Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 1 Club Utilisateur WITO Les processus d une DSI pour garantir la robustesse en production Jeudi 24 Juin 2004 Yphise Xavier Flez 01 44 59 93 00 - yphise@yphise.com - yphise.fr
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 2 Yphise Notre mission est de faire réussir les directions informatiques et les métiers de l'entreprise dans la maîtrise du risque informatique, c'est-à-dire dans la garantie d'efficience -coût, flexibilité, robustesse, sécurité- des systèmes d'information dans la durée Le risque informatique pour l'entreprise est de ne plus avoir la compétitivité nécessaire ou de ne plus être capable de remplir ses engagements en raison d'un système d'information qui n'est pas efficient. Il peut être trop cher, freiner les évolutions par manque de flexibilité, perturber son opérationnel par une robustesse insuffisante, lui causer des préjudices par perte d'intégrité ou fragilité à la malveillance, ou la rendre incapable de respecter ses obligations réglementaires.
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 3 Les 2 niveaux d intervention pour traiter le risque informatique 1. Nous garantissons que chaque projet applicatif analyse et traite avec rigueur le coût, la flexibilité, la robustesse, et la sécurité dans la durée des systèmes d information Nous apportons en particulier l équilibre nécessaire lors des projets menés avec des intégrateurs centrés sur la livraison du fonctionnel Nous accompagnons le management informatique dans sa mission de contrôle des prestataires externes -intégrateurs, infogérants, éditeurs, constructeurs, consultants- 2. Nous évaluons et améliorons les processus, méthodes et organisation de l informatique selon les enjeux de l entreprise Nous accompagnons le management informatique dans ses missions de contrôle et de conduite du changement afin de garantir l efficience nécessaire à l entreprise Nous garantissons en particulier la réussite en Valeur, Coût, Délai des projets pour outiller l informatique
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 4 L appui d une recherche exclusive : le Référentiel Yphise Le traitement du risque informatique est une dynamique jamais achevée : les entreprises demandent toujours plus en terme d'efficience -coût, flexibilité, robustesse, sécurité-. Il est fondamental d'approfondir et d'évaluer en permanence les meilleures pratiques de management et solutions qui méritent d investir Nous faisons ce travail permanent de recherche appliquée. Il donne lieu à la publication du Référentiel Yphise à l'attention des managers de l'informatique. Celuici comporte en permanence environ 70 rapports, classés en 5 séries de publications qui sont accessibles sur notre Web selon différentes licences Cette recherche sans équivalent fonde notre spécificité en conseil. Nos clients apprécient son apport concret : productivité, rigueur de notre réflexion, qualité de nos méthodes, capacité à prendre du recul dans les situations critiques
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 5 Des frustrations «La production reste en bout de chaîne lors des projets applicatifs. On nous demande de tenir des engagements de service de plus en plus rigoureux, sans faire ce qu il faut dans les projets pour les garantir» «Nous consacrons beaucoup d efforts à gérer les incidents et les problèmes. C est le signe d un système d information en production qui est fragile. Les métiers ne se rendent pas bien compte de la situation» «Au fur et à mesure des mises en production de correctifs, de la maintenance évolutive et des projets, la complexité et la fragilité opérationnelle augmentent. La flexibilité d évolution pour les métiers diminue. Ceci n est pas vu donc n est pas géré» «Nous ne sommes pas vraiment entendus quand nous voulons attirer l attention sur des limites en production liées au vieillissement ou à l atteinte de seuils de saturation»
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 6 L enjeu est d établir un système de management préventif L enjeu est de bâtir un management de l informatique qui soit préventif, c est-à-dire qui permette de construire une production efficiente, plutôt que correctif, c est-àdire centré sur la gestion des incidents et des problèmes Rappelons que dans le passé les efforts ont porté sur le correctif. ITIL est un excellent exemple de système correctif. Les processus ITIL les plus développés sur le terrain ont été la gestion des incidents et des problèmes. ITIL développe insuffisamment ce qu il faut pour voir devant selon ce qui est important pour les métiers Aujourd hui une approche corrective ne suffit plus parce que les processus métier et les systèmes d information sont trop compliqués Rappelons que la notion de préventif a été développée par ISO 9001 sans sa version publiée en Décembre 2000 qui exige une procédure préventive. La gestion des problèmes ITIL reste de l ordre de la procédure corrective ISO 9001:2000. Notons que la notion de préventif est proche de celle de gestion du risque
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 7 Le programme YBRM (Yphise Business Risk Management) YBRM est le nom du programme Yphise qui identifie et publie à l attention des managers de l informatique les meilleures pratiques pour optimiser le fonctionnement d une DSI en coût, valeur et risque YBRM propose une carte de processus, une nomenclature d activités et les meilleures pratiques pour établir un management préventif. Ces meilleures pratiques permettent à chaque manager de s auto-évaluer (série REFERENTIEL D EVALUATION sur yphise.fr). Yphise certifie également les processus d une DSI Risk Mngt Cost Mngt Quality Mngt Governance and strategic issues of large companies A map of the operational IT Processes The Work Activities of each Process 80 90 00 10 Le besoin d'ybrm Le modèle YBRM The Best Practices to implement each Work Activity A scoring model to assess the implementation of the Best Practices
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 8 Les processus YBRM d un management préventif sur la production Le cœur d un management préventif pour une production satisfaisante = 3 processus (rouge) : l industrialisation, l architecture et la relation métier business... Managing the relationship with the businesses Business partnership management Service level management Change assessment IT Governance... to business business... Leading the IS changes Conducting and implementing In project mode In maintenance mode Management control Différents Security IT risk control processus Disaster recovery Outsourcing strategies participent à la Knowledge management Improvement strategies surveillance du risque ou d autres IS = Information System YBRM - Yphise Business Risk Management - Yphise map of the IT operational processes Yphise - v2.3 aspects (jaune) Support Environment delivery Release management Testing IS-related missions Industrialization Architecture business...... to business Operations Operating the IS Demands, problems and incidents management Infrastructure management Data publishing... to business
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 9 L industrialisation : la clé de voûte de la maitrise Cette mission garantit la capacité à tenir les engagements de service sur le système d information en production Nous rappelons que nous insistons fortement sur cette mission. C est vraiment une clé de voûte de la maîtrise d un SI en production dans la durée. Nous constatons que nos efforts pour en promouvoir le développement depuis 00 commencent à porter leurs fruits. Nous constatons cependant qu elle n a en général pas encore l envergure nécessaire Nous allons revenir sur les points qui nous semblent aujourd hui essentiels au vu de notre expérience d accompagnement de projets, de formation et de mise en œuvre sur le terrain
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 10 L industrialisation : rappel des fondamentaux Un lot d industrialisation tout au long de chaque projet. Il faut définitivement oublier les méthodes de projet qui positionnent le technique après le fonctionnel comme on le faisait autrefois à l époque du mainframe L industrialisation analyse le risque de non respect ou de régression d exigences de service en production, conçoit puis réalise et teste les solutions nécessaires. On est bien sur un process complet Analyse Conception Réalisation Test. L analyse et la conception sont à peu près en parallèle du volet fonctionnel. Il faut savoir collaborer à ce niveau entre expertise fonctionnelle et de production L industrialisation doit avoir une vue SI, c est-à-dire non limitée au périmètre et à la durée de vie du projet. Elle est doit être pilotée par un porteur de la responsabilité de la production. Cela implique donc une procédure d arbitrage qui permette de mettre en perspective lorsque nécessaire les aspects de robustesse dans la durée versus le fonctionnel, coût et délai immédiats du projet L industrialisation doit savoir gérer au delà du projet les compromis ou points non résolus qu il va falloir surveiller ou recycler dans le temps
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 11 L industrialisation : nous attirons l attention (1/2) L industrialisation est encore souvent vue sous un angle trop restrictif de mise en œuvre d automates d ordonnancement, sauvegarde, télédistribution et de mise à disposition d infrastructures. L industrialisation doit vraiment remonter dans les projets pour comprendre les besoins de niveau de service et les risques en production, avoir une vue globale du SI, concevoir et influer en conséquence L industrialisation a une certaine responsabilité dans l identification ou l appréciation des contraintes non fonctionnelles d un projet. C est tout ce qui concerne les niveaux de service court terme et l évolutivité opérationnelle à moyen terme Notons aussi que cette remontée dans les projets et cette responsabilité partielle sur le non fonctionnel, sont d autant plus importantes que l entreprise fait appel à des intégrateurs ou infogérants
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 12 L industrialisation : nous attirons l attention (2/2) L industrialisation doit avoir une certaine compréhension des processus métier. Les moyens à mettre en place pour garantir la robustesse du SI en production dépendent des flux, des volumes et des contraintes de service sur ces processus. Il faut donc arriver à dépasser une vue technique limitée à ce qui est en cours de modification Nous attirons notamment l attention sur la surveillance et les procédures d exploitation pensés selon la compréhension des processus métier. Nous insistons en particulier sur les moyens de surveillance pour une gestion préventive des capacités de sorte à savoir réagir avant saturation Nous insistons notamment sur l expression de ces moyens lorsque la production est infogérée de sorte à passer d une vue selon la logique de l infogérant à une vue service aux métiers sur leurs processus
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 13 L architecture : la mission Cette mission garantit la flexibilité fonctionnelle et opérationnelle du SI. Il s agit de garantir la réactivité aux besoins d évolution des métiers et la capacité à l alignement stratégique du SI L architecture organise le SI de sorte à ce qu à tout moment dans le temps, il soit capable de répondre aux attentes de l entreprise. Elle cherche donc à anticiper les évolutions au regard d une part des fragilités actuelles et ce qui est important pour la réussite des métiers sur un horizon de 18 mois à 2 ans. On voit bien l importance de cette mission pour un management préventif Nous rappelons qu un SI s organise selon trois niveaux de réalité Les concepts du métier L'implémentation de ces concepts par des applications Le déploiement de ces applications sur une infrastructure en production 3 niveaux de réalité à organiser
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 14 L architecture : nous attirons l attention La capacité à organiser le SI nécessite d en gérer une représentation. Elle doit notamment en montrer les applications, les flux entre ces applications et la manière dont elles se déploient sur une infrastructure en production. Il est important que cette carte aille bien jusqu à l infrastructure en production L architecture définit une certaine planification Plan, Roadmap (plus ou moins formelle et consistante) qui vise à voir en avant. L objectif est de remonter à temps vis-à-vis des métiers en terme d investissements à prévoir ou de risque à traiter. Il s agit aussi de profiter des projets lorsqu ils sont évalués ou lancés pour aligner au mieux le SI. C est à ce niveau que doivent apparaître les points importants relatifs à la production. Nous insistons sur le fait que l architecture inclut un volet production
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 15 La relation métier : la mission Cette mission garantit l alignement des SI en Coût, Valeur Risque selon ce qui est important pour les métiers. Elle a une vue qui est à la fois court terme en appréciant les demandes de maintenance évolutive ou les arbitrages dans les projets, et à plus long terme en préparant les études d opportunités et arbitrages de positionnement des projets La relation métier «fait le pont» entre le métier et l informatique. Elle s intéresse à l ensemble du SI du métier, de façon permanente et non pas au travers du prisme réducteur d un projet. Elle pilote de fait la gestion du risque informatique pour les métiers. Nous insistons sur le fait qu elle est côté DSI
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 16 La relation métier : nous attirons l attention La relation métier existe de façon plus ou moins consistante dans la plupart des DSI. Nous voyons souvent qu elle est centrée sur le fonctionnel. Ceci est tout-à-fait légitime dans la mesure où les métiers voient d abord le fonctionnel. Ils ne voient pas bien les réflexions ou actions à mener du fait des aspects opérationnels du SI. Nous insistons sur l importance à ce que la relation métier ait aussi une vision de production Cette vision de production est d autant plus fondamentale que la gouvernance d entreprise insiste maintenant sur le risque opérationnel. Or la relation métier fait justement le lien entre ce risque et les moyens à mettre en œuvre du côté informatique pour le réduire Nous avons rappelé sur l industrialisation l importance d un arbitrage dans les projets qui sache mettre en perspective les aspects de production versus de fonctionnel, coût, délai immédiats. La relation métier doit jouer se rôle
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 17 Les autres missions - centrées sur la surveillance du risque - La gestion de l infrastructure. Elle doit fournir la visibilité sur le vieillissement, les fins de support et, à l inverse, les opportunités nouvelles La gestion des engagements de service. Elle réalise une surveillance qui est une entrée pour agir Le contrôle des risques. Elle donne aux décideurs de l informatique une compréhension du niveau et de l évolution du risque de perturbation des processus métier sur le SI
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 18 Les autres missions qui participent sur différents aspects La qualification. Elle doit savoir dans les évaluations des projets tenir compte correctement des exigences non fonctionnelles, et pas seulement chiffrer le fonctionnel Les tests. Elle doit permettre de monter dès la conception d un projet un prototype technique pour valider une capacité à tenir un engagement de service. Elle doit également permettre de valider la non régression technique suite aux évolutions de progiciels ou middleware Pour mémoire même si cela reste du correctif, la gestion des incidents et des problèmes
Yphise OPTIMISE EN COUT VALEUR RISQUE L INFORMATIQUE D ENTREPRISE 19 Synthèse D une approche corrective, c est-à-dire orientée incidents et problèmes, nous sommes passés avec YBRM à un management qui «construit la qualité» 1 l industrialisation permet une prise en compte des enjeux de production tout au long de chaque projet (c est le fondement à développer pleinement) 2 l architecture permet de «voir devant» et de façon globale au SI 3 la relation métier fait le lien avec ce qui est important pour le métier, donc le risque informatique pour l entreprise Il est important de constater que ce système gère le risque informatique pour l entreprise. Il permet de décider et d arbitrer à temps selon ce qui, in fine, est important pour le métier