La gestion de services chez un organisme public
Le contexte du client
Voici un exemple de programme de mise en œuvre de la gestion de services chez un client que j’ai accompagné pendant près de trois ans. Il s’agit d’un département informatique d’une organisation qui dépend directement d’un ministère. Ce département informatique compte un peu plus de 150 collaborateurs, pour gérer plusieurs milliers d’utilisateurs répartis sur l’ensemble de la métropole et des départements d’outre-mer. Il est en charge de la fourniture d’une offre bureautique et des services dits administratifs (gestion financière, gestion du personnel, intranet…). Il n’est pas responsable des applications dites métier des utilisateurs et s’appuie sur des services informatiques communs à l’administration centrale (comme le réseau). Les applications métier sont sous la responsabilité d’organisations informatiques internes spécifiques : l’informatique a été "métiérisée", car elle demande un savoir-faire particulier et très pointu à chaque domaine.
Ce département informatique héberge dans ses centres ses serveurs et ses applications, et il est responsable du support et de la maintenance niveau 1 et niveau 2. Il sous-traite la plupart de ses développements...
La demande de la direction informatique
Ce département informatique a besoin de montrer aux entités métier qu’il offre un certain niveau de qualité pour la fourniture de ses services informatiques. N’étant pas certifiée ISO 9000, la direction informatique a décidé d’obtenir un niveau de qualité équivalent à la norme ISO 20000 et, si nécessaire, d’obtenir cette certification. C’est un enjeu vital pour le département informatique qui est face à ses homologues, les entités informatiques gérant les applications métier. Elles sont toutes soumises à des exigences de qualité et de sécurité très élevées.
Les conditions étaient bien sûr de faire avec les ressources existantes (pas de nouvelle embauche de personnel). Seul le responsable qualité a été déchargé d’une partie de son travail quotidien pour m’accompagner dans la démarche.
Après des discussions, un délai de deux années maximum pour être au niveau d’une certification ISO 20000 a été décidé.
Je suis donc intervenu pour accompagner ce département informatique pour l’amener à un niveau qui lui permettrait un passage à une certification ISO 20000 dans...
La mise en œuvre de la gestion de services ISO 20000
La mise en œuvre a consisté à planifier la démarche, basée sur des audits de maturité qui vont amener des plans d’action, à mettre en œuvre ces plans d’action, à adapter l’outillage de gestion de services existant, et à sensibiliser et former le personnel des équipes.
Un chef de projet certification ISO 20000 a été nommé. Il s’agit du responsable qualité. Il est accompagné par deux consultants externes à mi-temps.
1. Le périmètre
Le périmètre de la certification a été défini sans trop d’ambition, pour réduire la durée de la phase de préparation et tenir le délai de deux années demandées par la direction, quitte à étendre ce périmètre dans un deuxième temps.
Le périmètre couvre la fourniture de l’ensemble des services bureautiques et des services dits administratifs (gestion financière, gestion du personnel, intranet…). En termes d’infrastructure, il couvre les serveurs centraux, les postes de travail fixes et mobiles avec leurs périphériques et les équipements des réseaux locaux. L’ensemble des équipements réseau WAN ne fait pas partie du périmètre. Concernant les utilisateurs, seuls les utilisateurs de France métropolitaine sont dans le périmètre de la certification. Comme il n’existe pas d’équipes support dans les agences des DOM-TOM, les utilisateurs d’outre-mer ne font pas partie du périmètre, car il est difficile de s’engager sur les délais de rétablissement avec un engagement de résultat : on restera sur un engagement de moyen.
2. La démarche des audits de maturité
Dans les travaux d’accompagnement, il a été...
Les processus à certifier
Les processus ont été regroupés en cinq domaines comme demandé par la norme ISO 20000, mais on a ajouté le processus de gestion des évènements qui était déjà déployé (même s’il ne fait pas partie du périmètre de la norme). La fonction centre de services a été intégrée au domaine de la résolution.
La fourniture des services
-
La gestion des niveaux de services
-
La gestion de la continuité informatique et la gestion de la disponibilité
-
La gestion de la capacité
-
La gestion de la sécurité
-
La gestion financière (budgétisation et comptabilité)
-
La gestion des rapports de services
La gestion des relations
-
La gestion des fournisseurs
-
La gestion des relations métier
La résolution
-
La gestion des incidents
-
La gestion des problèmes
-
La fonction centre de services
-
La gestion des évènements
Le contrôle
-
La gestion des changements
-
La gestion des configurations
La mise en production
-
La gestion des mises en production
Voici l’état de maturité initial des processus pour cette organisation, suivant le questionnaire proposé par l’OGC.
1. Le processus de gestion des changements
Ce processus a atteint le niveau 4. Il est donc déployé, documenté, contrôlé et suivi. Son score est de 60 points sur 107, d’où un pourcentage de réponses positives de 56 %. Ceci est un pourcentage assez bas compte tenu du niveau de maturité élevé. Les fondamentaux de ce processus sont bien en place ; par contre, on doit solidifier un certain nombre de points (voir le plan d’amélioration associé) et atteindre un pourcentage de réponses positives de 70 % minimum, sinon on risque de perdre rapidement en niveau de maturité.
2. Le processus de gestion des mises en production (MEP)
Ce processus a atteint le niveau 2, le niveau 2,5 n’ayant pas été atteint. Par contre, les niveaux 3 et 3,5 sont atteints. Il est déployé, documenté, contrôlé et suivi, mais une question ou deux font chuter le passage au niveau 2,5. C’est une situation assez courante, où l’on voit l’échec à un niveau...
Les exigences
Les exigences sont structurées en huit chapitres comme indiqué dans la norme ISO 20000 :
-
la responsabilité de la direction,
-
la gestion de la documentation,
-
la gestion des compétences,
-
la planification de la gestion de services,
-
la mise en service de la gestion de services,
-
la surveillance, la mesure et la revue,
-
l’amélioration continue,
-
la planification et la mise en œuvre des modifications ou des créations de services.
Il a été décidé de travailler sur les exigences dès que la majorité des processus ont atteint un niveau de maturité suffisant (niveau 3). Cela a permis de ne pas surcharger les plans d’amélioration avec trop d’actions.
Voici donc l’état initial des exigences :
Rubriques |
Réponses positives |
|
Exigences ISO 20000 Maturité initiale |
Responsabilité direction |
49 % |
Compétences |
25 % |
|
Planification de la gestion de services |
93 % |
|
Mise en œuvre de la gestion de services |
38 % |
|
Surveillance et mesures |
22 % |
|
Amélioration continue |
0 % |
|
Planification et mise en œuvre des évolutions |
0 % |
À la fin de la campagne de préparation, tous les chapitres des exigences avaient atteint 80 %, sauf la gestion de la documentation qui restait autour de 60 %.
Les difficultés rencontrées
La principale difficulté a résidé dans le peu de motivation de certaines équipes pour cette certification. En effet, le personnel de cette organisation est constitué d’un mix de fonctionnaires, de vacataires et de prestataires externes. On ne motive pas de la même façon ces trois types de population, surtout pour un objectif à moyen terme voire long terme comme une certification ISO 20000. Il faut bien se rendre compte que les activités liées aux changements demandés amènent une surcharge de travail. Cette surcharge de travail est difficilement acceptable lorsque vous avez un contrat à durée limitée et que vous ne verrez peut-être pas les bénéfices de ces changements. On rappelle que la direction ne voulait pas embaucher de nouvelles ressources.
L’accompagnement aux changements a été sous-estimé par l’ensemble des responsables d’équipe et des encadrants. Il n’y a pas eu suffisamment de promotion des bénéfices apportés par la gestion de services diffusée par le management intermédiaire.
Une autre difficulté rencontrée, et qui est peut-être liée à la précédente, est la suivante : la non-implication des équipes études et projets. En effet, on l’a montré...
Conclusion
Au bout de deux années, les processus et les exigences avaient atteint un niveau suffisant pour présenter l’entité à un audit à blanc de certification qui permettra de mettre à jour les derniers points de blocage.
Mon travail d’accompagnement s’est arrêté à ce moment-là. J’ai su par la suite que cet audit avait été effectué avec succès. Malgré cela, la direction informatique n’a pas voulu se présenter à la certification officielle pour des raisons qui me sont inconnues (peut-être un changement de stratégie au niveau direction générale). Mais le principal était atteint : obtenir un niveau de qualité de services élevé, ce qui a convaincu et rassuré les autres directions informatiques (métiers) de cet organisme.