Gouvernance des S.I.

Gouvernance des systèmes d’information

La gouvernance des systèmes d’information s’intéresse à la performance et à la gestion des risques associés aux systèmes d’information. Lors d’un projet informatique complexe, on peut craindre qu’un professionnel des technologies de l’information ne se retrouve seul pour prendre des décisions-clés. En effet, d’autres composantes de l’entreprises, bien que concernées, peuvent ne pas avoir les compétences techniques pour comprendre et intervenir à bon escient. Il s’agit donc de définir des outils permettant à l’ensemble des intervenants (directions générales, direction financière, conseil d’administration...) d’interagir avec le système d’information et de participer aux prises de décision les concernant. C’est ainsi que, suite à divers dysfonctionnements graves (Enron, Arthur Andersen et Worldcom...), les principes de bonne gouvernance (Sarbanes-Oxley, Bâle II) comportent un volet IT. Les objectifs principaux de la gouvernance des SI sont d’assurer que les investissements IT sont générateurs de valeur, de contrôler les risques et finalement, de piloter la DSI avec des indicateurs métiers. Les moyens pour atteindre ces objectifs comprennent la définition des infrastructures, responsabilités, processus, etc. Plusieurs outils sont actuellement disponibles et complémentaires :

Control Objectives for Information and related Technology (COBIT®)

Il s’agit d’un ensemble de bonnes pratiques (« best practices ») pour la gestion des systèmes d’information, créé par le Information Systems Audit and Control Association (ISACA) et le IT Governance Institute (ITGI) en 1992. COBIT permet aux managers et auditeurs de bénéficier d’indicateurs leur permettant de contribuer à la gouvernance de manière efficace. Dans sa 4e édition, COBIT a 34 objectifs de haut niveau couvrant 215 objectifs de contrôle catégorisés dans quatre domaines :
1. Planifier et organiser (Plan and Organize)
2. Acquérir et Implémenter (Acquire and Implement)
3. Livraison et support (Delivery and Support)
4. Contrôler et évaluer (Monitor and Evaluate)
Le guide d’audit permet d’évaluer et de justifier les risques et les faiblesses des objectifs généraux et détaillés et de mettre en place des actions correctives. Le guide de management fournit des indicateurs clés d’objectif et de performance et des facteurs clés de succès. Un modèle de maturité évalue l’atteinte d’un ou plusieurs objectifs généraux sous forme d’une échelle de 0 à 5 :
 Inexistant.
 Existant mais non organisé (initialisé au cas par cas).
 Décrit (reproductible mais intuitif).
 Défini (avec documentation).
 Surveillé et mesuré.
 Optimisé.

Capability Maturity Model Integration (CMMI®)

Dans les années 1980, le Department of Defense (DoD) américain a demandé l’élaboration d’un référentiel de critères lui permettant d’évaluer ses fournisseurs de logiciel. Après une lente maturation, le Carnegie Mellon SEI (Software Engineering Institute) financé par le DoD a présenté en 1991 le CMM (Capability Maturity Model, désormais rebaptisé SW-CMM pour "software engineering"). Ce modèle de référence ne concernait que les bonnes pratiques du génie logiciel. Des déclinaisons ont ensuite vu le jour : systems engineering (SE), Integrated Product and Process Development (IPPD) et supplier sourcing (SS). Le CMMI, proposé en 2001, regroupe l’ensemble de ces modèles (sauf la gestion des ressources humaines - People CMM - qui n’est pas encore intégrée). Les bonnes pratiques préconisées par le modèle sont rassemblées en 24 macro-processus eux-mêmes regroupés en niveaux de maturité au nombre de cinq :

 Initial : Les facteurs de réussite des projets ne sont pas identifiés, la réussite ne peut donc être répétée (par dérision, ce niveau est aussi nommé héroïque ou chaotique).
 Piloté : Les projets sont pilotés individuellement et leurs succès sont répétables.
 Standardisé : Les processus de pilotage des projets sont mis en place au niveau de l’organisation par l’intermédiaire de normes, procedures, outils et méthodes.
 Quantifié : La réussite des projets est quantifiée. Les causes d’écart peuvent être analysées.
 Optimisé : La démarche d’optimisation est continue. Il y a deux manières de représenter la progression : soit par étapes (maturity levels), soit de manière continue (capability levels).

Information Technology Infrastructure Library (ITIL®)

ITIL, développé par le UK Government’s Office of Government Commerce (OGC), consiste en une série de documents définissant sept ensembles de points-clé (les deux premières sont les plus souvent utilisées) :

 Service Support (Soutien aux services) : - La gestion des changements (Change Management)
- La gestion des mises en production (Release Management)
- La gestion des problèmes (Problem Management)
- La gestion des incidents (Incident Management)
- La gestion des configurations (Configuration Management)
- Le centre de services (Service Desk)

 Service Delivery (Fourniture aux services) : - La gestion financière des TI (IT Financial Management)
- La gestion des capacités (Capacity Management)
- La gestion de la disponibilité (Availability Management)
- La gestion de la continuité (IT Continuity Management)
- La gestion des niveaux de service (Service Level Management)

 Gestion des infrastructures des TIC (ICT Infrastructure Management)

 Planification pour la mise en œuvre des services (Planning To Implement)

 Gestion des applications (Applications Management)

 Objectif métier (Business Perspective)

 Gestion de la sécurité (Security Management)

Les normes de gestion de services rendus sur la base d’une infrastructure informatique et de télécommunications, en suivant les recommandations ITIL, sont connues sous le nom de ITSM (IT Service Management). L’ITSM est normalisé au Royaume-Uni sous la référence BS 15000 et au niveau international est inclus dans la norme ISO 20000.