• Bookmark

Mise en œuvre de l'intégration de services dans un environnement multifournisseurs en utilisant COBIT 5

Par Martin Andenmatten, CISA, CGEIT, CRISC, Expert ITIL

COBIT Focus | 28 September 2015 Anglais | Allemand | Portugais | Espagnol

Nous vivons dans un monde en constante évolution. Alors que la technologie devient plus intelligente et facile à manier pour les utilisateurs, la gouvernance et la gestion des TI de l'entreprise (GEIT) devient extrêmement complexe. De plus en plus, les services dans le nuage remplacent les solutions traditionnelles à l'interne, et le risque accompagnant ce nouveau modèle d’affaires est difficile à gérer. Le rôle du service interne des TI est mis en question, car sa valeur n'est souvent pas reconnue au niveau du conseil d'administration. Parce que les entreprises peuvent accéder aux services des TI de manière relativement facile par le biais d'un portail de courtier en services dans le nuage, la gestion durable de programme et de projet n'est plus nécessaire pour livrer des services comparables à un coût, un délai et un risque inconnus. Eh bien nous n’y sommes pas encore, mais le chemin pour s’y rendre est clair.
 

COBIT 5 constitue toujours le référentiel de base pour construire un système de gouvernance et de gestion dans un environnement de service dans le nuage multifournisseur et étendu.


COBIT 5 favorise le concept de différencier la gouvernance de la gestion. Bien qu'elle soit appropriée, cette approche s'ajoute au défi de savoir comment gouverner et gérer ces entités de service divisées, partagées et distribuées (ex. les postes de travail, l'infrastructures, les plateformes et les applications) parmi des différents fournisseurs afin de répondre aux attentes en matière de réalisation de bénéfices et d'optimisation des risques et des ressources. Il sera encore plus intéressant de voir comment cela pourra être géré lorsqu'il n'existera plus un seul fournisseur de services, mais plusieurs fournisseurs, apportant chacun des pièces uniques d'un service. La combinaison de fournisseurs est en constante évolution par l'ajout ou la suppression de pièces de rechange par les responsables de processus opérationnels. Le facilitateur « Services, d'Infrastructure et d'Applications » de COBIT 5 n'est plus une unité de livraison holistique avec une chaine d'approvisionnement distincte. Il ressemble davantage à un ensemble de structures de service en provenance de fournisseurs de service indépendants au sein d'un réseau d'approvisionnement. Par exemple, comment les exigences en matière de disponibilité ou de capacité peuvent-elles être satisfaites et gérées de bout en bout ? Comment les incidents et problèmes seront-ils coordonnés parmi les différents fournisseurs ? Comment les opérations de sécurité et de résistance aux cyberattaques seront-elles garanties lorsque les partenaires de service seront en constante évolution ? Un processus de gestion d'un fournisseur dédié avec des activités contractuelles et de surveillance est-il suffisant pour négliger la situation entière et assurer la conformité ? L'orchestration et l'automatisation de service sont-elles la seule solution et devrions-nous nous fier principalement au concept que tout fonctionnera correctement ? Avons-nous besoin d'un système de gouvernance et de gestion beaucoup plus renforcé dans un environnement de fournisseurs agiles et en évolution constante ? Et à quoi ressemblera cela ?


COBIT 5 constitue toujours le référentiel de base pour construire un système de gouvernance et de gestion dans un environnement de services dans le nuage multifournisseur et étendu. ISACA a publié plusieurs volumes différents du guide pratique COBIT 5 ; « Gestion des fournisseurs en utilisant COBIT 5 » et « Contrôles et assurance dans le nuage : En utilisant COBIT 5 » sont notamment adaptés à une utilisation dans ce contexte. Mais aucune de ces publications ne prend en compte la dynamique qui doit être considérée lors de la gouvernance et la gestion d'un tel environnement. On a besoin d'un concept d'intégration de service qui soutient l'utilisation de contrats plus courts et des services d'externalisation et d’infonuagique à partir de plusieurs partenaires externes.


Il existe aujourd'hui un tel modèle : Intégration et gestion de services (SIAM). Ceci est un concept avec un rôle clairement établi de fournir une direction, une gestion et une coordination générales pour livrer des services TI de bout en bout. Le SIAM n'est pas un nouveau référentiel, mais, compte tenu du fait que l'approche de pointe dans l'évaluation de partenaires de service crée un manque d'interopérabilité et de portabilité et des difficultés au niveau de la coordination des problèmes de service, le référentiel est utilisé plus fréquemment dans des environnements de gestion de service. Il aide à renforcer les capacités nécessaires au contrôle complet du réseau de livraison de services. Il permet aussi aux organisations des TI internes de repositionner leur rôle et de servir d'intermédiaire entre l'entreprise et les fournisseurs variés, en tant que dépositaire pour l’organe de gestion des questions liées aux TI au sein de l'entreprise. Ceci est très important afin de conserver la responsabilité des processus et de services au sein de l'organisation.


SIAM n'est ni un outil ni un processus. Il est plutôt une capacité fondamentale pour un modèle d'une opération ciblée afin de pouvoir refléter les exigences particulières des unités d’affaires et la nature particulière du secteur des fournisseurs. Afin de pouvoir efficacement gérer l'intégration des services au sein d'une organisation, il est opportun d'utiliser la structure COBIT 5 avec ses 7 facilitateurs et de l'adapter aux exigences particulières.


Facilitateur de COBIT 5 : Politiques, Principes et Référentiels

Des politiques et une direction claires sont nécessaires pour définir comment des services d’infonuagique externes et des fournisseurs de service sont introduits au sein d'une organisation. En outre, des normes de conception de service décrivant clairement les interfaces, les rôles et les responsabilités doivent être définis au sein de l'écosystème du service. Là où une garantie de service de bout en bout doit être livrée, il est essentiel que tous les partenaires soient sur la même longueur d'onde. Il est nécessaire de clarifier comment les priorités sont gérées et comment l'escalade est invoquée.


SIAM doit établir des politiques et des principes clairs qui définissent les normes d'intégration de service. Même lorsqu'il faut accepter que des partenaires différents utilisent des outils et des définitions de processus différents, un ensemble minimum d'exigences décrivant les principes du travail ensemble doit être défini.


Conformément à la nature des services d'externalisation et d’infonuagique, des parties des processus seront gérées sur le site du fournisseur (figure 1). Cependant, l'organisation de l'utilisateur final est toujours responsable des résultats du service, du coût et des risques. Une politique et une direction distinctes avec l'autorité d'exiger l’adhésion à chaque processus de gestion doivent être en place, comme, par exemple, la mise en place de la politique de sécurité, les contrôles d'utilisation, la détection des manquements et l'initiation d'actions correctives.


Figure 1—Domaines de traitement

Source : Glenfis AG. Reproduit avec autorisation.


Facilitateur de COBIT 5 : Processus

Les processus et les activités sont les véhicules les plus importants pour l'exécution des politiques et des directives. Il est établi que les organisations ont besoin d'un propriétaire général des processus qui est responsable pour toutes les activités de bout en bout. Dans un environnement multifournisseur, on doit prendre en compte le fait que chaque fournisseur possédera à ses côtés un propriétaire de processus correspondant agissant aussi selon ses responsabilités. Par exemple, un gestionnaire de résolution des problèmes de l'organisation de l'utilisateur final doit coordonner les définitions et les activités de traitement avec chaque responsable de processus correspondant du fournisseur de service critique.


Dans un environnement multifournisseur, il existe des systèmes d'intégration et de gestion à développer. Des composantes clés spécifiques sont nécessaires, comme illustrées dans la figure 2, destinées à coordonner le travail entre les parties prenantes impliquées. Par exemple la "Conception du service" devient une composante clé dans la définition des normes et des interfaces relatives au processus et aux outils utilisés par les fournisseurs dans le cadre de leur travail avec le client.


Figure 2—SIAM : Composantes et cartographie des processus

Source : Glenfis AG. Reproduit avec autorisation.


À cet effet, une idée précise de tous les partenaires de service inclus doit être définie au sein du portefeuille et du catalogue des services (APO09). Des définitions distinctes des priorités, des processus de classification, des niveaux de service ou du transfert des renseignements doivent être définies dans le cadre de la conception des services (APO01).


Facilitateur de COBIT 5 : Structures organisationnelles

Du fait que l'intégration des services est une capacité particulière avec des compétences particulières en matière de coordination, de gestion des fournisseurs et des contrats et d'établissement des relations avec toutes les parties impliquées, il est préférable d'établir une équipe spéciale pour le SIAM. Cette équipe peut former et même prendre en charge certaines responsabilités liées à la coordination des processus et des rapports de service en continu. Elle peut servir de base de données pour les processus de gouvernance et de gestion et la définition des normes d'intégration de service (figure 3).


Figure 3—Organisation et traitements dans le cadre du concept SIAM

Source : Glenfis AG. Reproduit avec autorisation


À cet effet, une fonction du SIAM peut être exécutée en interne ou livrée à partir d'un fournisseur spécifique du SIAM. Cet article suggère que cette équipe devrait rester au sein de l'organisation du client final car l'essentiel de la coordination et de la gestion est réalisée au sein de celle-ci. Mais si les compétences et l'expérience nécessaires ne peuvent pas être trouvées en interne, l'externalisation est toujours une option.


Facilitateur de COBIT 5 : Culture, éthique et comportement

Comme toujours, les processus sont exécutés par des individus qui font que les choses se fassent. Une culture de soutien et ouverte d'esprit est nécessaire pour construire des relations personnelles efficaces parmi les responsables de processus, les responsables de service, l'équipe du SIAM et les fournisseurs, à tous les niveaux et quel que soit leur emplacement. Des rencontres individuelles régulières entre les responsables de processus et de service correspondants devraient avoir lieu.


En fin de compte, ceci aide à bâtir un environnement de travail positif et collaboratif parmi les fournisseurs et appui le développement d'un réseau de valeurs au sein de l’environnement de livraison des services.


Facilitateur de COBIT 5 : Information

L'information est essentielle. L'information doit circuler entre l'organisation de l'utilisateur final et les fournisseurs. Les incidents, les évènements, les changements, les erreurs connues et les services accomplis doivent être transparents et facilement accessibles. Cette conception de service, comme mentionnée sous le facilitateur « Processus », livrera les normes et les interfaces entre les parties concernés.


Facilitateur de COBIT 5 : Services, Infrastructure et Applications

Du fait que les services des TI sont un ensemble de structures de service différentes livrées par des fournisseurs internes et externes, une architecture de service appropriée sur la base d'une méthode de développement d'architecture (ADM) (ex., dans Le Cadre de l'architecture du groupe ouvert [TOGAF]) doit être mise en place. Les normes de conception de service devraient faire partie d'un tel modèle.


Un des grands défis est la collaboration entre les outils variés utilisés par les différents fournisseurs. Il est utopique de demander aux fournisseurs d'utiliser le même outil que les organisations de l'utilisateur final et cela engendrerait des coûts accrus. Il est déjà assez difficile d'obtenir une intégration technique de différents ensembles d'outils sur la base d'interfaces normalisées. Encore plus difficile est la définition des normes d'information communes pour les échanges (niveau de gravité, priorités, état du traitement, etc.) (figure 4).


Figure 4—L'ensemble d'outils du SIAM servant d'outil de planification
des ressources de l'entreprise en matière des TI en interne


Source : Glenfis AG. Reproduit avec autorisation.


Facilitateur de COBIT 5 : Personnes, aptitudes et compétences

Le personnel clé du SIAM doit être au minimum aussi qualifié et compétent en matière de services GEIT et des techniques associées que le personnel du fournisseur. Ceci est critique pour pouvoir efficacement concevoir et gouverner les processus et les activités. En plus des compétences techniques et de traitement, des compétences générales seront requises, notamment en :

  • Gestion des relations
  • Gestion des conflits
  • Influence
  • Négociation
  • Gestion des parties prenantes

Le personnel clé du SIAM passera la majorité de son temps avec le personnel du fournisseur, en dehors du contrôle de gestion directe en interne. L'existence et la maturité de ces compétences générales sera critique à la mise en œuvre approprié SIAM.


La mise en œuvre et la transition vers un nouveau modèle d'opération SIAM

Semblable à la mise en œuvre d'un système de gouvernance et de gestion, le modèle d'opération cible SIAM constituera un changement organisationnel qui doit être traité comme un changement dans l'entreprise. Le modèle de mise en œuvre de COBIT 5 à 7 étapes peut être utilisé comme une ligne directrice, cependant, un modèle détaillé SIAM doit être pleinement appréhendé afin de définir la vision et l'état visé.


Note de l'auteur

Vous pouvez consulter plus d'informations sur SIAM dans deux livres blancs d’Axelos :

Martin Andenmatten, CISA, CGEIT, CRISC, Expert ITIL

Est le fondateur et le directeur général de Glenfis AG, une organisation de conseil et de formation située en Suisse. À l'aide de son équipe, il aide les organisations à fonder leurs stratégies de gestion de service et d'approvisionnement et les soutient durant la phase de sélection et de transition. Il dirige les programmes de gestion des services et d'approvisionnement pour une variété de clients. Depuis 2002, il est aussi enseignant de cours sur ITIL, ISO 20000, COBIT et la gouvernance de l'approvisionnement. En tant que rédacteur et écrivain, il a décrit son expérience pratique dans les livres ISO 20000 : Praxishandbuch für Servicemanagement und IT-Governance – Managing Services with ITIL (Manuel pratique pour la gestion des services et la gouvernance des TI – Gestion de services avec ITIL) et COBIT 5 Grundlagen (Notions fondamentales de COBIT 5).

THIS WEBSITE USES INFORMATION GATHERING TOOLS INCLUDING COOKIES, AND OTHER SIMILAR TECHNOLOGY.
BY USING THIS WEBSITE, YOU CONSENT TO USE OF THESE TOOLS. IF YOU DO NOT CONSENT, DO NOT USE THIS WEBSITE. USE OF THIS WEBSITE IS NOT REQUIRED BY ISACA. OUR PRIVACY POLICY IS LOCATED HERE.