Cohérence, bon sens et décence Par Claude Durand, directeur stratégie et innovation d'Osiatis*
Une organisation doit-elle réellement atteindre une grande maturité lors de l'application d'un référentiel ou d'une norme ? CMMI, ITIL ou la toute récente ISO/IEC 20000 se posent comme des gages de garantie et de qualité pour une entreprise. Mais leur application a des impacts organisationnels, financiers et humains à prendre en compte. Une nouvelle ère a débuté en septembre 1987 lorsque le Software Engineering Institute (SEI) a introduit le modèle de maturité, Process Maturity Framework. L'objectif de ce modèle est d'améliorer le développement et la maintenance des logiciels. La première organisation intéressée était le département américain de la défense (DOD), espérant trouver une méthode permettant d'évaluer la capacité de leurs fournisseurs, développeurs de logiciels. Le modèle était fourni avec un questionnaire de maturité pour identifier les zones d'amélioration. Il classait les projets et les organisations, le plus haut niveau indiquant moins d'anomalies logicielles, des processus de développement répétables et une meilleure gestion de projet. Partir d'un modèle est plutôt intellectuel, mais c'est une bonne façon de définir une approche. Un plan en cinq points Depuis leur introduction il y a vingt ans, modèles de maturité et questionnaires d'évaluation ont envahi l'entreprise. Le modèle à cinq niveaux fournit un mécanisme normé de mesure et de comparaison pour toute organisation ou activité. Il se caractérise par sa simplicité et fait appel au bon sens cinq niveaux pour atteindre le Nirvana. Un modèle mature représente la meilleure réponse possible à tout événement, demande ou incident, et montre la voie d'une gestion proactive et préventive. C'est une véritable gestion des services, un processus optimisé pour fournir une amélioration permanente au système. Cinq étapes pour rentrer dans le paradis d'une informatique bien gérée. Sept est trop complexe, cinq c'est bien assez ! La défense du trois ! L'approche du modèle de maturité est parfaite pour promouvoir tout programme d'amélioration à grande échelle, que cela soit en interne ou en externe. Les différents niveaux fournissent des objectifs intermédiaires avec des résultats et des bénéfices visibles, ce qui le rend particulièrement attractif à la fois pour le management et les équipes terrain. Atteindre un certain niveau de maturité peut ainsi être facilement vendu aux clients ou à toute autre personne concernée. Inutile d'avancer à un rythme effréné ! Prenez le temps, et décidez même de vous arrêter au niveau trois ou quatre. Si cela n'apporte pas de véritable avantage concurrentiel à l'entreprise, pourquoi essayer d'atteindre le niveau cinq ? Cette approche avec CMMI est celle utilisée dans le développement et la maintenance des logiciels. Le lien entre le plus haut niveau de maturité et la véritable performance de l'entreprise peut parfois apparaître mystérieux, ou tout au moins pas immédiatement apparent. Mais le modèle est très clair et les entreprises peuvent s'étalonner à cette échelle. Nul n'a besoin d'être parfait, ou d'être accepté dans la communauté des élus. Mais être vu comme une organisation vraiment professionnelle implique d'atteindre au moins le niveau trois. La pression pour l'obtenir s'accroît car cette évaluation représente une lettre de référence de plus en plus demandée pour concourir dans les appels d'offre. Pas tous égaux ITSM a choisi une approche différente, globale. Les organisations qui appliquent les meilleures pratiques ITIL et qui démontrent une conformité complète peuvent se vanter d'une certification BS15000. Cette norme, publiée en 2000, promeut une solution intégrée pour la gestion des services, basée sur des processus. La norme comprend deux parties. La première est une liste d'éléments obligatoires que toute organisation doit respecter, sorte de kit de survie dans le monde du service IT. Un des problèmes vient du fait que, si leur environnement n'est pas hostile ou si leurs priorités business sont différentes, certaines entreprises fonctionnent très bien sans la panoplie complète. Le seul point important est l'évaluation du processus de décision qui conduit à cette cible. La seconde partie est un code de pratique comprenant les éléments à adresser pour obtenir la certification. C'est un ensemble d'orientations et de recommandations. De par sa conception, cette norme ne reconnaît que le blanc et le noir, nullement les dégradés de gris. Dans le système de certification de la BS15000, maintenant ISO/IEC 20000, vous êtes soit dedans soit dehors. Pourquoi ? Cette approche contredit l'esprit même d'ITIL. Le marché reconnaît les meilleures pratiques de gestion des services parce qu'elles sont basées sur le bon sens. Elles sont issues du terrain et non d'un modèle sur tableau noir. Les expériences, bonnes ou mauvaises, nous enseignent toutes la même chose : c'est bon d'avoir une vision et de la partager avant de prendre les décisions, mais c'est encore mieux d'avoir des objectifs intermédiaires. Limiter la certification aux entreprises ayant déployé complètement ITIL est préjudiciable au concept d'adoption des meilleures pratiques. Ne pas accepter les entreprises qui sont désireuses d'implémenter une bonne gestion de services mais sont encore à quelques longueurs d'une certification est plus un vote élitiste qu'une progression vers une informatique mieux gérée. Ne créez pas un modèle pour quelques uns donnez à chaque entreprise sur la voie de l'ITSM la chance d'être classée. Une vision applicable L'objectif est que les deux piliers de notre maison informatique, les opérations et les études, utilisant des modèles similaires de maturité, incorporent de multiples niveaux pour de multiples besoins. Vous pourriez choisir le bon niveau à viser, par exemple CMMI 3 et ITSM 4. Les deux référentiels de maturité reposant sur des processus fourniraient à l'organisation un guide efficace dans l'établissement de programmes d'amélioration. Des questionnaires de maturité compatibles donneraient une évaluation sur ces deux domaines nous pourrions même avoir un questionnaire commun. Cela construirait un cadre harmonisé de contrôle de l'informatique, aidant le management à obtenir une meilleure contribution de l'informatique aux objectifs métiers. Bien sûr, ce cadre contient d'autres référentiels (par exemple, ISO17799), ou méthodes (PMI ou Prince2 pour la gestion de projet). Enfin et surtout, n'oublions pas que l'informatique doit être aussi conçue pour les informaticiens. Elle doit être un centre de progrès et d'innovation, ainsi qu'un lieu d'intégration de meilleures pratiques et de méthodes. Et il y a un besoin de renforcer la cohérence et l'alignement dans cette boîte à meilleures pratiques. Le cur de toute grande ressource informatique, ce ne sont pas ses technologies et ses méthodes, mais ses hommes le facteur humain. Nous avons à définir les postes créés ou modifiés par les référentiels et à clarifier les rôles et responsabilités. L'impact sur le personnel est parfois dramatique et le mouvement vers un changement culturel est souvent vu comme la partie la plus difficile d'un projet ou programme. Regardons les choses en face et commençons à développer un référentiel de ressources humaines informatiques, couvrant tout au autant les métiers que l'informatique de l'entreprise. Ceux qui font la promotion d'ITIL doivent comprendre que dans certaines entreprises, une implémentation complète d'ITIL n'est pas souhaitable. Une solution qui apporte valeur, véritable conformité et mise en uvre adaptée, est nécessaire pour ces organisations qui trouvent qu'une cible au niveau cinq c'est deux étapes trop loin. Note pour la version française parue dans Information & Systèmes en octobre 2006. Une version anglaise de cet article a paru dans ITP Europe Report en novembre 2005. C'est justement pour éviter le « noir et blanc » et pour conserver le fondement du principe de la bonne pratique que l'itSMF France s'est engagé auprès de l'AFNOR. Thierry CHAMFRAULT y a pris la présidence de la commission de normalisation ISO/IEC 20000. L'objectif est bien d'augmenter le niveau d'applicabilité de la norme et ainsi de mettre les acteurs opérationnels dans une démarche conforme à ce quelle prétend être. * Président de l'ISTASE (Ecole d'ingénieurs de l'Université Jean Monnet de Saint-Etienne) - Vice-Président du Club Mines Informatique NDLR : L'article nous a été communiqué par l'auteur à Tunis à l'occasion de sa participation aux conférences sur l'ITIL, le COBIT et le CMMI, organisé par AB Consulting du 29 au 1er décembre 2006.