À l’instar du permis de conduire, qui valide la capacité d’un individu à maîtriser un véhicule, la certification à la norme ISO/CEI 20000 valide le respect par un sous-traitant d’un code de conduite de l’informatique.
La norme ISO/CEI 20000, qui a été définie par l’Organisation internationale de nomalisation (International Organization for Standardization ou ISO en anglais) et la Commission électrotechnique internationale (International Electrotechnical Commission ou IEC en anglais) est la première norme internationale qui est consacrée à la gestion des services en technologies de l’information.
Plus formellement, il s’agit d’une norme informatique « conçue pour permettre aux entreprises de faire preuve de leur excellence et de leur respect des bonnes pratiques de l’impartition TI », comme le définit l’institut d’examens d’accréditation et de certification APMG International http://www.apmg-international.com/fr/qualifications/iso-iec-20000). Elle permet aux entreprises de satisfaire à des critères factuels dans une optique d’amélioration continue de leurs services TI.
Cette norme est plus complète que d’autres normes précédentes : elle tient compte de l’ensemble des processus dédiés aux services informatiques, de la gestion des incidents à la conception de services, à travers notamment les activités de design. Plus spécifiquement, elle s’adresse aux prestataires de services TI.
La norme : un atout stratégique en infonuagique
Selon Cisco, le trafic dans les centres de données qui sera lié à l’infonuagique sera 4,5 fois plus élevé en 2017 qu’en 2012. En effet, l’informatique en nuage donne désormais accès à des capacités de calcul puissantes et flexibles, ce qui se traduit par une plus grande externalisation (impartition) des systèmes d’information. Par impartition, nous entendons « qu’une entreprise confie l’exploitation de tout ou d’une partie de son système d’information (voir encadré) à un tiers pour qu’il la maintienne en opération, le tout assorti de garanties en termes de disponibilité, de temps d’intervention et de rétablissement des services. »
Cette impartition ne peut se faire sans confiance. Or, la migration vers le nuage préoccupent les entreprises clientes, en particulier au sujet de leurs applications essentielles et sécurisées. Les clients recherchent une assurance supplémentaire que leurs fournisseurs de services font l’objet d’une vérification régulière pour garantir les niveaux de service que l’on attend d’eux partout où ils opèrent. Faire appel à un sous-traitant TI certifié ISO/CEI 20000 est une manière de dissiper les doutes.
En bref, cette norme et les processus ITIL qui s’y greffent constituent des atouts stratégiques, car ils aident à convaincre les clients que leur sous-traitant est parfaitement capable de répondre à leurs attentes.
Les processus d’entreprise exigés par la norme ISO/CEI 20000
Treize processus d’entreprise sont couverts par la norme ISO/CEI 20000 (voir tableau ci-dessous). On y trouve notamment la catégorie des processus de fourniture des services, qui couvre la gestion des niveaux de services, la gestion de la continuité et de la disponibilité des services, la budgétisation et comptabilisation des services. Ces processus sont les plus diffisiles à certifier. On y trouve également la catégorie des processus de gestion des relations avec les clients et les fournisseurs, qui sont les plus simples à certifier.
Les bénéfices d’une certification pour les processus
On retrouve trois mots-clés dans la définition ISO/CEI 20000, soit excellence, amélioration continue et respect, ce qui doit correspondre aux valeurs de l’entreprise et à la reconnaissance des clients. De là découle un élément fondamental qu’est la transparence des opérations par rapport au client, quelque soit le processus visé.
Cette transparence peut prendre plusieurs formes : la visibilité donnée aux clients quand à la disponibilité de leurs services, les interventions réalisées ou en cours, le délai de résolution, la compréhension granulaire des tarifs proposés, leur validité et prévisibilité dans le temps, etc.
Deux exemples : la gestion des incidents et la budgétisation
La norme ISO/CEI 20000, lorsqu’elle est appliquée au processus de gestion des incidents, permet au client et au sous-traitant de connaître l’incident en cours, l’impact réel de cet incident sur les services, sa cause, le temps conacré à la résolution, le délai prévisionnel de rétablissement, etc. Le client reçoit un rapport complet ainsi qu’un plan d’action correctif qui lui est proposé.
Le processus de budgétisation et de comptabilisation des services, en vertu de la norme ISO/CEI 20000, permet au client de connaître, poste par poste, le tarif des activités sous-traitées sans coût caché – à défaut de fournir un prix unique pour une série d’activités sous-traitées – mais aussi d’anticiper les évolutions budgétaires qui sont liées à des prestations de services dits « consommables ». Le client peut ainsi anticiper et planifier son budget actuel et futur.
Pourquoi peu d’entreprises TI obtiennent la certification ISO20000 au Canada?
L’adoption de la norme ISO/CEI 20000 s’est rapidement développée parmi les prestataires internationaux de services informatiques et leur procure aujourd’hui un avantage concurrentiel réel. En 2010, on dénombrait 450 sous-traitants certifiées, dont près de 250 en Asie/Pacifique et 150 en Europe, dont une poignée en France et plus d’une cinquantaine au Royaume-Uni.
En Amérique du Nord, le firmes certifiées à la norme ISO/CEI 20000 sont beaucoup moins nombreuses. D’abord, il faut qu’il y ait une réelle volonté et une stratégie d’entreprise de monter le niveau de qualité des prestations et de valider officiellement ce niveau par une certification. C’est un processus exigeant qui demande de structurer ses activités, de modifier son appareil de production en formant régulièrement les équipes, de mettre en place les processus de gestion et de contrôle et de s’engager sur le niveau de qualité à livrer. Tout ceci est un investissement de temps et de l’argent.
Certains diront que le jeu en vaut la chandelle, car le besoin pour la prestation de services en technologies de l’information de qualité se fait sentir présentement dans le marché nord-américain.