Management des Systèmes d'Information

Bibliographie

M-H. Delmont, Y. Petit, J-M. Gautier, Management des systèmes d'information, Dunod

Webographie

L’ADN du Directeur des Systèmes d’Information, un poste à multiples casquettes : http://www.ey.com/FR/fr/Services/Advisory/IT/LADN-du-Directeur-des-Systemes-dInformation_Un-poste-a-multiples-casquettes
Le site du CIGREF : http://www.cigref.fr
Guide informatique : un site très complet sur le management des systèmes d'information http://guideinformatique.com
COBIT : http://home.nordnet.fr/~ericleleu/cours/cobit/cobit.pdf

Dans la partie précédente, les activités de la DSI ont été mentionnées. Revenons sur certaines de ces activités pour les préciser

Gouvernance des TIC et COBIT

La "gouvernance" des TIC doit répondre aux questions suivantes (E.Leleu, Cnam) :

Comment sont prises les décisions ?
Qui prend les décisions ?
Qui est tenu pour responsable ?
Comment le résultat des décisions est-il mesuré et suivi ?
Quels sont les risques ?

La réponse est dans le "cercle vertueux" : orienter, utiliser, rendre compte, contrôler.

Orienter : Donner les orientations stratégiques des différents processus de gestion,
Utiliser : Utiliser les processus métier pour fournir les services demandés,
Rendre compte : Chaque processus métier doit rendre compte de l'accomplissement de ses objectifs.
Contrôler : Contrôler le bon déroulement des processus, en les améliorant et au besoin, en définissant de nouvelles orientations.

Il existe plusieurs méthodes de gouvernance des systèmes d'information. Les plus connues sont :

COBIT (développé plus loin)
ITIL (Information Technology Infrastructure Library). Voir plus loin également.
CMMI (Capability Maturity Model Integration) qui est un modèle d'évaluation s'appuyant sur le principe de l'amélioration continue
SMSI (Système de Management de la Sécurité Informatique) qui s'appuie sur la norme ISO 27001. Comme l'indique son nom cette méthode est dédiée à la gestion de la sécurité des systèmes d'information

Pour une DSI, le contrôle est le point principal. A noter que le mot contrôle, en français, est ici à rapprocher de son équivalent , control, en anglais, qui signifie piloter. Le COBIT apporte son expertise en cette matière. Fondé en 1994 par l'ISACA (Information System Audit and Control Association), le COBIT (Control Objectives for Business Information and related Technology) est un outil de référentiel de la gouvernance des systèmes d'information. Il s'adresse, bien évidemment aux auditeurs, consultants et responsables des systèmes d'information. Le référentiel du COBIT découpe un systèmes d'information en 34 processus répartis sur 4 domaines représentés schématiquement ci-dessous :

Source : E. Leleu

Planning and Organization : Planification et Organisation : Comment utiliser au mieux les technologies afin que l'entreprise atteigne ses objectifs ?
Acquisition and Implementation : Acquisition et Mise en place : Comment définir, acquérir et mettre en oeuvre les technologies nécessaires en adéquation avec les business processus de l'entreprise ?
Delivery and Support : Distribution et Support : Comment garantir l'efficacité et l'efficience des systèmes technologiques en action ?
Monitoring : Surveillance : Comment s'assurer que la solution mise en oeuvre corresponde bien aux besoins de l'entreprise dans une perspective stratégique ?

Chaque processus met en œuvre des ressources informatiques (applications, informations, infrastructures et personnes au sens compétences), fournit une information destinée à satisfaire les besoins métiers exprimés sous formes de critères (efficacité, efficience, confidentialité, intégrité, disponibilité, conformité, fiabilité) concerne un ou plusieurs des domaines de la gouvernance des SI (alignement stratégique, apport de valeur, gestion des risques, gestion des ressources, mesure de la performance).

En résumé, COBIT est une méthodologie d’évaluation des services informatiques au sein de l’entreprise. Cette démarche s'appuie sur un référentiel de 34 processus (bonnes pratiques collectées auprès d'experts SI) et sur des indicateurs d'objectifs (KGI) et de performance (KPI) permettant de mettre les processus sous contrôle afin de disposer des données permettant à l'entreprise d'atteindre ses objectifs (alignement des technologies sur la stratégie de l’entreprise). Le COBIT définit 7 objectifs ou critères : efficacité, efficience, confidentialité, intégrité, disponibilité, conformité, fiabilité. Pour les atteindre, COBIT utilise 5 ressources : compétences, applications, technologies, facility management, données. Une cartographie du management d'un système d'information peut être créé en indiquant pour chaque domaine, les processus, les objectifs et les ressources comme le montre l'exemple ci-dessous pour le domaine "planification et organisation" :

Audit de performances

Il permet de contrôler dans les conditions de l’utilisateur que le service est bien rendu par le système d'information.

Ses objectifs sont de :

Détecter les dysfonctionnements
Se mettre à la place de l’utilisateur
Evaluer la qualité du service

Pour celà, deux méthodes principales peuvent être appliquées :

la méthode de l'agent passif : mettre sur le poste client un applicatif enregistrant un certain nombre de paramètres indicatifs (fréquences et moments d'utilisation, applications utilisées simultanément, etc.)
la méthode de l'agent actif qui consiste à simuler un utilisateur

Les figures suivantes donnent un exemple de résultats d'un audit portant sur le temps de réponse client/réseau/serveur :

Le schéma montre clairement les périodes où le temps de réponse est plus long que la moyenne. Reste à chercher pourquoi.

Concernant l'évaluation des performances, il existe deux démarches principalement utilisées :

le référentiel COBIT (Control Objectives for Information and related Technology). qui porte sur les 4 domaines suivants : planifier et organiser, acquérir et mettre en place, délivrer et maintenir, surveiller et évaluer). Voir le site http://www.afai.fr/index.php?m=29 .
l'IT Scoreboard qui s'appuie sur une méthodologie plus générale, le Balanced Scoreboard, et qui est plus centré sur les préoccupations des métiers et de la direction générale. Voir le site http://www.afai.fr/index.php?m=67.

Financement des investissements informatiques

Pour financer les infrastructures informatiques dont les coûts sont souvent importants, plusieurs possibilités sont à envisager :

Le paiement direct ou auto-financement qui est adapté aux produits peu couteux.
Le crédit sous deux formes : le crédit ordinaire qui est peu utilisé sauf pour de très gros investissements, le crédit-bail ou leasing qui est une location avec option d'achat
La location, soit de courte durée (investissement temporaire), soit à plus long terme mais avec un contrat prévoyant une évolution du matériel sans modification du versement périodique
L'externalisation sous forme d'achat de prestations extérieures et non d'investissements (voir ci-dessous).

Externalisation : infogérance / outsourcing et offshore

Le principe de l'externalisation appelée infogérance ou outsourcing est de confier la gestion d'une activité à un prestataire extérieur. L'externalisation peut, sur cette activité, être partielle ou totale.

Le guide informatique (voir le site mentionné dans la webographie) énumère 22 points clés pour le succès d'une externalisation :

1. compréhension des motivations et des objectifs de l’entreprise par le prestataire

2. compréhension de l’environnement économique (contexte, secteur…) de l’entreprise par le prestataire

3. définition explicite du périmètre et du contenu de l’externalisation par l’entreprise avant la contractualisation avec le prestataire

4. qualité du formalisme juridique du contrat

5. exhaustivité du contrat ( tous les cas de conflits sont prévus…)

6. recours à un maximum de composants technologiques (hard, soft…) dits standards (ex. TCP/IP, UNIX, EDIFACT, SAP, Windows…)

7. réalisme des objectifs de l’entreprise

8. maîtrise antérieure, par des compétences internes, du périmètre nouvellement externalisé

9. anticipation des phénomènes sociaux liés à l’externalisation

10. pilotage du prestataire par l’entreprise (coordination, contrôle…)

11. appropriation des prestations issues de l’externalisation par le public cible

12. efficience du management de projet (mise en œuvre et bascule)

13. liens (interfaces) entre le périmètre externalisé et le « resté internalisé »

14. compétence technique du prestataire

15. compétence organisationnelle de l’entreprise

16. avant-gardisme technologique des solutions mises en œuvre

17. fiabilité éprouvée des technologies utilisées dans les solutions mises en œuvre

18. pression produite par des phénomènes externes aux échéances incontournables (ex. an 2000, euro…)

19. solidité financière du prestataire

20. références antérieures du prestataire

21. maintien de compétences techniques de haut niveau au sein de l’entreprise stricte relation client/fournisseur

22. une attitude coopérative de la part de l'entreprise et du prestataire plutôt qu'une stricte relation client/fournisseur.

Voir le guide (dossier "Externalisation des systèmes d'information) pour plus de détails.

Dans un autre dossier ("Outsourcing, mode d'emploi"), le guide conseille 8 étapes-clés pour réussir une externalisation :

vérifier l'alignement culturel de l'entreprise,
se décider à changer
communiquer en interne
lancer une Request For Interest (RFI) auprès des fournisseurs : Il s'agit de déterminer la liste des fournisseurs potentiels, de leur proposer un cahier des charges, puis de compléter celui-ci, notamment en fonction des remarques des candidats.
lancer une Request For Proposal (RFP) : après l'appel d'offres, en général 3 candidats sont retenus.
faire converger les offres
due diligence : Le fournisseur doit avoir accès aux locaux, aux documentations sur les matériels et les applications.
choisir le prestataire

Là aussi, on trouvera les informations utiles dans le guide informatique mentionné.

Une autre manière de pratiquer l'externalisation est l'offshore qui est l'opération de sous-traitance de tout ou partie d'un projet/service informatique (entre autres) par un prestataire en provenant d'un autre pays. Généralement, il s'agit de pays en voie de développement pratiquant des prix très compétitifs par rapport aux prix domestiques.

Urbanisation des systèmes d'information

La définition CIGREF de l'urbanisation des systèmes d'information est la suivante : "démarche qui consiste à rendre un système d’information plus apte à servir la stratégie de l’entreprise et à anticiper les changements dans l’environnement de l’entreprise."

La finalité est de "découper" le système d'information en parties (analogues aux ilots urbains) qui peuevnt évoluer sans contraindre (pas trop) les autres parties. L'objectif recherché est de rendre le système d'information

plus rationnel
plus modulaire
plus réactif

La modularisation du système d'information est de type hiérarchique :

SI --> zones --> quartiers --> ilots --> blocs fonctionnels

Un système d'information est amené à évoluer de manière pratiquement constante pour les raisons suivantes :

Environnement concurrentiel des entreprises : changer est une habitude normale
Gérer la contradiction entre la continuité des services et la mobilité des individus
Evolution des technologies et des méthodes
Présence de référentiels : données, processus, règles

(d'après un document CIGREF)

L'urbanisation consiste cependant en une opération complexe mélangeant plusieurs visions comme le montre le document CIGREF suivant :

Gestion de la qualité

Vu du côté des utilisateurs, le système d'information a pour but de fournir des services de qualité. En ce qui concerne la qualité, nous avions déjà précédemment mentionné l'audit de performances.

En ce qui concerne les services à l'utilisateur, les indicateurs suivant sont pertinents :

l'accessibilité au service
la disponibilité du service
le délai d'accès au service
la fiabilité du service

Concernant plus particulièrement la production de services, il existe un référentiel appelé ITIL (Information Technology Infrastructure Library). Il s'agit d'une bibliothèque d'ouvrages recensant les bonnes pratiques des services informatiques. Ces ouvrages font des recommandations :

Comment organiser un système d'information ?
Comment améliorer l'efficacité du système d'information ?
Comment réduire les risques ?
Comment augmenter la qualité des services informatiques ?

ITIL propose aussi une certification bien connue des professionnels, la certification ITIL organisées en modules de plusieurs crédits obtenus après formation :

Formations ITIL Intermediate – Lifecycle :
- Stratégie des Services (SS) ( 3 crédits)
- Conception de Services (CS) (3 crédits)
- Transition des Services (ST) (3 crédits)
- Exploitation de Services (SO) (3 crédits)
- Amélioration continue de services (CSI) (3 crédits)
Formations ITIL Intermediate – Capability :
- Release, control and Validation (RCV) (4 crédits)
- Service Offering and agreement (SOA) (4 crédits)
- Operation Support and Analysis (OSA) (4 crédits)
- Planning, Protection and Optimization (PPO) (4 crédits)

Le schéma suivant indique les "grades" qui peuvent être obtenus dans la certification ITIL :

Version pdf