ITIL et la gouvernance des systèmes d’information

Dossier : Entreprise et managementMagazine N°628 Octobre 2007
Par Robert CHARBIT (78)

ITIL (Infor­ma­tion Tech­no­lo­gy Infra­struc­ture Libra­ry) sus­cite un inté­rêt crois­sant dans les entre­prises et les orga­nismes publics. Selon une enquête de Booz Allen Hamil­ton en 2005, ITIL était mis en œuvre dans un tiers des 500 pre­mières entre­prises mon­diales (les « For­tune 500 ») et à l’é­tude dans un autre tiers1 . Or, la pre­mière réac­tion à une pré­sen­ta­tion d’I­TIL est sou­vent la même : encore un réfé­ren­tiel ! Il est vrai qu’a­vec ISO 9001 pour la qua­li­té, CMMI pour le déve­lop­pe­ment, Cobit pour la gou­ver­nance, PMBOK et Prince 2 pour la conduite de pro­jet, Merise pour les ortho­doxes (et j’en oublie), nous sommes déjà bien ser­vis en normes, stan­dards ou méthodes cen­sés nous aider à mieux maî­tri­ser les sys­tèmes d’information.

L’in­té­rêt d’I­TIL est double. D’a­bord, les acro­nymes cités ci-des­sus couvrent essen­tiel­le­ment les pro­jets (le « build ») et beau­coup ne traitent pas les opé­ra­tions, le « run ». C’est cette faille que les concep­teurs d’I­TIL se sont effor­cés de com­bler. Secun­do, ce n’est ni une norme ni un stan­dard ni une construc­tion théo­rique, mais une syn­thèse des meilleures pra­tiques obser­vées dans des mil­liers d’en­tre­prises, orga­ni­sée de façon métho­dique et ras­sem­blée dans huit ouvrages de références.

ITIL se défi­nit donc comme une syn­thèse des meilleures pra­tiques de ges­tion des ser­vices informatiques.

Comme il serait pré­somp­tueux d’être défi­ni­tif sur ce que doivent être LES meilleures pra­tiques, ITIL est en évo­lu­tion per­ma­nente. La pre­mière ver­sion a été conçue au Royaume-Uni dans les années quatre-vingt, par le CCTA (Cen­tral Com­pu­ter & Tele­com­mu­ni­ca­tions Agen­cy), deve­nu l’OGC (Office of Govern­ment Com­merce). Je pré­sente ici la ver­sion 2, la plus cou­ram­ment répan­due. Une ver­sion 3 a été publiée en juin 2007, et me semble très prometteuse.

Principes

Voyons main­te­nant en quoi consiste la démarche. Pre­nons comme exemple une appli­ca­tion de ges­tion de la rela­tion client, uti­li­sée par des ingé­nieurs com­mer­ciaux dans une entre­prise indus­trielle. Cette appli­ca­tion pré­sente un bug aléa­toire d’o­ri­gine incon­nue qui inter­dit la mise à jour d’une fiche client.

Le pro­ces­sus de ges­tion des inci­dents consiste à réta­blir le fonc­tion­ne­ment nor­mal le plus rapi­de­ment pos­sible, en appli­quant par exemple une solu­tion de contournement.

Le pro­ces­sus de ges­tion des pro­blèmes réduit l’oc­cur­rence de tels inci­dents ou mini­mise leur impact. Dans le jar­gon ITIL, un pro­blème est la cause incon­nue d’un ou de plu­sieurs inci­dents. Dans notre exemple, une erreur de pro­gram­ma­tion est diag­nos­ti­quée, ce qui néces­site une cor­rec­tion et une nou­velle livrai­son de l’application.

La déci­sion d’au­to­ri­ser un chan­ge­ment dans l’in­fra­struc­ture relève du pro­ces­sus de ges­tion des chan­ge­ments, dont l’un des objec­tifs est de limi­ter l’im­pact néga­tif sur la qua­li­té de ser­vice. On éva­lue par exemple le risque de régres­sion appor­té par une nou­velle ver­sion de l’application.

Le déploie­ment de cette nou­velle ver­sion est alors coor­don­né par le pro­ces­sus de gestion des mises en pro­duc­tion, et enre­gis­tré par le pro­ces­sus de ges­tion des confi­gu­ra­tions.

Nous venons de voir les cinq pro­ces­sus de sou­tien des ser­vices, rela­tifs aux opé­ra­tions au jour le jour. Ces cinq pro­ces­sus sont pré­sen­tés plus en détail sur le sché­ma ci-après. Il existe éga­le­ment cinq pro­ces­sus de four­ni­ture des ser­vices : ges­tion des niveaux de ser­vice, ges­tion finan­cière, ges­tion de la capa­ci­té, ges­tion de la conti­nui­té de ser­vices et ges­tion de la dis­po­ni­bi­li­té ; et bien d’autres encore, plus rare­ment mis en œuvre.

Cer­tains parlent iro­ni­que­ment de boxo­lo­gie. La boxo­lo­gie (de l’an­glais box : boîte) est l’art de des­si­ner des boîtes reliées par des flèches. C’est un art très pri­sé dans cer­tains cénacles.

Quoi qu’il en soit, le réfé­ren­tiel ITIL va au-delà et défi­nit pour chaque pro­ces­sus les tâches élé­men­taires qui le com­posent, les étapes de sa mise en œuvre, les coûts, les béné­fices escomp­tés, les rôles asso­ciés, les outils et les indi­ca­teurs-clés de mesure.

Quels bénéfices ?

Concrè­te­ment, quels résul­tats en attendre ? Les expé­riences menées montrent un effet posi­tif sur cinq points :

  • la qua­li­té de service,
  • la baisse des coûts,
  • la réduc­tion des risques,
  • « l’a­gi­li­té », autre­ment dit un ser­vice réac­tif et évolutif,
  • enfin, la trans­pa­rence et l’a­mé­lio­ra­tion du dialogue.

Les points sur les­quels les attentes de nos clients sont les plus fortes sont géné­ra­le­ment la qua­li­té de ser­vice, l’a­gi­li­té et la transparence.

La réduc­tion des risques est de plus en plus prise au sérieux, en dépit du fait qu’elle ne se voit pas (jus­qu’à ce qu’il y ait un sinistre ou un acte de malveillance).

La baisse des coûts récur­rents peut être impor­tante. L’un des exemples les plus cités est celui de Proc­ter & Gamble, qui annonce avoir éco­no­mi­sé 125 mil­lions de dol­lars par an grâce à ITIL.

Facteurs de succès

Alors, faut-il s’en­ga­ger dans cette démarche ? Oui à cer­taines conditions.

Il faut tout d’a­bord s’en­tou­rer des com­pé­tences-clés. Il existe un cur­sus offi­ciel pour for­mer et cer­ti­fier des pro­fes­sion­nels ITIL. Cette cer­ti­fi­ca­tion doit s’ac­com­pa­gner d’une expé­rience signi­fi­ca­tive des ser­vices informatiques.

Je conseille ensuite de démar­rer pro­gres­si­ve­ment : ne pas trai­ter tous les pro­ces­sus d’emblée, mais com­men­cer par le plus rapide à mettre en œuvre, le plus tan­gible dans ses résul­tats escomp­tés, éven­tuel­le­ment sur un péri­mètre réduit.

Enfin : ne pas consi­dé­rer la méthode comme un dogme, accep­ter de s’en écar­ter si on a de bonnes rai­sons de le faire.

Perspective

Il y a enfin un domaine, dont le réfé­ren­tiel ITIL parle peu, mais où il pour­rait don­ner toute sa mesure : celui du e‑business.

Com­pa­rons les uti­li­sa­teurs employés d’une entre­prise, et ceux d’un ser­vice en ligne comme Google, Ama­zon, e‑Bay, Lin­ke­dIn, Mee­tic, Bour­so­ra­ma, Monster :

  • les pre­miers se comptent en mil­liers, les autres en millions,
  • les pre­miers sont « cap­tifs », iden­ti­fiés, pas les seconds,
  • les pre­miers ont sou­vent des horaires de bureau, ce qui per­met des opé­ra­tions de main­te­nance la nuit et le week-end ; les seconds, répar­tis sur tous les fuseaux horaires, doivent être ser­vis 24 heures sur 24 et 7 jours sur 7.

Cela a des consé­quences impor­tantes sur les contraintes de pro­duc­tion. Pour un ser­vice en ligne, les pics de charge, les contraintes sur les temps de réponse, les menaces sur la sécu­ri­té des tran­sac­tions prennent une acui­té par­ti­cu­lière. La qua­li­té de ser­vice se tra­duit, non plus seule­ment en coûts et en éco­no­mies, mais en gains ou pertes immé­diates de parts de mar­ché. Voi­là un domaine dans lequel ITIL prend toute sa dimension.

1. Cité dans www.enterpriseleadership.org, inter­view de Daniel M. Gas­par­ro, Chief Tech­no­lo­gist de Booz Allen.

Poster un commentaire