignés par la pro­fes­sion par Ser­vice Lev­el Agree­ment (SLA) : « Engage­ments de la part du four­nisseur sur la qual­ité du ser­vice fourni. Les SLA déter­mi­nent le niveau d’in­dem­ni­sa­tion du client en cas de non-atteinte d’un niveau min­i­mum de disponi­bil­ité de ser­vice » [4].
14. « Les régimes MOP, MOA, MOS-OA, MOS, MOS-OP » sont des mar­ques déposées.
15. User Lev­el Agree­ment désigne égale­ment les con­di­tions d’u­til­i­sa­tion du ser­vice [6].
 

---

Articles similaires :

Les enjeux et la mise en œuvre de la loi organique rel­a­tive aux lois de finances Qual­ité et pro­grès des pra­tiques médicales L’encouragement des patrons des grandes entreprises La page du GPX Le Transsa­harien Allons au théâtre