ITIL et la gouvernance des systèmes d’information
ITIL (Information Technology Infrastructure Library) suscite un intérêt croissant dans les entreprises et les organismes publics. Selon une enquête de Booz Allen Hamilton en 2005, ITIL était mis en œuvre dans un tiers des 500 premières entreprises mondiales (les « Fortune 500 ») et à l’étude dans un autre tiers1 . Or, la première réaction à une présentation d’ITIL est souvent la même : encore un référentiel ! Il est vrai qu’avec ISO 9001 pour la qualité, CMMI pour le développement, Cobit pour la gouvernance, PMBOK et Prince 2 pour la conduite de projet, Merise pour les orthodoxes (et j’en oublie), nous sommes déjà bien servis en normes, standards ou méthodes censés nous aider à mieux maîtriser les systèmes d’information.
L’intérêt d’ITIL est double. D’abord, les acronymes cités ci-dessus couvrent essentiellement les projets (le « build ») et beaucoup ne traitent pas les opérations, le « run ». C’est cette faille que les concepteurs d’ITIL se sont efforcés de combler. Secundo, ce n’est ni une norme ni un standard ni une construction théorique, mais une synthèse des meilleures pratiques observées dans des milliers d’entreprises, organisée de façon méthodique et rassemblée dans huit ouvrages de références.
ITIL se définit donc comme une synthèse des meilleures pratiques de gestion des services informatiques.
Comme il serait présomptueux d’être définitif sur ce que doivent être LES meilleures pratiques, ITIL est en évolution permanente. La première version a été conçue au Royaume-Uni dans les années quatre-vingt, par le CCTA (Central Computer & Telecommunications Agency), devenu l’OGC (Office of Government Commerce). Je présente ici la version 2, la plus couramment répandue. Une version 3 a été publiée en juin 2007, et me semble très prometteuse.
Principes
Voyons maintenant en quoi consiste la démarche. Prenons comme exemple une application de gestion de la relation client, utilisée par des ingénieurs commerciaux dans une entreprise industrielle. Cette application présente un bug aléatoire d’origine inconnue qui interdit la mise à jour d’une fiche client.
Le processus de gestion des incidents consiste à rétablir le fonctionnement normal le plus rapidement possible, en appliquant par exemple une solution de contournement.
Le processus de gestion des problèmes réduit l’occurrence de tels incidents ou minimise leur impact. Dans le jargon ITIL, un problème est la cause inconnue d’un ou de plusieurs incidents. Dans notre exemple, une erreur de programmation est diagnostiquée, ce qui nécessite une correction et une nouvelle livraison de l’application.
La décision d’autoriser un changement dans l’infrastructure relève du processus de gestion des changements, dont l’un des objectifs est de limiter l’impact négatif sur la qualité de service. On évalue par exemple le risque de régression apporté par une nouvelle version de l’application.
Le déploiement de cette nouvelle version est alors coordonné par le processus de gestion des mises en production, et enregistré par le processus de gestion des configurations.
Nous venons de voir les cinq processus de soutien des services, relatifs aux opérations au jour le jour. Ces cinq processus sont présentés plus en détail sur le schéma ci-après. Il existe également cinq processus de fourniture des services : gestion des niveaux de service, gestion financière, gestion de la capacité, gestion de la continuité de services et gestion de la disponibilité ; et bien d’autres encore, plus rarement mis en œuvre.
Certains parlent ironiquement de boxologie. La boxologie (de l’anglais box : boîte) est l’art de dessiner des boîtes reliées par des flèches. C’est un art très prisé dans certains cénacles.
Quoi qu’il en soit, le référentiel ITIL va au-delà et définit pour chaque processus les tâches élémentaires qui le composent, les étapes de sa mise en œuvre, les coûts, les bénéfices escomptés, les rôles associés, les outils et les indicateurs-clés de mesure.
Quels bénéfices ?
Concrètement, quels résultats en attendre ? Les expériences menées montrent un effet positif sur cinq points :
- la qualité de service,
- la baisse des coûts,
- la réduction des risques,
- « l’agilité », autrement dit un service réactif et évolutif,
- enfin, la transparence et l’amélioration du dialogue.
Les points sur lesquels les attentes de nos clients sont les plus fortes sont généralement la qualité de service, l’agilité et la transparence.
La réduction des risques est de plus en plus prise au sérieux, en dépit du fait qu’elle ne se voit pas (jusqu’à ce qu’il y ait un sinistre ou un acte de malveillance).
La baisse des coûts récurrents peut être importante. L’un des exemples les plus cités est celui de Procter & Gamble, qui annonce avoir économisé 125 millions de dollars par an grâce à ITIL.
Facteurs de succès
Alors, faut-il s’engager dans cette démarche ? Oui à certaines conditions.
Il faut tout d’abord s’entourer des compétences-clés. Il existe un cursus officiel pour former et certifier des professionnels ITIL. Cette certification doit s’accompagner d’une expérience significative des services informatiques.
Je conseille ensuite de démarrer progressivement : ne pas traiter tous les processus d’emblée, mais commencer par le plus rapide à mettre en œuvre, le plus tangible dans ses résultats escomptés, éventuellement sur un périmètre réduit.
Enfin : ne pas considérer la méthode comme un dogme, accepter de s’en écarter si on a de bonnes raisons de le faire.
Perspective
Il y a enfin un domaine, dont le référentiel ITIL parle peu, mais où il pourrait donner toute sa mesure : celui du e‑business.
Comparons les utilisateurs employés d’une entreprise, et ceux d’un service en ligne comme Google, Amazon, e‑Bay, LinkedIn, Meetic, Boursorama, Monster :
- les premiers se comptent en milliers, les autres en millions,
- les premiers sont « captifs », identifiés, pas les seconds,
- les premiers ont souvent des horaires de bureau, ce qui permet des opérations de maintenance la nuit et le week-end ; les seconds, répartis sur tous les fuseaux horaires, doivent être servis 24 heures sur 24 et 7 jours sur 7.
Cela a des conséquences importantes sur les contraintes de production. Pour un service en ligne, les pics de charge, les contraintes sur les temps de réponse, les menaces sur la sécurité des transactions prennent une acuité particulière. La qualité de service se traduit, non plus seulement en coûts et en économies, mais en gains ou pertes immédiates de parts de marché. Voilà un domaine dans lequel ITIL prend toute sa dimension.
1. Cité dans www.enterpriseleadership.org, interview de Daniel M. Gasparro, Chief Technologist de Booz Allen.