L’objectif de cet article n’est pas de décrire précisément les différentes normes et référentiels, mais de positionner le champ d’application des différents outils et méthodes et de donner quelques références permettant si besoin d’approfondir.
CobiT, ITIL, RiskIT, ValIT, CMMI, ISO Comment s’y retrouver ?
Il est de plus en plus difficile de positionner les référentiels dans les domaines métiers de l’informatique que sont « la Production », « les Projets » ou « le Management ». Pour faire simple, l’ITIL est plutôt positionné pour la Production, CMMI pour la gestion des développements de projets et COBIT pour le management de la DSI. Pour COBIT et ITIL, le positionnement était beaucoup plus tranché il y a cinq ans. Une sorte de compétition est perceptible entre les différentes associations (ISACA pour le COBIT et itSMF pour l’ITIL) soutenant ces référentiels. Le marché sous-jacent est important (Certifications, Publications, Conseils…) et renforce cette concurrence. Ceci fait que version après version les processus de ces référentiels sont de plus en plus communs et imbriqués. Pour CMMI, l’approche est un peu différente. CMMI est très orienté qualification d’une organisation ou d’un projet. CMMI est un peu devenu un « sésame » incontournable pour beaucoup de sociétés de services. Les appels d’offres des grandes entreprises exigent de plus en plus souvent un niveau de certification CMMI comme prérequis. ValIT et RiskIT sont apparus récemment et ne sont pas encore beaucoup développés dans les entreprises. RiskIT a un positionnement extrêmement focalisé sur la gestion des Risques et cela le rend assez original. ValIT est beaucoup plus large et va du suivi du schéma directeur à la construction budgétaire. Certains de ses processus sont également abordés dans le chapitre «Planifier et Organiser» du COBIT. L’ISO reste très « normatif » et pratiquement toujours utilisée dans un cadre plus large au niveau de l’entreprise.
En pratique …
Le recouvrement et la tendance un peu « commerciale » des différents référentiels ne doivent pas cacher leur richesse et ne doivent pas nous décourager de nous y intéresser. Au contraire, nous avons la chance que notre profession soit très bien documentée et il faut en tirer parti. Il serait ridicule de «réinventer la roue». Cependant, il convient de construire sa propre démarche d’analyse et d’implémentation et de l’adapter à son environnement, à la culture de son entreprise et à la taille de ses équipes. Les 34 processus du COBIT ne sont pas forcément directement applicables dans toutes les entreprises et la complétude de leur implémentation peut être perçue comme lourde et très « administrative ». Les acteurs du projet doivent se retrouver dans la démarche et il vaut mieux une implémentation incomplète, comprise et partagée, qu’une complète, mais mal acceptée et partiellement assimilée.
S’appuyer sur des standards internationaux reconnus est également rassurant pour une direction générale. Les comparatifs externes existent et il est plus facilement possible de dialoguer avec les auditeurs sur des pratiques standardisées plutôt que sur des pratiques spécifiques. Cependant, je pense que le « jargon » employé par ces différents référentiels est extrêmement typé informatique et ce n’est probablement pas le meilleur outil de communication avec une direction générale. Je ne suis pas certain que les indicateurs du processus de Gestion des incidents de l’ITIL ou du processus REQM de gestion des exigences soient pertinents au niveau d’une instance de gouvernance d’entreprise. L’ensemble de ces « bonnes pratiques » est avant tout destiné aux professionnels de l’informatique pour leur permettre de gérer au mieux leurs activités. La Direction des Systèmes d’Information doit utiliser les mêmes indicateurs de performance que les autres directions de l’entreprise pour communiquer avec la direction générale par exemple : – la mesure de la performance, le pilotage et le contrôle des coûts, – la capacité à accompagner la stratégie de l’entreprise, – la contribution à la performance de l’entreprise, – la gestion des actifs matériels et immatériels, – la gestion des ressources humaines et de la sous-traitance, – la capacité à générer de la Valeur pour l’entreprise, – le respect de la réglementation et la maitrise des risques. Il faudra donc établir un lien entre les indicateurs opérationnels dédiés à l’évaluation du bon fonctionnement au quotidien de la fonction informatique et les indicateurs de gouvernance destinés à répondre aux préoccupations de la direction générale.
—-
Pierre-Marie Moulière (M12) DSI, Arc International