Conservatoire national des arts et métiers - Centre de Marne la Vallée L'ITIL : Un référentiel pour la qualité des systèmes d'information

Conservatoire national des arts et métiers - Centre de Marne la Vallée L'ITIL : Un référentiel pour la qualité des systèmes d'information Mémoire d'examen probatoire en informatique soutenu le vendredi 25 mars par Nicolas Dewaele

Table des matières Introduction :...3 I- ITIL : Avantages et limites...4 1- Les avantages de la mise en œuvre de l'itil...4 1.1- Avantages pour le fournisseur de services...4 1.2- Avantages pour les utilisateurs et clients...5 2- Limites de l'itil...6 II- Comment justifier la mise en œuvre d'itil?...7 1- A quels résultats peut-on s'attendre, comment les calculer?...7 1.1- Ce que disent les enquêtes actuelles...7 1.2- Mesure des résultats et retour sur investissement (ROI)...7 2- L'ITIL dans un contexte de grande entreprise...8 3- La mise en place d'itil pour les PME/PMI...9 III- Comparaison avec d'autres modèles du domaine...10 1- Les normes spécifiques aux technologies de l'information...10 1.1 BS 15000 puis ISO 20000...10 1.2 La suite ISO 27k spécialisée en sécurité des SI...10 2- Les méthodes agiles...11 3- Les autres modèles de bonnes pratiques...11 3.1 CMMI s'applique sur les pratiques de développement et maintenance...11 3.2 COBIT, le référentiel de la gouvernance informatique...12 3.3 S3M, le modèle de la maintenance informatique...12 3.4 escm, le référentiel de l'infogérance...13 4- Conclusion sur les autres modèles :...13 Conclusion :...14 Annexe 1 : Sources :...15 Enquêtes et statistiques :...15 Livres :...15 Sites Internet :...15 Annexe 2 : Exemples de cycles de traitement :...16 Cycle de traitement des incidents :...16 Cycle de traitement des problèmes :...17 Cycle de traitement des changements :...18 Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 2

Introduction : L'ITIL (Information Technology Infrastructure Library) est un ensemble de livres édictant les bonnes pratiques en management des systèmes d'information. Le but de ce référentiel était de s'appuyer sur l'expérience des acteurs de ce domaine pour créer un guide de référence que les entreprises puissent adapter à leur besoin (pas forcément de manière littérale, contrairement à une norme). L'ITIL permet de contrôler et assurer la qualité dans un service informatique, grâce à une approche par services et par processus. Elle suit le modèle de Demming, conduisant à l'amélioration continue et à une plus grande satisfaction client. Après deux réorganisations de la librairie, la version 3 est apparue en 2007. Les objectifs étaient : de suivre au mieux les tendances du marché des IT de prendre en compte les externalisations grandissantes des services d'être applicable à toutes les structures (y compris les PME et TPE). Ce référentiel est désormais reconnu comme la référence du domaine de la production informatique. Son slogan "adopter et adapter" indique que toutes les organisations peuvent l'utiliser. Dans les faits, on le voit principalement utilisé dans les grandes structures et de manière très disparate, puisque chacun a la possibilité d'avancer à son rythme. Dans ce dossier, je vais essayer de démontrer en quoi l'itil peut aider les entreprises pour l'organisation de leur système d'information et par quels modèles il peut être complété ou remplacé. Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 3

I- ITIL : Avantages et limites Le choix d'implémenter l'itil dans une entreprise n'est pas anodin. Cela impose un investissement financier lourd et un changement profond, pas toujours bien perçu de la part du personnel. Cependant, les avantages en terme d'organisation et de productivité sont conséquents. 1- Les avantages de la mise en œuvre de l'itil L'ITIL est un modèle éprouvé depuis plus de vingt ans, qui s'est imposé comme la référence. Adopté par les grands noms du domaine (IBM, Sun, HP, Microsoft), il devient le standard de fait. Il permet à tous (clients internes, externes, fournisseurs) d'avoir des méthodes et un langage commun. 1.1- Avantages pour le fournisseur de services L'avantage premier est un gain en efficacité et en productivité. Toute l'expérience de l'entreprise en informatique est capitalisée, tracée, suivie. Au fil du temps, la qualité s'améliore et apporte une confiance supplémentaire de l'entreprise dans son service informatique. L image de la direction informatique change grâce à : une meilleure compréhension des attentes une réduction des motifs d insatisfaction une rationalisation de la communication La mise en place du centre de services et du système de gestion des incidents permet une meilleure communication et une réponse plus rapide et plus efficace aux besoins des utilisateurs. Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 4

D'un point de vue financier, cela apporte plus de transparence, ce qui permet de justifier l'allocation de ressources au service informatique quand c'est nécessaire. Avantages en interne, dans le service informatique : Tout est documenté, formalisé La communication interne est meilleure (ce qui est essentiel quand on service utilise de nombreux intervenants). Il est plus facile de faire des audits réguliers sur le service On passe progressivement d'une approche réactive à une approche proactive Enfin, la gestion du service est elle aussi améliorée : Les ressources humaines sont optimisées (utilisation de la bonne compétence au bon moment). Les besoins en formation et en ressources sont plus facilement identifiées Les coûts de service sont transparents et maîtrisés 1.2- Avantages pour les utilisateurs et clients Le principal avantage pour le client est que l'itil est orienté avant tout vers l'amélioration de la satisfaction client et la conformité du service fourni. Cela permet d'augmenter la confiance dans le service informatique. Les tâches et le rôle de chacun sont cadrés. Les relations entre le fournisseur et le client sont simplifiées grâce au point de contact unique. On perd moins de temps à chercher des solutions ou des informations par soimême ou auprès des collègues. La gestion des incidents est améliorée : Toutes les requêtes sont enregistrées et traitées. L'impact des incidents est donc minimisé. Les délais de résolution tiennent compte des impératifs du métier. Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 5

2- Limites de l'itil Avant tout, Itil n'est pas un outil suffisant en soi. Il pose un cadre de référence que l'on peut adapter, mais il nécessite un investissement lourd, notamment en ressources humaines et en progiciels de gestion et d assistance. Parmi les inconvénients de ce référentiel, on peut citer la lourdeur de sa mise en œuvre. En effet, les entreprises qui se lancent dans un projet ITIL doivent avoir conscience que cela peut prendre plusieurs années (de 1 à 5 ans pour la plupart des entreprises 1 ). Cet investissement va donc devoir se justifier auprès des décideurs qui ne sont pas du domaine. C'est également un problème récurrent pour les entreprises : il est difficile de démontrer des preuves factuelles du retour sur investissement. Aussi des enquêtes successives 2 montrent que les entreprises semblent convaincues que l'itil permet d'améliorer la qualité de service, sans toutefois être capable de le démontrer formellement. Toujours d'après ces enquêtes, de nombreuses entreprises se déclarent sensibilisées aux bonnes pratiques mais les projets tardent à se concrétiser. Par exemple, 4 ans après sa création, le passage à ITILv3 n'est toujours pas lancé dans de nombreuses entreprises utilisant l'ancienne version. Enfin, le référentiel est principalement axé sur la partie production du système d'information et on lui reproche des lacunes dans certains domaines : peu ou pas de préconisation pour la sécurité pas de préconisations concernant la gouvernance du système d'information pas de préconisations pour le développement d'applications un nombre de traductions limitées pour les entreprises multinationales 1 Enquête Devoteam 2010 (voir en annexe 1) 2 Voir les sources en annexe 1 Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 6

II- Comment justifier la mise en œuvre d'itil? 1- A quels résultats peut-on s'attendre, comment les calculer? 1.1- Ce que disent les enquêtes actuelles 3 Parmi les entreprises interrogées, ayant mis en œuvre les recommandations ITIL on peut retenir les tendances suivantes : La plupart des personnes interrogées reconnaissent les bénéfices de ce référentiel et sont prêtes à le recommander à leurs confrères. Les principaux avantages reconnus concernent l'amélioration de la qualité et de la continuité de service. Toujours selon ces enquêtes, des réticences persistent, quant à : la résistance aux changements dans l'entreprise le manque de soutien des directions la valeur ajoutée et le retour sur investissement difficiles à prouver. 1.2- Mesure des résultats et retour sur investissement (ROI) Pour justifier l'investissement auprès des décideurs, il faut pouvoir calculer le retour sur investissement or c'est l'une des principales faiblesses de l'itil. Le problème de ce calcul est qu'il n'y a pas beaucoup de statistiques sur le sujet et que les économies liées ne sont pas forcément directes, il s'agit plutôt de gains de productivité, calculables sur le long terme. Par exemple, l'itil permet de réduire les tâches de dernières minutes, non prévues. Cette réduction a un coût difficilement mesurable. Selon une étude 4, une entreprise qui passerait d'aucune implémentation à une implémentation complète pourrait réduire son coût total de possession (TCO) de plus de 48 %. Ce calcul prend en compte tous les coûts (coût de la librairie, formation du personnel, temps de travail, outils, ). 3 Voir les sources en annexe 1 4 Étude de Gartner en 2006 (voir en annexe 1) Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 7

Un outil de calcul ainsi que des études de cas ont été publiées par l'itsm academy 5. Ces études effectuées par divers organismes connus dans le domaine, donnent une idée des retours sur investissement possibles. Selon ces études de cas, l'itil s'est appliqué dans des organisations de domaines complètement différents (informatique, finance, administrations, santé, industries, ) et chacun a pu y trouver son compte. Deux exemples variés de ces études de cas : Birlasoft, une grande entreprise de services en informatique se lance dans un projet ITIL dans le but d'améliorer la livraison de service et le temps de réponse à l'utilisateur. Les demandes d'incidents ont diminué de 22%, les appels de 80% et le temps de résolution des problèmes de 10%. Le retour sur investissement à été évalué à 6 mois. L'état de Caroline du Nord s'est lancé dans l'itil pour la gestion des incidents et la gestion des changements. En moins de trois mois, ils ont augmenté les résolutions d'incidents de 32%, réduit le nombre d'incidents et la durée des pannes. 2- L'ITIL dans un contexte de grande entreprise Toujours selon les études publiées, et d'après les avantages listés précédemment, l'itil est particulièrement adapté aux grandes entreprises, et particulièrement celles qui travaillent dans un contexte de production informatique. Il semble que les principaux acteurs du domaine soient conscients des avantages de ce référentiel. Cependant, il n'est pas aisé de démontrer ces avantages aux décideurs non informatique. Pour cela, il faut être capable de répondre aux questions suivantes : Comment prouver l'amélioration des performances et la réduction des coûts? Comment prouver les avantages réels d'itil? Comment peut-on mesurer la maturité des processus ITIL? 5 ROI Calculator et études de cas de l'itsm (voir en annexe 1) Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 8

3- La mise en place d'itil pour les PME/PMI «ITIL profite et s applique à tous les départements informatiques, indépendamment de leur taille» 6. Les organismes du domaine font des efforts en faveur des petites entreprises : L'itSMF (forum pour la gestion des services IT) travaille pour aider les PMI/PME à intégrer l'itil. La librairie ITIL elle-même a pris en compte dans sa version 3 les contraintes des petites structures. Comme il ne s'agit que d'un cadre de travail, chaque entreprise est libre de l'adapter à ses besoins. Il faut donc réfléchir aux domaines qui vont générer le plus d'avantage pour l'entreprise. La base concernent le soutien des service avec les processus suivants couramment déployés (voir un cas d'entreprise en annexe 2) : La gestion des incidents La gestion des problèmes La gestion des changements La gestion des configurations La seule mise en place de ces processus de base demandent un travail très important pour une PME. Ce travail s'effectue le plus souvent de manière progressive au fil du temps. Malgré cela, le référentiel ITIL reste populaire dans les très grandes structures mais assez peu déployé dans les PME-PMI et collectivités. 6 itsmf IT Service Management, Version 2 Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 9

III- Comparaison avec d'autres modèles du domaine 1- Les normes spécifiques aux technologies de l'information 1.1 BS 15000 puis ISO 20000 Une norme permet à une organisation de certifier la qualité de son travail. La norme de management de la qualité ISO 9000 est trop généraliste pour s'adapter précisément au domaine de l'informatique. Vu le succès grandissant de l'itil la norme BS 15000 a vu le jour dans le but de créer les bases d'une future norme internationale. Depuis 2005, la norme ISO/CEI 20000 l'a remplacé. Bien que les textes n'y fassent pas officiellement référence, cette norme est très calquée sur les recommandations de l'itil. Les avantages de la normalisation ISO sont : Démontrer formellement la conformité d'une organisation aux bonnes pratiques (et non pas seulement la celle des individus). Permettre aux entreprises de communiquer sur le respect des meilleures pratiques (on peut faire valoir une certification mais pas l'usage d'itil). Rendre la qualité des services informatiques homogène. Assurer la qualité de service aux clients. Appliquer le principe de l'amélioration continue pour le fournisseur de services. 1.2 La suite ISO 27k spécialisée en sécurité des SI Une norme ISO/CEI a également vu le jour, qui concerne spécifiquement les systèmes de gestion de la sécurité de l'information. Il s'agit d'un ensemble de plusieurs standards, déjà publiés et en cours de publication. Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 10

2- Les méthodes agiles Il s'agit ici d'un ensemble de méthodes de travail, plutôt utilisées dans le contexte du génie logiciel. Ces méthodes sont officialisées par le manifeste pour le développement agile 7. Parmi ces méthodes, citons notamment le développement rapide d'applications (RAD), le Scrum et l'extreme programming (XP). Ces méthodes ont l'avantage d'être très réactives face aux exigences du client. Elles font appel à des développements itératifs et elles impliquent beaucoup le client dans le développement du projet. Les méthodes agiles ne sont pas portées par un organisme, et ne font donc pas l'objet de livres, formations ou certifications officiels. 3- Les autres modèles de bonnes pratiques 3.1 CMMI s'applique sur les pratiques de développement et maintenance Le CMMI (modèle intégré du niveau de maturité) est un modèle d'évaluation de la conformité à de bonnes pratiques en développement et maintenance logicielle. Le but de CMMI est : de pouvoir évaluer sa capacité en gestion de projets d'avoir une comparaison de sa performance par rapport aux autres de réduire les coûts de production sans réduire la qualité du service d'anticiper le coût réel des produits d'intégrer des sous-traitants dans la production de logiciels Il existe cinq niveaux de maturité dans ce référentiel. Le SEI ou les organismes qualifiés auditent l'entreprise qui souhaite se faire certifier CCMI. Un audit est nécessaire pour chaque passage d'un niveau à un autre. 7 Manifeste des méthodes Agiles (voir en annexe 1) Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 11

Les avantages du CMMI sont : Des processus standardisés donc une amélioration de la productivité Des risques anticipés, et donc des problèmes évités Une amélioration de la qualité Une amélioration de la satisfaction client Rationalisation des coûts Même s'il ne s'agit que de règles de bonnes pratiques, CMMI permet de communiquer sur la qualité de service face aux grands décideurs. Il tend à devenir un critère de sélection pour obtenir certains marchés. 3.2 COBIT, le référentiel de la gouvernance informatique Le COBIT (contrôle de l information et des technologies associées) est un référentiel complémentaire à ITIL et aux normes existantes. Il concerne la gouvernance des systèmes d'information. C'est un cadre de travail qui permet de rationaliser la gestion des risques et des investissements. Il permet la définition d'indicateurs pour mesurer l'adéquation entre le fonctionnement de la DSI et les objectifs de l'entreprise. L'apport attendu de Cobit est une progression en terme de : réduction des risques liés au système d'information adéquation entre les objectifs de la DSI et ceux de l'entreprise allocation des ressources 3.3 S3M, le modèle de la maintenance informatique Ce modèle est présenté comme complémentaire aux grands référentiels. Il est surtout axé sur la petite maintenance logicielle 8 que n'abordent pas directement les autres modèles. Il existe des certifications S3M individuelles pour devenir évaluateur interne ou évaluateur externe. 8 D'après le site officiel du S3M : http://www.s3m.ca/fr/aboutus/faq.html Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 12

3.4 escm, le référentiel de l'infogérance esourcing Capability Model est un modèle d'évaluation concernant la relation client fournisseur. Une entreprise peut ainsi évaluer la qualité du service fourni par le prestataire. Il a donc pour principal intérêt de fournir une base commune d'exigences, et peut donc servir d'argument marketing pour les sociétés de services. 4- Conclusion sur les autres modèles : Parmi cette liste non exhaustive de modèles, normes et références, ceux qui se sont le plus imposés en entreprise sont les suivants : Cobit est le référentiel de gouvernance. La partie métier est plutôt gérée par CMMI et les méthodes agiles pour la partie développement et par ITIL pour la partie production et maintenance. Si l'entreprise a besoin de normaliser ses pratiques, elle fera appel aux normes ISO 20000 et 27000. Enfin pour la qualité dans l'entreprise (non spécifique à l'informatique), les normes ISO 9000 sont les plus utilisées. Toutes ces pratiques sont complémentaires les unes des autres. Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 13

Conclusion : D'après ce que vous avez pu voir dans ce rapport, l'itil demeure le référentiel de référence en gestion des systèmes d'information. De nombreuses entreprises du domaine connaissent cette norme et s'appuient dessus pour organiser leurs services informatiques. Il existe de nombreuses méthodes de bonnes pratiques pour les technologies de l'information. Ces méthodes étant complémentaires les unes des autres, il convient de choisir la méthode la plus appropriée au besoin du service informatique. ITIL est surtout utilisé pour les grandes structures et les entreprises qui travaillent dans un contexte de production. Les PME n'ont pas forcément les moyens humains et financiers pour se lancer dans ces projets. Pour les entreprises qui sont sensibilisées aux bonnes pratiques ITIL et souhaitent en faire un argument de vente, les normes ISO 20000, plutôt boudées pour le moment seront peut être très utilisées par la suite. Il est possible que ces normes deviennent dans le futur un critère de sélection fondamental pour les appels d'offre du domaine de la production informatique. Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 14

Annexe 1 : Sources : Enquêtes et statistiques : Les enquêtes et statistiques présentes dans ce document sont tirées de : Les enquêtes annuelles sur l'itil par Devoteam. Celle de l'année 2010 peut se télécharger à cette adresse : http://www.devoteam.fr/images/file/enquete_itil_2010_fr_100310.pdf L'étude de BMC Software et Compass MC datant de 2007 présentées dans le livre «ITIL, pour un service informatique optimal» L'étude de Gartner datant de 2006 également présentée dans le livre «ITIL, pour un service informatique optimal» Livres : «ITIL, pour un service informatique optimal», éditions Eyrolles «Comprendre ITIL V 3 - Normes et meilleures pratiques pour évoluer vers ISO 20000», éditions ENI Sites Internet : Journal du Net (nombreux dossiers sur l'itil) : http://www.journaldunet.com Enquête Devoteam : La progression lente mais assurée d ITIL. ITSM Calculateur de ROI et études de cas Manifeste des méthodes agiles : http://agilemanifesto.org/iso/fr/ Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 15

Annexe 2 : Exemples de cycles de traitement : Ces cycles de traitements sont des exemples de mise en œuvre des processus ITIL de base dans un service support informatique d'une grande entreprise française. Cycle de traitement des incidents : Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 16

Cycle de traitement des problèmes : Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 17

Cycle de traitement des changements : Examen probatoire Nicolas Dewaele - 23 mars 2011 - Page 18