Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

ISO 20000, du service informatique au service tout court… Compte-rendu de la re

ISO 20000, du service informatique au service tout court… Compte-rendu de la rencontre autour d’un verre du mercredi 7 avril 2010 Présentation de Pierre Thory Propos recueillis et mis en forme par Jacqueline Deschamps Pierre Thory est Directeur Général d’une société d’infogérance, une PME indépendante de toute activité capitalistique, qui a eu la particularité de travailler en infogérance sur l’amélioration de la qualité, notamment celle des processus et de l’ensemble des activités de « reporting ». Il préside la Commission Nationale Ingénierie et Qualité des Logiciels et Systèmes (CN IQLS1) de l'AFNOR2 qui représente la France à l'ISO CEI3. A ce titre, il participe au sous-comité chargé de la norme ISO 20000 en relation avec le JTC 1/SC 7/WG 25 4. Il est membre de la Commission Normalisation et Éducation de l'itSMF5. Auditeur et consultant ITIL et auditeur certifié ICA (Institut de Certification des Auditeurs) pour ISO 20000, Pierre Thory est aussi un universitaire, Professeur associé à l'Université d'Évry. La norme ISO/IEC 20000 « Technologies de l'information - Gestion de services » s'appuie sur les principes de management de l'ISO 9001, dont le PDCA6 (boucle d'amélioration continue), et les processus recensés dans ITIL7. Elle constitue un référentiel de reconnaissance de la performance des services informatiques, au sein des entreprises ou organismes. Elle est actuellement en cours de révision et pourrait s'appliquer plus généralement à tous types de services. Au cours de la rencontre, Pierre Thory a évoqué deux thèmes :  ISO 20000, son histoire, la situation aujourd’hui et, demain, la sortie de la Version 2,  Le débat autour du « business plan », que va-t-il se passer d’ici deux ou 3 ans ? Il a souhaité également discuter avec les participants d’un troisième thème concernant les positionnements respectifs d’ITIL et d’ISO 20000. Ceci afin d’élargir le débat avant sa participation en mai prochain à une rencontre internationale sur le sujet où il représentera la France avec une poignée d’experts. 1 La CN IQLS gère environ 110 standards, dont la famille des standards ISO 20000. 2 L’Association française de normalisation (AFNOR) est l'organisme officiel français de normalisation, membre de l'Organisation internationale de normalisation (ISO) auprès de laquelle elle représente la France. Source Wikipédia. 3 Trois organisations internationales produisent des Normes Internationales : la Commission Électrotechnique Internationale (CEI), l’Organisation Internationale de Normalisation (ISO) et l’Union Internationale des Télécommunications (UIT). Leurs domaines d’activité sont complémentaires. L’ISO et la CEI publient conjointement un recueil de directives pour l’élaboration des normes techniques. 4 Le JTC 1/SC 7/WG 25 : le JTC 1 « Technologies de l’information », est le premier Comité technique mixte ISO/CEI créé en 1987. Il est organisé en sous-comités (SC) puis en groupe de travail (WG). Le sous-comité SC 7 “Software and systems engineering" est chargé de l’ingénierie des logiciels et systèmes et le groupe de travail WT 25 « IT services management » de la gestion des services IT. 5 L'itSMF France joue un rôle central dans l'élaboration et la promotion des meilleures pratiques de la Gestion de Services Informatiques en France et en particulier ITIL.Source http://www.itsmf.fr/. 6 Le PDCA (Plan-Do-Check-Act) ou roue de Deming est la méthode fondamentale de gestion de la qualité. 7 Information Technology Infrastructure Library pour "Bibliothèque pour l'infrastructure des technologies de l'information"). 10 La Lettre d’ADELI n°80 – Été 2010 ISO 20000 : histoire, aujourd’hui et demain Création d’une nouvelle norme La norme ISO/CEI 20000 a été publiée en 2005 au niveau international et en 2006 en version française. Elle est issue d’ITIL V2, la bibliothèque de bonnes pratiques IT conçue par les Anglais. On y retrouve la dizaine de processus décrite dans ITIL. Mais, péché de jeunesse d’ITIL, les exigences générales y sont plus ou moins bien ficelées par rapport à l’ISO 9001 et le guide d’ITIL ne concerne que la partie 1. Il a donc fallu y pallier pour transformer ITIL en norme internationale. Les débats, au moment de cette transformation, ont soulevé une question : fallait-il créer une nouvelle norme ou plutôt s’appuyer sur la norme ISO IEC 122071 pour éviter l’inflation des standards ? Les français n’étaient pas favorables à la création d’une nouvelle norme, mais les instances internationales de normalisation ont décidé la création d’ISO/CEI 20000. Le contenu de l’ISO/CEI 20000 V2 ISO 20000 – Partie 1 : Spécifications La première partie de l’ISO/CEI 20000 V2 reprend l’ensemble des exigences générales de la norme ISO 9001, avec un texte identique pour les aspects management, ressources, compétences, PDCA et amélioration continue. Le cycle de vie et le PDCA sont des notions reprises également aujourd’hui dans ITIL V3. ISO 20000 ajoute à ITIL V2 un processus pour la conception de services IT. Dans certains cas, les composants de nouveaux services pourront être inclus dans le processus de la gestion des changements, dans d’autres cas il sera utile de passer par ce nouveau processus. Sur le reste de la norme, les exigences ont été simplement reformulées : leur description améliorée et quand cela a été possible, quelques suppressions ont réalisées pour simplifier l’ensemble. 1 ISO/IEC 12207 « Ingénierie des systèmes et du logiciel -- Processus du cycle de vie du logiciel » On retrouve ainsi dans l’ISO 20000 les 9 processus existants dans ITIL V2 :  La gestion des incidents et des demandes,  La gestion des problèmes,  La gestion du changement,  La gestion des mises en production,  La gestion des configurations avec la CMDB (Configuration Management DataBase),  La gestion des niveaux de services qui inclut dans l’ISO 20000 un paragraphe sur la gestion des fournisseurs,  La gestion de la disponibilité et de la continuité de service : la continuité de service comporte l’analyse des risques et le plan de reprise d’activité,  La gestion financière sur laquelle il existe une véritable demande. C’est un des axes fondamentaux, il est aujourd’hui nécessaire de pouvoir répondre à une question du type : « Combien coûte une boîte aux lettres ?»,  La gestion des capacités et de l’analyse des performances (monitoring). Au sujet de la gestion de la sécurité informatique, la proposition des Japonais étaient de se servir de la norme ISO 27001, cette proposition n’a pas été retenue malgré son intérêt, car il aurait fallu en préalable à une normalisation de l’ISO 20000 avoir acquis la certification ISO 27001. Un nouveau processus de service « reporting » a été inclus. Son objet est l’analyse fine des métiers et des types des activités IT, afin d’obtenir, notamment, des informations sur les volumes et les tendances des activités métier par client et par fournisseur. Enfin, deux processus de gestion des relations entre les clients et les fournisseurs ont été ajoutés. En résumé sur ISO 20000 par rapport à ITIL V2, trois points : Les exigences générales reprennent à la lettre ISO 9001, incluant le PDCA. La cohérence entre ces 2 normes est claire : ISO 20000 est à prendre comme élément de la partie «7 - Réalisation du produit » de l’ISO 9001, L’importance de maîtriser la gestion du service de sa conception à sa mise en œuvre, Les processus d’acquisition de fournitures et de services, de relation en fournisseurs et clients et de « reporting » sont nouveaux. ISO 20000 – Partie 2 : Code de pratique La deuxième partie est constituée d’un guide pour la mise en œuvre qui doit paraître dans les premiers mois de l’année 2011. La Lettre d’ADELI n°80 – Été 2010 11 ISO 20000 – Partie 3 : Directives pour la définition du domaine d'application et l'applicabilité de l'ISO/CEI 20000-1 La troisième partie traite du périmètre et des procédures de certification. ISO 20000 – Partie 4: « Process reference model » La quatrième partie est un peu complexe et a remis en cause un autre standard : l’ISO155041 (concernait les développements logiciels), actuellement en cours de révision, qui devrait être remplacée à partir de 2012 par une nouvelle série, celle des normes ISO 33001 à 33099. En effet, l’ISO 15504 nous vient d’une volonté d’évaluation, alors qu’ici nous sommes dans une volonté d’analyse du niveau de maturité du standard. Par ailleurs, le périmètre de l’ISO 20000 en matière d’évaluation ne couvre qu’une petite partie du périmètre de l’ISO 15504. Le principe de la série 33000 consiste à :  reprendre l’ensemble des exigences,  puis les éclater selon un profil type de façon à ce que le modèle d’évaluation 15504 puisse utiliser ce nouveau profil. Nous avons donc aujourd’hui en cours d’élaboration :  une partie 4 de la norme ISO 20000, qui propose un nouveau modèle d’exigences de la 20000 qui permettra de réaliser une évaluation,  et une 15504-8 (référencée aujourd’hui dans la série 33000), qui définit comment on va utiliser le processus référent modèle pour pouvoir établir une évaluation. L’évolution du standard ISO 33000 est à suivre de près, puisque son objectif est d’être utilisable sur tout référentiel de type processus et pourquoi pas sur l’ISO 9001. ISO 20000 – Partie 5 : Exemple de plan de mise en application pour l'ISO/CEI 20000-1 Les français pensaient nécessaire d’avoir un uploads/Management/iso-20000-du-service-informatique-au-service-tout-court.pdf