• Bookmark

Adaptation de COBIT 5 et d'ITIL à une municipalité saoudienne

Par Govind Kulkarni, COBIT5, CSQA, expert ITIL, PMP

COBIT Focus | 25 mai 2015 Arabe | Anglais | Italien | Portugais | Espagnol

La municipalité saoudienne de cette étude de cas est un établissement public existant depuis 50 ans. Son but principal est de servir les citoyens à l'intérieur de sa région.


Certains des services les plus importants rendus aux citoyens sont, entre autres, les services de santé, les installations sanitaires, l'eau, l'électricité, les routes et les écoles. Ces services sont fournis à 7 millions d'habitants. Toutes les informations liées à ces 7 millions de citoyens sont gérées par le service informatique de la municipalité.


Certains des services informatiques dans la municipalité sont utilisés par la municipalité (par exemple, le progiciel de gestion intégrée [PGI]) et quelques-uns sont offerts au public (par exemple, les services de santé, les écoles, les services policiers). Fournir un bon service aux citoyens est l'objectif principal de la municipalité et les informations jouent un rôle crucial. L’information peut être liée au nom d'un citoyen, à son âge, son sexe, son éducation, sa santé, son logement, ses installations sanitaires, ses plaintes, ses préférences, etc.


Une importante quantité d'informations est créée par la municipalité, et la gestion adéquate, systématique et efficace de ces informations représente un défi. En outre, la langue présente une dimension de plus puisque certains citoyens veulent des informations en arabe seulement et certains veulent que les mêmes informations soient aussi présentées en anglais.
 

Une importante quantité d'informations est créée par la municipalité, et la gestion adéquate, systématique et efficace de ces informations représente un défi.


La municipalité doit porter une attention suffisante à la gestion des informations et s'y concentrer. L'indisponibilité de l'information lorsqu'elle est absolument nécessaire ou l'inexactitude de l'information, même lorsqu'elle est disponible, sont une source de frustration pour les citoyens, et la municipalité ne peut prendre ce risque. L'information est gérée par l'entremise d'une liste de services que la municipalité fournit aux utilisateurs internes et externes et aux clients.


Ainsi, la municipalité a choisi d'adapter et de mettre en oeuvre une gouvernance d'entreprise et un cadre de gestion de service pour imposer une discipline, une structure et une approche organisée à la gestion des informations. Dans cette étude, la municipalité a examiné à la fois COBIT 5 et la bibliothèque de données sur l'infrastructure des technologies de l'information (ITIL).


Alors que la mise en oeuvre de COBIT 5 et d'ITIL à la municipalité saoudienne est toujours en cours et que l'on prévoit encore au moins un an pour la terminer, nous verrons dans cette étude de cas la façon dont l'adaptation de COBIT 5 et d'ITIL a été entreprise, ses motivations, l'approche utilisée et les facilitateurs axés sur la fourniture d’enseignements et les détails; l'approche adoptée pour établir des processus; et comment l'adaptation de COBIT 5 et ITIL a contribué à la réalisation des objectifs des TI et de la municipalité.


Le département des TI de la municipalité est dirigé par un directeur des systèmes d'information (DSI). Plusieurs départements, tels la gestion de réseaux, la gestion de l'infrastructure et le bureau de gestion de projet (BGP), sont dirigés par les directeurs qui relèvent du DSI. Les applications informatiques sont principalement achetées auprès des fournisseurs.


Il y a plusieurs départements, tels le département juridique, la production des soumissions et la gestion de la stratégie qui utilisent les services informatiques. Chaque département exige le bon type d'informations pour créer, éditer, modifier, emmagasiner et archiver. Par conséquent, il est important qu'une approche structurée fondée sur des cadres éprouvés tels que COBIT et ITIL soit adoptée.


Motifs de mise en œuvre des principes de gouvernance et de gestion des services

Les principaux motifs de mise en oeuvre d'un cadre de gouvernance et de gestion des services étaient les points problématiques de la municipalité, notamment :

  • Le manque de continuité des affaires
  • Le besoin de discipline dans la gestion des actifs informatiques
  • Les incidents majeurs causant l'indisponibilité de services
  • La gestion du risque TI et de la sécurité insuffisante
  • La création de valeur d’affaires pour les parties prenantes

Un autre motif clé était de tirer profit des TI. L'argent n'était pas un facteur important. Puisqu'il s'agit d'un organisme gouvernemental, la justification des investissements est le seul critère que les dépenses doivent satisfaire.


Année après année, les TI étaient bien financées. Toutefois, la détermination de la valeur générée par les TI était la raison principale pour mettre en oeuvre ces cadres. L'objectif était de réaliser un rendement sur le capital investi (RCI) en TI. Les TI ont aussi dû œuvrer dans de nombreux domaines, y compris :

  • La réduction des incidents
  • Le nombre d'utilisateurs qui sont satisfaits des services municipaux
  • La mise en place d'une stratégie pour faire face aux défis à venir telle la demande d'augmentation de services
  • L’intégration avec d'autres municipalités et leurs périphéries
  • L’atteinte d’une conformité continue
  • La gestion du risque

La municipalité tenait à mettre en oeuvre les référentiels de meilleures pratiques; donc, obtenir l'engagement de la direction générale n'a jamais posé un problème. Le DSI a personnellement donné le coup d'envoi au projet et a guidé chaque membre pour démontrer l'importance de plusieurs référentiels et de la gestion de l'information.


Création d'une équipe de mise en oeuvre

Pour tirer profit des TI, il a été jugé nécessaire de mettre en oeuvre un cadre de meilleures pratiques. La question était : quels membres feraient idéalement partie de cette équipe et qui se rapporterait à qui?


La municipalité compte 60 membres du personnel informatique travaillant dans divers départements. La Figure 1 présente la structure administrative créée aux fins de la mise en oeuvre.


Figure 1—Structure hiérarchique de l'équipe de mise en œuvre du cadre

Source : Govind Kulkarni. Réimpression avec autorisation.


La préparation de l'équipe, les rôles et responsabilités incluent :

  • Chaque membre a été formé sur les référentiels des meilleures pratiques, normes et principaux processus COBIT 5, soit aligner, planifier et organiser (APO), bâtir, acquérir et implémenter (CAI) et livrer, servir et soutenir (DSS) ainsi que la gouvernance.
  • Les personnes-ressources critiques ont reçu une formation et une certification COBIT 5 au niveau des principes fondamentaux et de la mise en oeuvre.
  • Les personnes-ressources critiques ont également reçu la formation ITIL au niveau de l'expertise. Le BGP était responsable du suivi hebdomadaire des problèmes, des rapports, des coûts et de la livraison de valeur.
  • L'équipe de traductions était responsable de convertir les processus et autres documents en arabe et de guider les utilisateurs dans la langue.
  • L'équipe de mise en oeuvre était responsable de la mise en oeuvre globale des référentiels de meilleures pratiques et de l'ordre des priorités. L'équipe de mise en oeuvre était composée de rédacteurs de processus.
  • L'équipe des outils était responsable de convertir les processus en outils et de permettre la cartographie des outils aux processus lorsque nécessaire.

Évaluation de la situation actuelle

L'évaluation de la situation actuelle a été effectuée par le biais d'une liste de contrôle normalisée. Des rencontres et des ateliers ont servi de moyen d'identification des faiblesses de fonctionnement des TI dans des domaines importants au cours des 6 derniers mois, notamment :

  • Les investissements informatiques
  • La vision/les objectifs des TI
  • La stratégie des TI pour les 5 prochaines années
  • Les points problématiques des TI
  • Les principaux processus des TI
  • Les besoins en matière de conformité

Ces domaines ont fait l'objet de discussions avec les TI, à certains moments, avec les utilisateurs finaux, puis ont été documentés et partagés avec toutes les parties prenantes. Ces documents d'évaluation de la situation actuelle ont contribué à mettre l'accent sur les domaines d'intérêt pour les utilisateurs.


Priorité et stratégie de mise en oeuvre

Comme le mentionne le COBIT 5, les domaines pouvant être mis en oeuvre rapidement et fournir des gains rapides tout en abordant les points problématiques sont ceux devant être mis en oeuvre lors des phases initiales. Ce concept a alimenté le plan de mise en oeuvre basé sur les points problématiques actuels.


La priorité de mise en oeuvre était sur les processus clés. Le modèle de référence du processus (MRP) a été mentionné pour la mise en oeuvre. Les processus sélectionnés à partir du MRP ont été regroupés en 2 catégories, priorité 1 et priorité 2. Ensuite, le plan de mise en oeuvre a été créé. Les processus de mise en oeuvre des priorités 1 et 2 sont regroupés dans la phase 1.


Phase 1


Les processus de mise en oeuvre de priorité 1 incluent :

  • APO02—Gérer la stratégie
  • APO05—Gérer le portefeuille
  • DSS02—Gérer les demandes de service et les incidents
  • DSS03—Gérer les problèmes
  • DSS04—Gérer la continuité
  • BAI10—Gérer la configuration
  • BAI06—Gérer les changements
  • BAI04—Gérer la disponibilité et la capacité
  • BAI07—Gérer l'acceptation du changement et la transition

Les processus de mise en oeuvre de priorité 2 incluent :

  • BAI08—Gérer la connaissance
  • APO09—Gérer les ententes de services
  • APO10—Gérer les fournisseurs
  • APO08—Gérer les relations
  • APO13—Gérer la sécurité

Phase 2


Dans la deuxième phase (c.-à-d., suivant la mise en oeuvre de tous les processus de gestion), le plan consiste à inclure les processus de gouvernance. Or, cette étude de cas ne souligne que les processus de gestion.


Après discussion avec la haute direction et le département de la stratégie, une stratégie TI a été élaborée. La stratégie a inclus une vision TI à court et à long terme (5 ans) s'harmonisant avec la vision d'affaires, un énoncé de mission et les objectifs.


Plusieurs ateliers avec les utilisateurs, le département des TI et les membres des unités d’affaires ont été organisés pour former les intervenants sur la stratégie informatique et leur participation probable, leurs rôles et leurs responsabilités.


Préparation du plan de mise en oeuvre et coup d'envoi du projet

Le cadre de mise en oeuvre a été mené comme tout projet, avec une date de début et une date de fin précises, des jalons et des responsabilités. L'ensemble des tâches standard répertorié à la figure 2 devait être réalisé pour chaque processus.


Figure 2—Principales tâches du plan de mise en oeuvre

Nom de la tâche

Recueillir les exigences du processus auprès des intervenants; Conduire les réunions et les ateliers.
Créer la documentation des processus; faire une liste des flux de travail, des statuts.
Entreprendre des ateliers de documentation des processus à l'intention des parties prenantes.
Corriger la documentation des processus en se basant sur les contributions d'atelier.
Obtenir les approbations—anglais.
Obtenir les approbations—arabe.
Imprimer, archiver et distribuer le processus à l'équipe des outils.
Entreprendre des discussions sur la mise en oeuvre du processus et des outils.
Fournir du soutien et de l'assistance pour la mise en oeuvre des outils.
Entreprendre la mise en oeuvre du processus pilote à l'aide des outils et d'explications détaillées pour les utilisateurs finaux.
Offrir des ateliers aux utilisateurs finaux afin de développer leur confiance dans les nouveaux processus et outils.
Démarrer le processus.
Tenir compte des problèmes suivant la mise en oeuvre et soutien aux processus et aux corrections.
Baliser le processus.

Source : Govind Kulkarni. Réimpression avec autorisation.


Un calendrier d'une durée d'un an a été créé et soumis à la direction. Un examen trimestriel de la mise en oeuvre était prévu et incluait des évaluations hebdomadaires du statut, des défis et des activités de replanification.


Un registre des parties prenantes a également été inclus avec les détails suivants :

  • Nom
  • Titre
  • Département
  • Relation
  • Coordonnées
  • Niveau d'implication de l'intervenant dans chacune des tâches de mise en oeuvre

Contenu des processus

Chaque processus déterminé en priorités 1 et 2 contient les mêmes éléments de base, incluant :

  • La présentation du processus
  • Le but et les objectifs du processus
  • La portée du processus
  • Les acronymes, les définitions et les termes utilisés dans ce processus
  • Les références utilisées pour créer la documentation du processus
  • Les règles du processus devant être respectées par les utilisateurs et les TI
  • La valeur pour les affaires
  • Les méthodes, les techniques et les activités
  • Les escalades
  • Les ententes de service à effectuer
  • Les statuts des processus
  • Les intrants/extrants clés (I/E) et les interfaces avec d'autres processus
  • Les indicateurs clés de performance (KPI) et les facteurs critiques de succès du processus ainsi que les méthodes de collecte des mesures
  • Les réunions pour vérifier le statut du processus de mise en oeuvre et les problèmes
  • Le processus de rapport
  • Les facteurs de risque, les hypothèses et les défis

Les exigences des processus ont été recueillies au cours des ateliers dans lesquels les discussions, les suggestions, les désaccords et les avantages et inconvénients ont été travaillés afin d'en arriver à un document de processus.


Les objectifs d’affaires ont été mis en correspondance avec les objectifs de processus dans chaque processus, par exemple :

  • Objectif d’affaires : La satisfaction de l'utilisateur final doit être maintenue ou accrue.
  • Objectif du processus DSS02 Gérer les demandes de service et les incidents : Quel est le temps de réponse et le temps de résolution d’un incident? Plus un incident est résolu rapidement, plus les utilisateurs seront satisfaits.

Des modèles standard pour documenter les processus ont été créés. La planification de l'atelier selon les détails suivants a été créée (figure 3).


Figure 3—Planification de l'atelier

Sr.
No

Sujets

Groupe de participants I Ensemble-1 (Membres du comité directeur et autres gestionnaires et ingénieurs)

Remarques

   

Date

Heure

 
1 APO05-Comprendre le catalogue de services et le portefeuilles Mercredi, 2 avril 2014 9 h à 9 h 30

Les détails du programme seront partagés au moins 3 jours avant l'atelier par le BGP

2 APO02—Gérer la stratégie pour les services TI Mercredi, 9 avril 2014 9 h à 9 h 30
3 DSS02—Gérer les demandes de service et les incidents Mercredi, 23 avril 2014 9 h à 9 h 30
4 DSS03—Gérer les problèmes Mercredi, 30 avril 2014 9 h à 9 h 30
5 DSS04—Gérer la continuité Mercredi, 7 mai 2014 9 h à 9 h 30
6 BAI06—Gérer les changements Mercredi, 21 mai 2014 9 h à 9 h 30
7 BAI10—Gérer la configuration Mercredi, 28 mai 2014 9 h à 9 h 30

Source : Govind Kulkarni. Réimpression avec autorisation.


Planification de l'atelier

Les participants décident d'assister à un ensemble d'ateliers selon leurs disponibilités.


Les ateliers :

  • Ont été menés en lots afin de former tous les utilisateurs. Jusqu'à présent, 18 ateliers ont été organisés.
  • Ont été poursuivis même après la mise en service du processus
  • Ont été conclus avec des mesures pour les utilisateurs incluses dans le procès-verbal de chaque réunion
  • Incluaient l'intégration de processus et d'outils
  • Incluaient un essai pilote du processus par les utilisateurs
  • Ont été menés pour expliquer aux utilisateurs comment utiliser le processus et l'outil

Les facteurs clés réalisés au cours de la mise en oeuvre des processus incluaient :

  • La formation de tous les intervenants est primordiale. Tout le monde doit être correctement formé afin d'utiliser les outils et les processus. Les utilisateurs finaux ne les utiliseront qu'à ce moment.
  • La mise en oeuvre efficace de l'outil n'est possible que lorsque les parties prenantes ont une bonne connaissance à la fois des processus et des fonctionnalités de l'outil.
  • Les ateliers sont le seul moyen d'entrer en contact avec les parties prenantes pour la mise en oeuvre.
  • Les ateliers devraient être axés sur les explications adéquates fournies par les animateurs et sur la mise en pratique de ces explications par les utilisateurs. Plus les utilisateurs pratiquent, plus le taux d'adoption est élevé et moins ils ont besoin de recevoir la formation à nouveau.
  • Les ateliers doivent expliquer l'importance de suivre un processus et ses règles.
  • Les ateliers doivent expliquer les bénéfices du suivi d'un processus.
  • Les utilisateurs finaux qui n’ont pas eu à utiliser les processus suivants seront confrontés à des défis. La modification de leur pensée est facilitée par le biais d'ateliers et leur permet d'utiliser le processus par eux-mêmes. Un animateur doit participer à la vente du concept.
  • Les animateurs doivent attentivement observer qui suit l'atelier et y apprend, et qui ne le suit pas.
  • Les ateliers ne devraient pas durer plus d'une demi-heure. Les premières 10 minutes devraient servir à expliquer l'ordre du jour et le processus.
  • Les réalisations et les défis des ateliers doivent être communiqués à la haute direction pour obtenir des conseils et de l'orientation lorsque nécessaire.
  • Le concept de fournir un service de qualité aux citoyens devrait toujours être la priorité des parties prenantes.
  • Toutes les mesures nécessaires doivent être recueillies à partir de l'outil uniquement. Il ne devrait pas y avoir de collecte de données manuelle.

Défis rencontrés

Le développement et la mise en oeuvre de processus ne se sont pas déroulés sans défis et incluent :

  • Des barrières interdépartementales (surmontées par l'utilisation d'ateliers)
  • La langue
  • L’expertise de mise en oeuvre d'outils
  • La logistique telle que les visas de voyage pour les consultants
  • Le regroupement des parties prenantes ensemble pour les ateliers en se basant sur la disponibilité de tous

Avantages de la mise en oeuvre

Bien que la mise en oeuvre soit toujours en cours, plusieurs choses ont été accomplies et les intervenants voient une amélioration considérable dans la façon dont ils travaillent. Certains intervenants réalisent que le suivi du processus et l'utilisation efficace de l'outil les aident à mieux faire leur travail, mieux servir, faire le suivi des statuts, générer de meilleurs rapports et garder le contrôle sur les problèmes.


Peu importe la qualité du processus, les incidents ne peuvent être éliminés complètement, et ce n'est pas le but ici. Plutôt, répondre aux incidents et les résoudre à l'intérieur d'un certain délai garantit le bon service aux utilisateurs.


Pour la première fois, les services informatiques ont l'habitude de gérer les problèmes afin d'en réduire leur récurrence, de réaliser des évaluations de risque pour les actifs informatiques critiques, et planifier et mettre en oeuvre la continuité des affaires. Tout cela fait en sorte que les services informatiques deviennent un atout précieux en fournissant les services nécessaires, et ce changement se reflète dans la satisfaction des utilisateurs. Les résultats en termes de valeur financière n'ont pas encore été quantifiés.


En allant de l'avant, d'autres facilitateurs seront mis en œuvre un par un. Alors que le succès se poursuit, les processus de gouvernance seront mis en oeuvre au cours des prochains mois et ces avantages permettront la réalisation des bénéfices pour satisfaire les besoins des parties prenantes.


Govind Kulkarni, COBIT5, CSQA, expert ITIL, PMP

Est un développeur de logiciel expérimenté comptant deux décennies d'expérience dans la prestation de solutions informatiques. Il a travaillé à l'ensemble du cycle de vie du développement de logiciels et, actuellement, il dispense de la formation sur COBIT 5, ITIL, et mène des tests de logiciels. Kulkarni a réalisé des travaux d'experts-conseils en analyse d'écarts, mise en oeuvre de COBIT 5/ITIL, évaluations à l'aide de la norme ISO 15504 et personnalisation d'outils pour des clients à travers le monde. Ses sujets d'intérêt courants comprennent la continuité de l'activité, l'évaluation et la gestion des coûts informatiques, l'évolutivité et l'optimisation des performances des applications web, l'analyse prédictive et des secteurs technologiques comme OpenStack et DevOps. Il a été l'un des éditeurs du livre How to Reduce the Cost of Software Testing, publié par CRC Press en 2012. On peut le joindre à Govind.kulkarni@vyomlabs.com ou goodgovind1505@gmail.com.

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.