Mai 2009 LES SYNTHÈSES SOLUCOM. n 34. Observatoire KLC du management des systèmes d information. Les référentiels SI : comment s en servir?

Mai 2009 LES SYNTHÈSES SOLUCOM n 34 Observatoire KLC du management des systèmes d information Les référentiels SI : comment s en servir?

Les référentiels SI Le Sourcing des études Catherine Le Louarn est membre du comité directeur du cabinet Solucom et Directeur Général de KLC, qu elle a rejoint en 1998. Ingénieur en Génie Informatique, elle conduit depuis 10 ans d importantes missions d appels d offres, négociations ou audits pour des opérations d externalisation, d intégrations et de TMA. Elle intervient régulièrement sur le thème de la contractualisation interne des services informatiques et sur la structuration des relations Métiers / informatique dans les entreprises. catherine.lelouarn@solucom.fr Pierre-Louis Moulin est manager au sein de la practice Gouvernance SI depuis juin 2008. Il est diplômé du MBA HEC. Il conduit des missions de sourcing internationales (stratégie et appels d offres) et de gouvernance du SI (organisation, maîtrise des coûts du SI, gestion des portefeuilles de projets du SI). Pierre-Louis est certifié ITIL Foundation V3 et expert sur les référentiels informatiques au sein de la practice Gouvernance SI. pierre-louis.moulin@solucom.fr Pierre-Yves Gergelé est consultant au sein de la practice Gouvernance SI depuis octobre 2007. Il est diplômé de Supélec. Il intervient dans le cadre de missions de sourcing (conduite d appels d offres d infogérance) et de gouvernance du SI, notamment sur la gestion de portefeuille de projets. pierre-yves.gergele@solucom.fr 2 Les Synthèses Solucom - Mai 2009

ÉDITO Comment utiliser les référentiels des SI? Les DSI se sont rencontrés, sont «sortis de la mine» et ont échangé sur ce qui fonctionnait vraiment chez eux. Ainsi sont les nés les référentiels SI. Et c est pour cela qu ils ont du succès. Nous avons rencontré des DSI et des responsables informatiques en décembre 2008 afin de traiter la question de la mise en œuvre. Car la question de Catherine Le Louarn l utilité des référentiels ne se pose plus! Au point que certains sont devenus de véritables standards. Pour autant, à y regarder de plus près, les difficultés ne manquent pas, bien au contraire. Certes, ITIL s est fait une place de choix dans les activités de service management. Assurément, CMMI s est montré leader dans les problématiques d organisation des projets. Mais ces besoins ne cessent d évoluer! Et puis, ce qui fait encore trop souvent défaut, c est la capacité des DSI à démontrer la valeur ajoutée du SI au business. S y ajoutent des enjeux renouvelés de gouvernance : des technologies, des budgets, des risques, des clients internes et des prestataires Pierre-Louis Moulin (internes ou externes). Face à ces défis difficiles, les référentiels ont changé. Ceux-ci sont devenus plus ambitieux, plus difficiles à discerner également. Ainsi ITIL V3 parle-t-il à présent de la «Stratégie des services SI» et de l «Amélioration permanente des services fournis». Ces questions n étaient-elles pas auparavant l affaire du CobiT? En tout cas, cela avait quelque chose de rassurant et de simplificateur. Chaque référentiel avait, en quelque sorte, pour qui voulait se représenter les principaux d entre eux dans un tout cohérent, son propre «territoire». Voici que cette vision est désormais dépassée. Il nous paraît Pierre-Yves Gergelé intéressant de passer un moment avec vous à les comparer, au stade où ils en sont aujourd hui. Quitte à vous proposer parfois notre avis inévitablement subjectif sur les choix à faire. Et puis, cette question du «comment» reste donc ouverte. Certes, on «sait» bien mettre en œuvre un Service Desk aujourd hui grâce à ITIL. Mais sait-on, par exemple, comment mieux collaborer avec nos prestataires, y compris sur la durée? Sait-on comment diagnostiquer puis transformer une organisation SI, quitte à se servir en même temps de plusieurs référentiels? Cela nous semble un bon moment pour redécouvrir ces outils et, avec eux, quelques vérités tenaces. Bonne lecture! Catherine Le Louarn Mai 2009 - Les Synthèses Solucom 3

Les référentiels SI Le Sourcing des études Alignez votre stratégie SI sur le Business avec CobiT Le besoin de retours sur les investissements SI, de maîtrise des risques et de contrôle de l information sont des éléments clés de la gouvernance d entreprise. Quelques mots CobiT (Control Objectives for Information and related Technology) fournit un ensemble de bonnes pratiques au travers d un modèle comprenant des domaines, des processus et des pratiques. CobiT propose également des guides thématiques pour gérer et auditer son SI (exemple : il existe un guide sur la prise en compte des contraintes Sarbanes-Oxley). Ces pratiques, très orientées processus business de l entreprise et non processus techniques de réalisation d opérations informatiques, sont des aides pour optimiser les investissements informatiques, contrôler le service fourni et disposer d une méthode de mesure pour l auto-évaluation d une organisation. Les 34 processus définis par CobiT subdivisent la gestion du SI en quatre domaines. Pour chaque processus, CobiT fournit l objectif métier devant être atteint grâce à ce processus du SI, puis les objectifs de contrôle SI détaillés à réaliser, ainsi qu une une liste de métriques pour piloter la performance. Interactions entre les 4 domaines CobiT CobiT comprend un modèle de maturité, inspiré de CMMI, permettant d évaluer une organisation (dans le cadre d un benchmark). Ce modèle note chacun des processus du CobiT sur une échelle de 0 (non-existant) à 5 (optimisé) puis dresse un profil de maturité globale de l organisation. Périmètre, public visé CobiT traite de l ensemble des aspects ayant un impact sur l alignement de la stratégie IT sur la stratégie de l entreprise, sur la maîtrise des coûts de la DSI et des investissements informatiques, ou sur la performance des processus informatiques. CobiT, à la différence d ITIL ou de CMMI, s adresse à la fois à un public informaticien et à un public non-informaticien, car il concerne les acteurs impliqués dans la gouvernance informatique : la DSI, le contrôle de gestion, la Direction générale CobiT, à la différence d ITIL ou de CMMI, s adresse à la fois à un public informaticien et à un public non-informaticien Objectifs CobiT est un outil de gouvernance qui peut-être utilisé soit d une manière top-down, soit d une manière bottomup. La démarche top-down nous paraît particulièrement bien conçue car elle permet de traduire efficacement les objectifs stratégiques de l entreprise en un ensemble d objectifs informatiques cohérents, eux-mêmes alimentés par un ensemble de processus CobiT. CobiT fournit des tableaux de correspondance permettant d identifier l ensemble des objectifs informatiques déclinant de chaque objectif métier, puis les processus CobiT déclinant de chacun de ces objectifs informatiques. CobiT permet ensuite de renseigner le lecteur sur les tenants et aboutissants de ces processus identifiés : sur les ressources informatiques de l entreprise : les applications, les personnes, les infrastructures et informations, sur les exigences métiers efficacité, efficience, conformité qui sont impliquées, sur les activités de contrôle à mettre en place, sur l interprétation des résultats de l analyse de maturité adaptée à chaque processus. La démarche bottom-up permet au responsable informatique d auditer un ensemble d objectifs CobiT qu il souhaite cibler, de mettre en évidence, 4 Les Synthèses Solucom - Mai 2009

Les 34 processus définis par CobiT subdivisent la gestion du SI en 4 domaines CobiT SE 1 : Surveiller et évaluer la performance des SI SE 2 : Surveiller et évaluer le contrôle interne SE 3 : S assurer de la conformité aux obligations externes SE 4 : Mettre en place une gouvernance des SI DS1 : Définir et gérer les niveaux de service DS2 : Gérer les services tiers DS3 : Gérer la performance et la capacité DS4 : Assurer un service continu DS5 : Assurer la sécurité des systèmes DS6 : Identifier et imputer les coûts DS7 : Instruire et former les utilisateurs Surveiller et évaluer DS8 : Gérer le service d assistance client et les incidents DS9 : Gérer la configuration DS10 : Gérer les problèmes DS11 : Gérer les données DS12 : Gérer l environnement physique DS13 : Gérer l exploitation Délivrer et supporter Objectifs Métiers Objectifs de gouvernance Critères d information Efficacité Efficience Confidentialité Intégrité Disponibilité Conformité Fiabilité Ressources informatiques Applications Informations Infrastructures Personnes PO 1 : Définir un plan informatique stratégique PO 2 : Définir l architecture de l information PO 3 : Déterminer l orientation technologique PO 4 : Définir les processus, l organisation et les relations de travail PO5 : Gérer les investissements informatiques PO 6 : Faire connaître les buts et les orientations du management PO 7 : Gérer les ressources humaines de l informatique PO 9 : Évaluer et gérer les risques PO 10 : Gérer les projets Planifier et organiser Acquérir et implémenter AI 1 : Trouver des solutions informatiques AI 2 : Acquérir des applications et en assurer la maintenance AI 3 : Acquérir une infrastructure technique et en assurer la maintenance AI 4 : Faciliter le fonctionnement et l utilisation AI 5 : Acquérir des ressources informatiques AI 6 : Gérer les changements AI 7 : Installer et valider les solutions et les modifications en tête. Le DSI, qui a en charge la déclinaison informatique de cet objectif, a choisi d utiliser CobiT pour quadriller sa stratégie informatique. Le premier tableau de correspondance indique que l objectif métier évoqué, qui appartient au domaine métier «Perspective Client», se décline en trois objectifs informatiques : «réagir aux exigences métier en accord avec la stratégie métier», «donner de l agilité à l informatique» et «livrer les projets en temps et dans les limites budgétaires en respectant les standards de qualité». Ces trois objectifs informatiques se déclinent eux-mêmes respectivement en 10, 4 et 2 processus CobiT, pour un total de 13 processus (certains alimentent plusieurs objectifs informatiques). En s appuyant sur ces 13 processus, le DSI peut rapidement cibler les domaines dont l amélioration contribuera directement à sa stratégie. Les responsables de l audit et de l amélioration de la maturité des processus considérés peuvent aussi s appuyer sur CobiT pour préparer, mettre en place et mesurer les actions requises. via l analyse de maturité des processuschoisis, de potentielles faiblesses informatiques et d être capable d en mesurer les potentielles conséquences «métiers». CobiT est donc dans ce sens également un outil d analyse des risques. Apports réels : quelle est l utilité pratique? Malgré l aspect indigeste et dénué de pragmatisme de l ouvrage n ayons pas peur c est la pratique qui met en lumière l aspect «immédiat» du référentiel. Les tableaux de correspondance entre objectifs métiers et objectifs informatiques et, entre objectifs informatiques et processus, présentent au lecteur une roadmap d utilisation instantanée. Malheureusement, ils ne sont proposés qu en fin de document, en annexe. Pour illustrer le principe de l utilisation de manière top-down, imaginons que la stratégie de votre entreprise pour l année prochaine, présentée par le PDG, place l objectif business «améliorer la rapidité d adaptation au marché» Mai 2009 - Les Synthèses Solucom 5

Les référentiels SI Le Sourcing des études Délivrer les services SI aux métiers avec ITIL Avec sa version 3, ITIL fait un pas de plus vers une mise en place des services informatiques qui soit efficace, proactive, et à l écoute des clients internes. Quelques mots ITIL (Information Technology Infrastructure Library) est un recueil de bonnes pratiques pour la gestion des services informatiques créé dans les années 80 par l Office britannique du commerce. Est-il encore nécessaire de présenter ITIL? Examinons plutôt les apports de la version 3 (ITIL V3), publiée en 2007 et qui, contrairement à la V2 orientée «processus», se focalise sur la notion de services fournis aux utilisateurs et sur leur cycle de vie. Cela s illustre au travers de sa structure composée de cinq publications : stratégie des services (Service strategy), conception des services (Service design), transition des services (Service transition), exploitation des services (Service operation) et amélioration permanente des services (Continual service improvement). La V3 complète la V2 en y ajoutant douze processus et trois fonctions et introduit de nouveaux concepts et outils. Cela représente une certaine complexité de prime abord, mais permet d apporter de vraies réponses au besoin de dialogue entre le SI et les métiers ainsi qu aux questions relatives au «comment», c est-à-dire les aspects de mise en œuvre, de mesure de la performance des processus et d amélioration continue. Périmètre, public visé Service strategy, qui est un des apports essentiels de ITIL V3, efface les frontières entre l informatique et les métiers de l entreprise, en allant jusqu à remplacer le langage informatique par le langage des affaires. Le lien est ainsi fait entre le Service management et la gouvernance SI. Cette ambition croissante d ITIL hors de son territoire habituel (l exploitation informatique) peut créer une certaine confusion (d où la raison du présent document). Quel référentiel utiliser pour les grandes questions de gouvernance SI : CobiT ou ITIL V3? Faut-il choisir? Initialement destiné à la direction de la production et à la DSI au sens large, ITIL avec sa version V3, s étend aux directions métiers. Objectifs Le cycle de vie des services d ITIL v3 Le SI est un actif stratégique pour l entreprise, pas un centre de coûts Au-delà des objectifs de Service management et de gestion de la production informatique déjà bien connus d ITIL V2, ITIL V3 a pour ambition de renforcer l aspect stratégique de la définition des services (Service strategy), ceci de leur conception (Service design) jusqu à leur fonctionnement, en passant par leur mise en place (Service transition) et leurs améliorations successives (Continual service improvement). Rejoignant les préoccupations du management, les notions de création de valeur et de ROI sont désormais omniprésentes dans ITIL V3. L accent est mis sur la preuve d un ROI «client» et financier permettant de s assurer que le SI n est pas un centre de coûts mais un actif stratégique pour l entreprise. 6 Les Synthèses Solucom - Mai 2009

Initialement destiné à la direction de la production et à la DSI au sens large, ITIL avec sa version v3 s étend aux directions Métiers Il est donc indispensable d identifier les indicateurs de la performance sur l ensemble des services et de les piloter au quotidien. Améliorer pro activement le service rendu L ensemble des services en place, et à venir, est géré comme un portefeuille, avec tous les objectifs d anticipation de la demande, d arbitrage et de priorisation sous-jacents. Pour ce faire, la gestion des demandes est devenue un processus à part entière, afin d anticiper les demandes de services des clients qu ils soient internes ou externes, et de différencier les Core services (les services de base) en les «customisant» sur la base de l activité des clients. Enfin, l amélioration continue pousse à la pro activité. Il s agit ici de ne pas mettre en place des améliorations lors de crises ou d incidents ayant un impact sur les métiers et qui s arrêtent une fois le problème résolu. L objectif est triple : remonter d un cran par rapport aux mesures des composants des services, obtenir une vraie vue des services fournis aux utilisateurs et de leur ressenti afin d identifier et d analyser les tendances, présenter les bonnes informations au management pour qu il puisse prioriser les améliorations à mettre en place. Le lien est fait avec la gestion des demandes. Maîtriser l équilibre coûts - qualité La complexité croissante et les exigences de performance, de disponibilité, de réactivité, de maîtrise des risques de la part des métiers impliquent bien souvent que le SI s organise en silos technologiques coûteux. D un autre côté, les mêmes métiers ne comprennent pas les technologies employées et suspectent les gens du SI de faire des choix privilégiant la technique plutôt que la valeur ajoutée. Il s agit donc de parvenir en permanence à concilier les deux approches pour prévenir le risque de basculer dans une forme de «dictature» qui serait préjudiciable aux intérêts de l entreprise. Apports réels : quelle est l utilité pratique? ITIL a d ores et déjà imposé son modèle de gestion des services informatiques et la V2, qui répondait à un réel besoin, a été un grand succès. L objectif d en faire une référence à la fois souple et pragmatique est atteint ; c est maintenant un outil de travaux essentiels pour les directions de la production informatique, mais aussi pour prestataires et consultants. La V2 est bien connue de tous. ITIL V3 apporte des éclairages concrets par les nouveaux concepts, outils et templates qu il propose et redonne aux SI une place méritée dans la gouvernance de l entreprise. Il remet aussi au goût du jour les livres «oubliés» de la V2 Security management, Application management et Infrastructure management peu lus et peu connus alors que très opérationnels. Comme précisé plus haut, ITIL V3 va dans le sens de la tendance actuelle : gouvernance, création de valeur, ROI et rapprochement avec les besoins métiers. Hormis pour les processus habituels (gestion des incidents, des demandes ), la mise en place est moins évidente pour la V3 que pour la V2. Nous pensons qu elle dépend du niveau de maturité de l organisation et des processus ITIL déjà en place dans l entreprise. Pour des organisations peu matures, le grand nombre de processus à mettre en place est un frein. Nous recommandons donc dans un premier temps de concentrer l effort sur la mise en place des processus historiques de la V2 (qui sont maintenus et améliorés dans la V3), tout en appréhendant la notion de cycle de vie des services, de mesure et d amélioration continue de la performance. Quant aux entreprises plus matures, la priorité est à donner, à notre sens, aux nouveaux processus des publications Service strategy et Continual service improvement, afin de redynamiser et de réorienter la relation Client - Fournisseur de services SI. Mai 2009 - Les Synthèses Solucom 7

Les référentiels SI Le Sourcing des études CMMI pour vos projets informatiques Comment organiser le département des études de manière à sécuriser les projets? Quelques mots CMMI (Capability Maturity Model Integration) est un référentiel d évaluation pour le développement de systèmes, de produits matériels et/ ou logiciels. Ce référentiel a été mis au point par le SEI (Software Engineering Institute) à Pittsburg afin de prendre le relais du CMM (Capability Maturity Model). Il permet aux entreprises de mesurer leurs pratiques de développement et de définir un plan d actions en vue de tendre vers l excellence. CMMI évalue et certifie les organisations (ex. : département des études) et non les individus. Il est structuré en 25 domaines de processus clés (process area) répartis en quatre disciplines (management des processus, management de projet, ingénierie et support). À chaque domaine de processus est attribuable un niveau de capacité qui lui est propre (de 1 à 5). Périmètre En 2007 ont été créés trois périmètres complémentaires représentés par trois «constellations» définies ci-après. Ces constellations reposent sur un socle commun représentant 60 % des domaines de processus. CMMI pour le développement (CMMI-DEV). En 2007, CMMI est devenu CMMI-DEV. C est ainsi la constellation historique et la plus utilisée. Cette constellation s intéresse particulièrement aux phases amont des projets, allant jusqu à la mise en production. CMMI pour les services (CMMI-SVC). Cette constellation fournit de l aide pour la fourniture des services (intangibles) à l intérieur des organisations ou vis-à-vis de clients extérieurs, tout au long du cycle de vie des services. En particulier, les phases de développement d un projet sont vues dans une approche «service». CMMI pour les acquisitions (CMMI- ACQ). Cette constellation fournit de l aide pour gérer les fournisseurs et les acquisitions. Elle se rapproche de la vision du référentiel escm. On privilégiera l utilisation de CMMI- ACQ pour les organisations de projets informatiques liés à l ingénierie logicielle ou à l informatique industrielle. Deux représentations proposées Selon le besoin, deux représentations complémentaires de CMMI sont proposées : La représentation continue de CMMI. Elle permet d adopter une vue par discipline. Au sein d une discipline (ex. : le management de projet) les processus ont chacun un niveau de capacité (de 1 à 5), cela permet d identifier, au sein de la discipline, les points forts et les points faibles, en matière de processus clés. Les organisations qui ont des processus critiques adoptent cette vue (exemple : la sécurité dans l informatique bancaire) Les constellations CMMI La représentation étagée de CMMI. C est la représentation la plus courante. Elle permet à l organisation dans son ensemble d évaluer son niveau de maturité. Une organisation donnée se situe à un niveau de maturité de 1 (initial) à 5. Le tableau ci-contre montre une vue des deux représentations. On y voit par exemple que la maîtrise du processus d analyse causale de résolution CAR (en bas à droite du tableau) est une exigence du niveau de maturité 5 de CMMI. Public visé Ce référentiel s adresse en premier lieu aux études. Les maîtrises d ouvrages sont également concernées, dans la prise en compte des exigences métier. Il s adresse aussi aux auditeurs, qui certifient les organisations avec CMMI. Les organisations souhaitant se faire certifier font en général préalablement appel à des experts CMMI dans un objectif de diagnostic et d accompagnement. Les sociétés de services sont souvent demandeuses de certification, afin de garantir à leurs clients leur niveau de 8 Les Synthèses Solucom - Mai 2009

Les 22 domaines de processus CMMI-DEV selon les vues étagée et continue Vue continue Vue étagée 1 - Initial Management des processus 2 - Discipliné Planification de projet (PP) Surveillance et contrôle de projet (PMC) Gestion des accords avec les fournisseurs (SAM) 3 - Ajusté Focalisation de l organisation sur les processus (OPF) Définition des processus de l organisation (OPD + IPPD) Formation organisationnelle (OT) 4 - Géré quantitativement Performance du processus organisationnel (OPP) 5 - Optimisé Innovation et déploiement organisationnels (OID) Management de projet Ingénierie Support Gestion de projet intégrée + IPPD (IPM + IPPD) Gestion des risques (RSKM) Gestion de projet quantitative (QPM) Gestion des exigences (REQM) Développement des exigences (RD) Solution Technique (TS) Intégration du produit (PI) Vérification (VER) Validation (VAL) Mesure et analyse (MA) Assurance qualité processus et produit (PPQA) Gestion de configuration (CM) Analyse et prise de décision (DAR) Analyse causale et résolution (CAR) maturité en matière de développements informatiques. Indéniablement, une accréditation de niveau 4 ou 5 se révèle être un argument commercial de poids et attire de plus la clientèle désireuse d améliorer ses propres méthodes. Le référentiel peut être utilisé dans tous les secteurs, même si il est particulièrement bien adapté aux secteurs industriels. Ce référentiel est notamment très utilisé dans les départements études des constructeurs automobiles. Objectifs L objectif principal du référentiel est d améliorer l efficacité du département des études. CMMI aide les organisations à industrialiser les processus de conception, de réalisation, de gestion et de mise en production des projets. Apports réels : quelle est l utilité pratique? Pourquoi utiliser ce référentiel? Quels bénéfices pour les métiers? En premier lieu, nous voyons un retour sur investissement avec des gains réalisés de l ordre de 10 % dès la troisième année. Ce retour sur investissement est profitable aux départements des études mais également aux sociétés de services qui peuvent répercuter ces économies dans la facturation de leurs prestations. Le référentiel CMMI rend les projets prédictibles. Même si les temps de développement annoncés ne diminuent pas forcément (du moins dans un premier temps), ils deviennent de plus en plus fiables. Il en est de même pour les coûts de développement et les ressources associées. Nous pensons qu une organisation ayant atteint le niveau 3 dispose d une maturité suffisante sur les processus liés à la gestion de projets et saura profiter des bénéfices cités. En particulier, une organisation de niveau de maturité 3 peut aborder sereinement la question d externalisation de ses études. Mai 2009 - Les Synthèses Solucom 9

Les référentiels SI Le Sourcing des études escm, pour une relation client-fournisseur mature Parvenir à une relation de partenariat avec ses prestataires, est-ce une utopie? Que faire pour obtenir des services satisfaisants sur toute la durée d un contrat et ce, à un coût raisonnable? escm montre que, là aussi, les bonnes pratiques existent. Un maître mot à retenir : la gouvernance. Quelques mots escm (pour esourcing Capability Model) est un modèle de gestion et d amélioration de la relation de Sourcing, tout au long de son cycle de vie. Le cycle de vie du Sourcing, vu du client, est composé des étapes suivantes : analyse (Analysis) : études, enjeux, marché, orientations stratégiques démarrage (Initiation) : appel d offres, choix des prestataires, négociations, contractualisation fourniture (Delivery) : transfert, gestion quotidienne, évolutions réversibilité (Completion) : conditions de dépose et de transfert vers un autre fournisseur pratiques permanentes (Ongoing) : les fonctions à assurer sur la durée Ce modèle est à la fois indépendant, car issu d un consortium d universitaires (Carnegie Mellon) et pragmatique, car nourri des apports de l industrie (prestataires et clients, tels que IBM, Accenture, Airbus, L Oréal ). escm se spécialise en deux parties : escm-cl, pour les organisations clientes, et escm-sp pour les fournisseurs. Les organisations (clients ou fournisseurs) peuvent être certifiées par escm selon leur niveau de maturité global. À titre d exemple, dans le cas de escm-cl, le diagnostic porte sur 95 pratiques, appartenant à 17 domaines (couvrant tout le cycle de vie décrit ci-dessus). La maturité globale d une organisation est notée de 1 à 5 comme indiqué dans le tableau ci-contre. Échelle de notation de la maturité escm des organisation Niveau de maturité Périmètre, public visé escm s applique à toute relation de sourcing : Outsourcing classique (un client, un fournisseur) Co-sourcing (fournisseurs - concurrents) Multi sourcing (plusieurs fournisseurs en direct et des fournisseurs ayant eux-mêmes des soustraitants) Alliance (plusieurs fournisseurs, représentés de front par un seul) Joint venture escm-cl (Clients) 1 Mise en œuvre du Sourcing 2 Gestion cohérente du Sourcing dans l organisation In-sourcing (un fournisseur interne tel un GIE par exemple) escm intéresse les SI, mais pas seulement : toute relation contractualisée de type Client-Fournisseur entre dans le périmètre de escm. escm-sp (Fournisseurs) Fourniture de services Satisfaire les objectifs clients de façon cohérente 3 Gestion de la performance du Sourcing dans l organisation 4 Gestion proactive d amélioration de la valeur 5 Maintien de l excellence (du niveau 4) sur la durée Le public visé est le DSI, représenté par le responsable des méthodes et de la qualité, le gestionnaire des contrats et des services et plus largement tout manager ayant la responsabilité d organiser l entreprise pour améliorer la gouvernance de ses prestataires. Objectifs L objectif principal de escm est de créer une relation Client-Fournisseur qui soit saine et durable. Il propose dans ce but un langage commun et des processus compatibles entre les clients et leurs fournisseurs, permettant la mise en œuvre des bonnes pratiques sur tout le cycle de vie de la relation de sourcing. 10 Les Synthèses Solucom - Mai 2009

Apports réels : quelle est l utilité pratique? La relation Client-Fournisseur est passée historiquement par une délégation toujours plus forte d activités jugées «non cœur de métier», comme le SI. Il fallait confier à ceux qui savent, jusqu à faire reprendre une partie du personnel interne par le fournisseur. Les bénéfices ont été nombreux (flexibilité, repositionnement sur les activités business, apport d expertise, standardisation des processus ) tout comme les désillusions (perte de maîtrise du SI, promesses non tenues sur les coûts et la qualité, dégradation du service dans le temps, incompréhension grandissante ). Quels en ont été les enseignements? Il faut repenser la relation Client- Fournisseur : vers plus de transparence et moins d à priori sur les possibilités et les performances de chacun, vers plus de maturité dans le dialogue : échanger sur des objectifs À ce jour, escm-cl a intéressé les entreprises clientes plutôt dans le cadre d un diagnostic de leur maturité que dans le cadre d un véritable audit de certification. communs, pas seulement sur des indicateurs, vers davantage de management et d implication côté Client, vers une gestion plus habile dans le temps de la motivation des prestataires (via une concurrence accrue et des opportunités de business futures pour les fournisseurs...), vers un nouvel équilibre, permettant au client de se réapproprier (voire de réinternaliser) sa compétence métier. Le fantasme du contrat monolithe qui résout tout, à coup de centaines de SLA et d unités d œuvre «pour tout» a donc vécu. Il faut que la relation contractuelle évolue dans le temps. Un véritable suivi économique s avère indispensable, ainsi qu un suivi des objectifs, de la planification, des progrès et des compétences. Pour y parvenir, le client doit être présent (avec des ressources dédiées) afin de favoriser un dialogue quotidien avec ses Fournisseurs. escm a été construit sur la base de ces conclusions et sera assurément une aide précieuse pour qui veut progresser dans sa relation clientfournisseur. À ce jour, escm-cl a intéressé les entreprises clientes plutôt dans le cadre d un diagnostic de leur maturité, que dans le cadre d un véritable audit de certification. Les bénéfices en sont moindres sur le long terme (moindre implication initiale, et donc plans d actions correctives moins ambitieux). Pourtant, les résultats des diagnostics clients sont souvent rapides et spectaculaires (mise en évidence en quelques jours seulement de toutes les insuffisances). La plupart des entreprises ayant été certifiées escm à ce jour sont des fournisseurs de services informatiques. Aujourd hui, on observe un intérêt grandissant des «grands» fournisseurs du marché. Certains se posent encore la question de la proposition de valeur de escm : est-elle d abord opérationnelle (améliorer leur aptitude) ou surtout marketing (communiquer vis-à-vis des clients)? Il nous semble que ces deux objectifs sont compatibles. Mai 2009 - Les Synthèses Solucom 11

Les référentiels SI Le Sourcing des études Quelques chiffres du marché Le besoin d assurance sur la valeur et les risques des SI, ainsi que les demandes de contrôles de l information deviennent des éléments clef de la gouvernance d entreprise. ITIL dans le monde ITIL est le référentiel SI le plus utilisé dans les entreprises françaises. 40 % des entreprises européennes ont mis en place au moins un processus ITIL V2, et 14 % ont initié le déploiement d ITIL V3 (source : Le Monde Informatique, octobre 2008). La diffusion d ITIL en Amérique du Nord est plus récente mais elle tend également à s accélérer. Une récente étude de Dimension Data fait état d une adhésion au cadre de référence ITIL par plus de deux tiers des CIO interrogés à travers le monde. En résumé, avec 66 % d adoption à l échelle mondiale, ITIL s impose comme un standard méthodologique des SI en entreprise. Le profil ITIL Du fait de la plus grande complexité de l infrastructure informatique à gérer, les grandes entreprises sont plus enclines à adhérer à la démarche ITIL (87 % des entreprises de plus de 10 000 employés d après Dimension Data, 2009). La mise en œuvre d ITIL semble plus active sur le continent américain (60 % des entreprises mettent en œuvre où projettent de le faire dans les six mois en date du sondage ci-dessous, contre 48 % en Europe). Evaluation de la maturité de chaque processus ITIL dans les entreprises sondées CMMI dans le monde Une étude Dimension Data (réalisée auprès de 370 DSI dans le monde) fait état d un taux d adoption de pratiques CMMI d environ 30 % au niveau mondial. En janvier 2009, environ 2 340 organisations sont certifiées dans le monde par CMMI, la plupart au niveau 2 (30 %) ou 3 (57 %). Plus de 100 sociétés indiennes sont certifiées au niveau 5. La France est le premier pays européen en terme de diffusion de ce modèle. Les prestataires sont certifiés en France (pour une part de leurs activités) : Atos : niveau 3 IBM : niveau 5 (AMS) SQLI : niveau 5 escm dans le monde En janvier 2009, seulement six organisations «fournisseurs» sont certifiées escm SP : IBM GTS Brazil (niveau 5), IBM GDC Argentina (niveau 4), Infosys (niveau 4), Satyam (niveau 5), Cognizant (niveau 4) et Phoenix Systems Pittsburgh (niveau 2). En tout, 15 organisations sont, ou ont été certifiées par escm SP Aucune organisation n a à ce jour été certifiée par escm CL CobiT dans le monde Son taux d adoption au moins partielle est de 30 % au niveau mondial (source : Dimension Data) Il s adresse plutôt aux grands comptes où il s y avère souvent incontournable sur les questions de gouvernance. Quelques belles références en France : Dexia, Renault, La Poste. 12 Les Synthèses Solucom - Mai 2009

Ce que veulent les DSI Retours à chaud de l atelier sur les référentiels Assurer la cohérence d ensemble La compatibilité des référentiels SI, comme leur complémentarité, sont des préoccupations que partagent DSI et auteurs des ouvrages. Compatibilité entre CobiT et ITIL, entre ITIL et CMMI, entre ces référentiels et les normes ISO Le plus souvent, c est déjà une réalité. En même temps, les référentiels sont de plus en plus concurrents, au sens où chacun propose ses propres réponses à des questions communes et sur des périmètres de plus en plus comparables. Il en découle parfois une certaine confusion. «Quel référentiel faut-il choisir?», «Faut-il en maîtriser plusieurs?». Mesurer la valeur ajoutée du SI «Il faut se concentrer sur la valeur. Un processus qui ne créerait pas de valeur n a clairement aucun intérêt!». Si le SI a très longtemps été considéré comme un centre de coûts, les DSI travaillent aujourd hui à en faire un outil créateur de valeur, participant pleinement à la performance de l entreprise. Le pilotage des portefeuilles de projets, démarche organisationnelle visant à sélectionner, puis à piloter au quotidien les meilleurs projets SI de l entreprise, en est une illustration. Un critère clé de sélection des projets à trait au futur : quels futurs cash flows, économies ou bénéfices opérationnels peut-on espérer? Les métiers demandent une évaluation du ROI a priori des projets, ainsi qu une preuve a posteriori de celui-ci. Une question qui commande de s outiller, comme de s imposer de nouvelles règles internes. A cette fin, CobiT (aidé de Val IT) et ITIL V3, traitent de manière approfondie de la définition, de la mise en place, du pilotage d indicateurs pertinents, comme des questions à se poser et des changements organisationnels nécessaires. L usage des référentiels n échappe pas à cette préoccupation de rentabilité : leur mise en place étant elle-même un investissement pour l entreprise, il s agit de prouver aux DSI les retours que l on peut espérer. Une question malheureusement loin d être simple... Maîtriser les risques Alors qu une part croissante du SI s externalise, voire «s offshorise», les DSI s inquiètent de «risques nouveaux» : perte de la compétence métier, diffusion d informations confidentielles ou concurrentielles Les risques classiques du SI (intrusions, rupture du service...) ne sont pas pour autant écartés, bien au contraire, car ils nécessitent une remise en cause permanente du fait des évolutions technologiques. Il s agit donc de rester bien informé et de systématiser la mise en œuvre des meilleures pratiques, que ce soit en interface du marché des prestataires (avec escm) ou dans les affaires courantes du SI de l entreprise (avec ITIL, CMMI, CobiT ). Echanger sur les bonnes pratiques «Les expériences des uns profitent aux autres : on sort les gens de la mine, on les fait se rencontrer». C est le nivellement par le haut, par le biais de rencontres avec les homologues, ou avec les professionnels du métier. Via l usage partagé des standards que sont devenus certains référentiels comme ITIL, les DSI se mettent en conformité avec l état de l art. Cet alignement compétitif des DSI est sans cesse renouvelé, notamment sur les coûts des prestations, à l aide d études externes (benchmark). «La maturité globale des DSI monte, c est une évidence». Des modèles adaptables... S ils ont considérablement progressé dans leur maîtrise des référentiels SI, les DSI regrettent parfois que cet ensemble définisse une forme de pensée unique : «tous ces conseils me semblent un peu trop «centripètes», le centre étant défini par les référentiels SI. Doit-on nécessairement abandonner nos KPI et notre manière de faire les choses?» Ce n est pas un hasard si les DSI sont si nombreux à avoir défini leur propre «référentiel interne» (qui peut être une sorte d amalgame de plusieurs référentiels du marché et de caractéristiques spécifiques à l entreprise). Les DSI trouvent parfois les modèles trop contraignants. Ils attendent des référentiels qu ils soient des guides souples et adaptables et qu ils permettent de fixer des objectifs progressifs de manière à éviter les effets big-bang au sein de la DSI. Une approche sélective (priorité donnée à certains processus) ou une approche progressive (d abord, le niveau de maturité 2) sont des réponses graduées et raisonnables que la DSI peut choisir pour ses enjeux de transformation interne. dans un monde qui n est pas parfait «Ce qui continue de me préoccuper et pour lequel les référentiels ne m ont pas convaincu, c est la gestion sur la durée de la valeur de mon patrimoine : une application obsolète n a pas la même valeur» Les référentiels sont désormais attendus par les DSI qui, pour beaucoup, les ont intégrés dans leur arsenal méthodologique. Les questions non traitées ou mal présentées ne manquent pas. Autant de défis sur le fond que sur la forme. Mai 2009 - Les Synthèses Solucom 13

Les référentiels SI Le Sourcing des études Les référentiels pour effectuer un diagnostic des pratiques SI (1/2) Étude de cas : diagnostic escm Besoin initial Dans le cadre de ses renouvellements contractuels avec des prestataires SI, une grande multinationale souhaite un regard expert sur la maturité de ses pratiques en matière de relation Client Fournisseur. Le diagnostic doit être rapide, d un coût raisonnable et permettre de construire un plan d actions correctives. Méthode Le management SI, représenté par ses responsables, ayant la meilleure connaissance des enjeux comme des pratiques quotidiennes en matière de sourcing, participe à trois demi-journées de travail avec l expert. Celui-ci pose des questions précises, concernant les 95 pratiques de escm-cl. L expert s appuie sur son expérience pour orienter chaque réponse vers un maximum de clarté et d objectivité. Durée totale La durée d une telle étude est de l ordre d une semaine, conclusions et livrables compris. Résultats L évaluation de chaque pratique est faite selon quatre niveaux possibles (cf. tableau ci-dessous). Rappelons qu il y a 95 pratiques à évaluer, celles-ci appartiennent à 17 catégories. Évaluation des 5 pratiques de la catégorie Gestion des connaissances (1) Niveau Référence Nom Objectif Statut 2 knw01 Fourniture de l information requise 3 knw02 Système de gestion de la connaissance 3 knw03 Veille sur le marché 3 knw04 Retours d expérience 4 knw05 Partage de la connaissance Identifier, contrôler et fournir l information nécessaire au personnel pour assurer ses responsabilités liées au sourcing Utiliser un système de gestion de la connaissance pour identifier, contrôler et diffuser l information liée au sourcing Analyser et utiliser l information relative au marché des prestataires Analyser et utiliser la connaissance acquise dans le cadre des activités de sourcing Définir et mettre en œuvre les procédures de partage de la connaissance entre les parties prenantes Pratique réalisée au cas par cas Pratique réalisée, procédurée et mesurée Pratique réalisée et procédurée Pratique réalisée au cas par cas Pratique réalisée au cas par cas Le tableau ci-dessus révèle un niveau moyen de maturité sur la catégorie de la gestion de la connaissance, puisque deux pratiques évaluées sur cinq atteignent un niveau satisfaisant de formalisation (procédure ou contrôlé). Par ailleurs, aucune pratique n est jugée réellement défaillante («inexistante ou très insuffisante»). (1) : à des fins de confidentialité, les données fournies n identifient pas un client particulier Le code couleur utilisé dans la colonne Statut correspond à celui utilisé dans pour le schéma ci-contre. 14 Les Synthèses Solucom - Mai 2009

L analyse qualitative : Le diagnostic révèle un assez bon niveau de maturité global. Un taux de couverture quasi parfait au niveau de maturité 2, dont 60 % des pratiques sont procédurées (satisfaisant) et 19 % des pratiques sont mesurées par des indicateurs (très satisfaisant). Les pratiques réalisées au cas par cas (passable) représentent 19 %. Une assez bonne couverture également au niveau de maturité 3 (76 %). La dominante au niveau 2 et au niveau 3 est représentée clairement par les pratiques procédurées (c est à dire, formalisées et répétables, mais non mesurées). Si l entreprise souhaite obtenir la certification escm niveau 2, elle doit parvenir à hisser l ensemble des pratiques du niveau 2 à l état procédure et mesuré (ce qui est très ambitieux). Niveau de maturité et taux de couverture Taux de couverture Pratiques procédurées (satisfaisant) Niveau 2 Niveau 3 Niveau 4 98% 76% 63% 60% 45% 0% L analyse quantitative Les pratiques inexistantes ou très insuffisantes appartiennent à 6 des 17 catégories étudiées : gestion de la gouvernance, des relations, de la valeur, des RH, des risques, et transfert du service. Les catégories les plus défaillantes sont la gestion de la valeur (3 pratiques) et la gestion des risques (2 pratiques). Dans le détail, les pratiques incriminées sont : Performance de l organisation en matière de sourcing (gestion de la valeur), Mise en place d une base de référence d aptitude (gestion de la valeur), Amélioration des processus de sourcing (gestion de la valeur), Gestion transverse des risques (gestion des risques), Protection de la propriété intellectuelle (gestion des risques). Conclusions du diagnostic Il faut relativiser les résultats et les comparer avec ceux obtenus dans des contextes analogues (taille de la DSI, budget, importance du sourcing pour l organisation ) Dans le cas présent, le diagnostic est jugé globalement bon par l expert. Parmi les pratiques inexistantes ou très insuffisantes, l organisation identifie celles qui sont prioritaires pour elle et détermine elle-même son plan d actions. Dans le cas présent, les pratiques liées à la Gestion de la sécurité font l objet d un plan à court terme. Le référentiel escm-cl doit être utilisé comme un outil qui complète d autres dimensions importantes de l analyse que sont la compréhension du contexte, la culture de l entreprise et les priorités du management. Il ne serait sans doute pas judicieux d exiger une excellente maîtrise des 95 pratiques dans la plupart des cas. En effet, cela imposerait un effort déséquilibré à la DSI, qui doit faire face dans le même temps aux demandes du business. De plus, il s agit de préserver un bon niveau d agilité du SI et de veiller à ce que les bonnes pratiques ne fassent pas basculer l organisation SI dans un carcan administratif. Pratiques procédurées et mesurées (très satisfaisant) 19% 10% 25% Mai 2009 - Les Synthèses Solucom 15

Les référentiels SI Le Sourcing des études Les référentiels pour effectuer un diagnostic des pratiques SI (2/2) Étude de cas : audit CobiT «Flash» Besoin initial Dans le cadre du développement de son offre de services aux métiers, la DSI d une grande entreprise souhaite faire le point sur la maturité de ses pratiques de gouvernance et sur l adéquation services. L expert lui propose de s appuyer sur le référentiel CobiT. Méthode La démarche retenue consiste à passer en revue avec des représentants de la DSI et du management business, l ensemble des processus CobiT de manière à identifier ceux qui sont prioritaires. Cette démarche accélérée permet d identifier les priorités SI au sein des quatre domaines de responsabilité du CobiT, soit 7 des 34 processus : Domaines Planifier et Organiser (PO) Acquérir et Mettre en Place (AMP) Distribuer et Soutenir (DS) Surveiller et Évaluer (SE) Processus CobiT PO1 - Définir un plan stratégique informatique PO2 - Définir l architecture de l information PO7 - Gestion des RH PO9 - Gestion des risques Aucun processus DS2 - Gérer les services de Tiers DS6 - Identifier et imputer les coûts SE1 - Surveiller la performance du SI Durée totale La durée d une telle étude est de l ordre de cinq semaines, conclusion et livrables compris. Résultats Une fois les processus prioritaires identifiés, l expert analyse leur maturité. Pour ce faire, il regarde systématiquement si ces processus sont mis en place dans l organisation, s ils ont été formalisés, s ils sont partagés (documentés) au sein de l entreprise, s ils sont outillés, s ils sont mesurés et s ils font l objet d une démarche mesurée d amélioration continue. Suite à cet examen, l expert donne en toute indépendance, à chacun de ces processus, une note sur une échelle allant de 0 à 5, basée sur le modèle de maturité de CobiT. Les bases de l analyse : Les notations de l état de l art et des «best of breed» sont directement issues des observations et de l expérience de l expert chez ses différents clients. Il utilise en effet fréquemment CobiT dans les audits de gouvernance en tant que grille d analyse des activités SI et afin de évaluer la maturité du SI de l entreprise. 16 Les Synthèses Solucom - Mai 2009

Analyse L analyse des processus CobiT impactés permet de définir des actions précises à mettre en œuvre. Ainsi, pour le processus «PO1 - Définir un plan stratégique informatique». Les points forts identifiés sont : 1) le fait qu un schéma directeur soit réalisé, selon un processus formalisé, avec une organisation dédiée, 2) le fait que le processus soit formalisé, planifié, partagé avec les parties prenantes, en particulier avec les métiers avec comme objectif la prise en compte de leurs besoins. Concernant le schéma directeur, l expert observe que le dernier en date a été rédigé en 2005 pour trois ans, que l objectif de la DSI était de le réviser dès 2006 et enfin que les risques sont pris en compte uniquement lors de l étude métier des projets. L analyse met en évidence l obsolescence du schéma directeur. Le processus n est donc pas systématiquement respecté. L analyse détaillée du processus «PO2 - Définir l architecture de l information» identifie un point fort : la cohérence du modèle de données. Le responsable fonctionnel qui a une vue d ensemble sur son domaine garantit cette cohérence. Pour autant, la gestion de l architecture de l information n est pas mise en œuvre systématiquement car le processus associé n est pas défini. Les conclusions Il est important de préciser que les notes ne sont pas considérées dans l absolu. En effet, pour chaque processus, la maturité mesurée du client est mise en perspective par rapport à l état de l art d une part (la moyenne constatée dans un échantillon représentatif d entreprises) et par rapport aux entreprises les plus en avance dans le domaine (best of breed) d autre part. L analyse permet de proposer des conclusions générales au niveau de chaque domaine de responsabilité. Ainsi, l exemple du domaine PO (Planifier et Organiser) montre que la DSI est globalement dans la moyenne du marché notamment à travers : La mise en œuvre d un schéma directeur La mise en œuvre d une méthodologie projet Une gestion des aspects RH, qualité et risques. L audit CobiT met en évidence les axes d amélioration suivants : Nécessité d une revue et d une mise à jour annuelle du schéma directeur Systématisation du REX de projet, y compris financier Extension de la gestion de risques en place à l ensemble des activités SI (en plus des projets). Mai 2009 - Les Synthèses Solucom 17

Les référentiels SI Le Sourcing des études Les référentiels pour transformer les organisations Étude de cas : multi référentiels (CobIT, ITIL, CMMi) Besoin initial Dans un contexte de besoins applicatifs et technologiques nouveaux, la DSI souhaite transformer ses processus, pour une meilleure maîtrise du triplet risques délais qualité. Un projet est lancé visant à améliorer l organisation et les processus internes de la DSI. En tout premier lieu, il s agit de garantir une bonne pro activité par rapport aux attentes des métiers, puis une forte adéquation aux exigences exprimées. La maîtrise technique des nouveaux environnements est également perçue comme un enjeu capital. Enfin, des objectifs d amélioration du suivi de la qualité et de développement de l agilité, de l évolutivité et de l efficience sont exprimés. Méthode L expert propose : Un diagnostic initial pour cadrage des besoins Une identification puis une planification des chantiers prioritaires Une définition des éléments clefs de mise en œuvre L analyse initiale est constituée de deux niveaux de détail successifs : d abord un niveau plus global concerne les «activités», puis un niveau de détail plus fin s adresse aux processus qui les supportent. Dans sa démarche de diagnostic, puis de préconisations des transformations requises, l expert tire bénéfice de sa maîtrise des référentiels SI. En toute indépendance et en s appuyant sur sa connaissance de contextes analogues, il choisit celui qu il considère comme le meilleur dans chaque situation rencontrée. De fait, trois référentiels sont utilisés : CobiT, ITIL et CMMI. Durée totale La durée d une telle démarche, à la fois de diagnostic et de transformation, est de plusieurs mois. Déroulement Les données d entrée sont : Toutes les activités supportées par le SI telles que répertoriées dans l entreprise Les activités et processus SI tels que répertoriés par les référentiels SI L analyse des activités se fait selon deux axes : Les catégories d activités auxquelles elles appartiennent que sont le Design (définition des services et applicatifs SI), le Build (construction de ceux-ci), le Run (mise en œuvre), et le Manage (gouverner, assurer la conformité budgétaire, la sécurité, communiquer,.. ), Leur importance stratégique (entre Stratégique, Tactique et Opérationnelle). L analyse au niveau «activités» : Distingue celles qui sont satisfaisantes pour l entreprise et celles qui feront l objet d un chantier ultérieur. Notre cas pratique révèle quatre chantiers que nous qualifions ainsi : Exigences métier, Exigences informatiques, Atelier de mise en production, Gestion transverse L analyse au niveau «processus» : Ce sont ensuite les principaux processus de la DSI qui sont analysés. ITIL, CMMI et CobiT sont utilisés en fonction de leurs points forts. La méthode consiste à isoler les processus puis à identifier ceux qui sont à créer, ou qui seraient fortement ou peu impactés. ITIL est choisi pour les aspects Service Management. Par exemple, dans la partie Service Management : IT 1 Gestion des incidents : «restaurer aussi rapidement que possible un service normal et minimiser l impact sur les applications métiers». CMMI est utilisé pour analyser les processus en lien avec la gestion de projet, l engineering et le support. Par exemple : PP - Planification de projet : «établir et maintenir les plans et activités de projet», ou RSKM - Gestion du risque : «identifier les problèmes potentiels avant qu ils ne surviennent». Enfin, CobiT intervient lors de l analyse des processus de gouvernance. Parmi ceux-ci : PO2 - Définir l architecture de l information, qui correspond à l objectif business suivant : «être opérationnel pour répondre aux besoins, fournir l information de manière fiable et cohérente et intégrer les applications dans les processus métier». 18 Les Synthèses Solucom - Mai 2009

Utilisation d ITIL, CobiT et CMMI en fonction de leurs points forts À titre illustratif, voici ci-dessous, pour deux chantiers identifiés, une partie des processus impactés, c est-à-dire, jugés soit inexistants, soit largement perfectibles. - SP2.2 : Allouer les exigences pour chaque composant de produit - SP2.3 : Identifier les exigences d interface SG3 : Analyser et valider les exigences - SP3.1 : Etablir des concepts d emploi et des scénarios associés - SP3.2 : Etablir une définition des fonctionnalités requises - SP3.3 : Analyser les exigences pour s assurer qu elles sont nécessaires - SP3.4 : Analyser les exigences pour assurer l équilibre entre besoins et contraintes - SP3.5 : Valider les exigences Les transformations requises touchent les processus mais aussi les organisations destinées à les mettre en œuvre ou à les gérer. Ce qui impose une définition en parallèle d actions de conduite du changement (plan de communication), ainsi qu une révision des missions et des rôles des acteurs impliqués (avec les enjeux RH associés). La définition et la mise en œuvre d un plan d action : Les processus prioritaires sont identifiés et sélectionnés, il s agit alors de définir les projets de mise en œuvre et la rédaction de leur feuille de route, au travers de réunions. Prenons l exemple du processus CMMI : RD Développement des exigences. Voici les pratiques mises en œuvre qui font l objet d un plan d actions: SG1 : Développer les exigences client - SP1.1 : Expliciter - SP1.2 : Développer les exigences client SG2 : Développer les exigences produit - SP2.1 : Etablir les exigences produits et composants produits Résultats La notion de transformation des SI prend ici tout son sens avec un grand nombre d actions identifiées, faisant l objet d une gestion de type portefeuille de projets, dont les priorités sont établies en accord avec le management Business. L exploitation de la complémentarité des référentiels a donné lieu à une analyse de chacun des principaux processus SI de l entreprise, impliquant toutes les équipes dans le projet. Il n existe pas de contradiction majeure entre les pratiques proposées par les différents référentiels, le choix portant surtout sur le plus pragmatique. Le recours aux référentiels a permis un vocabulaire commun pour les acteurs du projet et une bonne formalisation des modes de fonctionnement cible. Finalement, l utilisation «mixte» des référentiels a révélé une dynamique créative et fédératrice. Mai 2009 - Les Synthèses Solucom 19

Les référentiels SI Le Sourcing des études Adhérences des référentiels SI Les éditeurs s attachent à la convergence des modèles et revendiquent logiquement tous leur compatibilité avec un référentiel certificateur : l ISO Exemples de compatibilité Les référentiels SI sont tous compatibles avec l ISO. Citons notamment : ISO 9001 : gestion de la qualité ISO 20000 : gestion des services SI ISO 17799 : gestion de la sécurité SI ISO 16326 et 15188 : gestion des projets SI (développements) Adhérences entre ITIL et CobiT Le référentiel CobiT offre une couverture des processus SI plus large qu ITIL, mais s avère être moins détaillé dans les préconisations de mise en œuvre. En revanche, la problématique de la gouvernance des services et de la gestion des risques et de la sécurité est une approche permanente chez CobiT, qui met en place les indicateurs associés. Adhérences entre CMMI et ITIL v3 Un parallèle s impose entre les modèles CMMI-SVC et ITIL v3. Bien que dans l esprit, CMMI soit historiquement consacré aux études, il apparait que sa nouvelle constellation CMMI-SVC décline la notion de service SI chère aux référentiels sans se restreindre au périmètre des études, en traitant notamment de Service Delivery et de Service Support. Un exemple de complémentarité escm-cl aide les organisations clientes qui sous-traitent leurs services informatiques récurrents alors que CMMI-ACQ les aident dans les achats qui concernent leurs projets. De manière analogue mais cette fois du côté des fournisseurs, CMMI-DEV traite la gestion et la maîtrise d œuvre Adhérences entre CobiT et ITIL v3 Les processus en fuschia sont les processus CobiT que l on retrouve dans ITIL v3. Adhérences entre CMMI-SVC et ITIL v3 Les processus en fuschia sont les processus CMMI-SVC que l on retrouve dans ITIL v3. des projets alors que escm-sp aide les aide à mieux gérer leurs contrats et leurs relations clients au quotidien. 20 Les Synthèses Solucom - Mai 2009