Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. La gestion de services
  3. La norme ISO 20000
Extrait - La gestion de services Quelle méthodologie pour la qualité de services (ITIL®, ISO 20000, COBIT, Agilité) ?
Extraits du livre
La gestion de services Quelle méthodologie pour la qualité de services (ITIL®, ISO 20000, COBIT, Agilité) ?
1 avis
Revenir à la page d'achat du livre

La norme ISO 20000 "from scratch"

ISO 20000 - bénéfices et limitations

Comme nous l’avons déjà indiqué dans cet ouvrage, ISO 20000 étant une norme, tout est détaillé dans les documents qui définissent la norme, en particulier la liste des processus et les exigences à implémenter. La plupart des consultants experts ITIL n’auront pas de difficulté à définir l’ensemble des activités à implémenter pour présenter l’entreprise à la certification. Le défaut de cet avantage réside dans le fait qu’il faut TOUT implémenter, sinon on n’obtiendra pas le fameux certificat. On a très peu de marge de manœuvre pour des variances, sinon il faut avoir une argumentation bien étayée pour que l’auditeur officiel accepte ces variances.

La certification à cette norme, comme pour ISO 9000, est pour une durée limitée de trois années. Il faudra donc, au bout de ce délai, recommencer une campagne de certification.

La préparation à une démarche de certification ISO 20000 nécessite beaucoup d’efforts, surtout si l’entreprise n’a pas mis en œuvre tout ou partie de la démarche ITIL. L’expérience montre que pour se préparer à la certification, il faut au minimum 18 mois, mias...

Stratégie de mise en œuvre de la norme ISO 20000

La stratégie de mise en œuvre de la norme ISO 20000 "from scratch", sans avoir au préalable implémenté la démarche ITIL, est similaire à celle décrite dans le quatrière chapitre de la partie III (Migration de la démarche ITIL vers la norme ISO 20000). Par contre, le chemin sera plus long et coûteux, car on ne pourra pas s’appuyer sur une étude de maturité structurée pour bâtir les plans d’amélioration.

La préparation à la certification ISO 20000

1. Les principes

Toute la procédure de certification est décrite dans cet ouvrage dans la section La démarche de certification du chapitre La norme ISO 20000.

Pour rappel, voici le principe de la certification : audit initial de maturité des processus et des exigences, implémentation des améliorations, audit à blanc par un auditeur externe, corrections éventuelles, audit de certification par un auditeur agréé.

Le point capital dans la certification ISO 20000 réside dans le choix du périmètre des services qui vont être couverts par la norme. On l’a déjà dit, tous les processus et toutes les exigences doivent être implémentés conformément à la norme. Mais on peut décider de certifier tout ou partie de ses services et de son système d’information : par exemple, uniquement la bureautique ou le réseau ou les services dits régaliens comme la comptabilité et les ressources humaines ou une informatique industrielle dans une usine particulière.

La liste des services et des applications qui les soutiennent, la liste des sites, des bâtiments, des équipes doivent être établies.

2. La formation

On préconise des formations basées sur le cursus de formation ISO 20000 et ITIL V2.

Voici les cursus qu’il faudrait retenir :

  • Sensibilisation : tout le personnel des équipes informatiques doit être sensibilisé à la gestion de services et à la norme ISO 20000. Pour...

Conclusion

La mise en œuvre de la norme ISO 20000 dans une entreprise, si elle s’appuie sur le modèle en sept étapes d’amélioration, n’est pas très compliquée à décliner et nécessite un budget limité pour atteindre une première cible qui amènera des bénéfices visibles rapidement. La grande difficulté sera l’accompagnement aux changements pour que le personnel adhère à la nouvelle manière de travailler.

La norme ISO 20000

La norme ISO 20000

La norme ISO 20000 est une norme internationale sur la gestion des services informatiques. Elle est issue de la norme BS 15000 du British Standards Institute.

Publiée en novembre 2005 et promue en France par l’AFAQ (Association française d’assurance qualité) et l’AFNOR (Association française de normalisation), membre de l’ISO (Organisation internationale de normalisation), la nouvelle norme se distingue par sa compatibilité ascendante avec ISO 9000 et l’intégration des processus clés d’ITIL.

Composée de deux parties avec, d’une part ISO 20000-1-2005 qui définit les normes d’exigences et, d’autre part, ISO 20000-2:2005 qui donne des normes de recommandations, elle s’adresse autant aux DSI qu’aux prestataires (SSII, constructeurs…).

L’itSMF (Information Technologies Service Management Forum), dont le but est de développer l’utilisation d’ITIL, a signé avec l’AFAQ et l’AFNOR une convention pour promouvoir ISO 20000-1-2005.

La norme a été revue en 2011 et 2012. Elle comporte maintenant cinq parties :

  • Partie 1 : cette partie (ISO/IEC 20000-1:2011) sur les spécifications fournit les exigences en matière de gestion des services IT et est importante pour les personnes responsables du lancement, de la mise en place ou de l’entretien...

Principes généraux

La norme ISO 20000 requiert la mise en œuvre au sein de l’entité informatique d’exigences et de processus.

Pour obtenir la certification, ces exigences doivent obligatoirement être déployées et exposées, preuve à l’appui, à l’auditeur accrédité.

La norme demande aussi la mise en œuvre des processus de la gestion de services basés sur les bonnes pratiques ITIL V2 avec un minimum de niveau de maturité qui devra être également exposé, preuve à l’appui, à l’auditeur accrédité.

Les sections suivantes détaillent ces exigences et ces processus.

Le schéma ci-dessous montre le positionnement de ces treize processus.

images/partie-II-chap-5-001.png

Les processus sont regroupés en cinq domaines :

  • la fourniture des services :

  • la gestion des niveaux de services,

  • la gestion de la continuité informatique et la gestion de la disponibilité,

  • la gestion de la capacité,

  • la gestion de la sécurité,

  • la gestion financière (budgétisation et comptabilité),

  • la gestion des rapports de services.

  • la gestion des relations :

  • la gestion des fournisseurs,

  • la gestion des relations métier.

  • la résolution :

  • la gestion des incidents,

  • la gestion des problèmes.

  • le contrôle :

  • la gestion des changements,

  • la gestion des configurations....

La démarche de certification

1. La démarche

La certification ISO 20000, comme toutes les certifications ISO, est obtenue après une vérification par un auditeur accrédité par l’AFAQ de la bonne mise en œuvre des points mentionnés dans la norme. Toute différence avec les recommandations ISO 20000 sera notée comme "non-conformité". L’auditeur recense les "non-conformités" et décide en fin d’audit de certification d’accorder ou non la certification avec ou sans réserve, mais toujours avec l’obligation de définir des plans pour corriger ces "non-conformités".

L’auditeur analyse tout d’abord l’ensemble des documents relatifs à la norme. Il identifie les personnes qu’il va auditer. Généralement, l’auditeur sélectionne un ou plusieurs membres de la direction informatique, tous les gestionnaires de processus, des personnes clés, et une ou deux personnes prises au hasard au sein de l’entité informatique.

Il passe en revue toutes les exigences définies dans la norme et les processus identifiés de la gestion de services. À chaque point ou question posée, il est susceptible de demander la preuve associée : par exemple, la fourniture d’une documentation, du mode opératoire d’une procédure, ou d’une note de service diffusée au sein de l’entité informatique.

L’audit de certification nécessite en moyenne entre trois et cinq jours, où l’auditeur interviewe les acteurs concernés et collecte les preuves qu’il juge nécessaires.

Il est bien sûr préférable de se préparer à cet audit (voir la section La préparation à l’audit de certification ISO 20000).

2. Le périmètre de la certification

Le préambule à toute certification ISO 20000 réside dans la définition du périmètre qui est analysé pour cette certification.

Il s’agit de définir parmi les services fournis par l’entité informatique ceux qui seront dans le périmètre de la certification. Un exemple simple : les services qui couvrent toute l’offre de bureautique fournie par l’entité...

Les exigences de la norme ISO 20000

Les exigences de la norme ISO 20000 sont structurées en huit chapitres :

  • la responsabilité de la direction,

  • la gestion de la documentation,

  • la gestion des compétences,

  • la planification de la gestion de services,

  • la mise en service de la gestion de services,

  • la surveillance, la mesure et la revue,

  • l’amélioration continue,

  • la planification et la mise en œuvre des modifications ou des créations de services.

Dans chaque chapitre, une série de questions identifient les exigences. Il faudra répondre de l’atteinte de ces exigences par un pourcentage compris entre 0 % à 100 %. Il faut penser que l’auditeur demandera la preuve du pourcentage lors de l’audit de certification ISO 20000.

1. La responsabilité de la direction

L’objectif des exigences liées à la responsabilité de la direction informatique est de démontrer l’engagement de la direction informatique au plus haut niveau. Par son autorité et ses actions, elle doit favoriser le développement, la mise en œuvre et l’amélioration de la capacité de l’entité informatique à gérer les services en adéquation avec les besoins des clients et des activités de l’entreprise.

2. La gestion de la documentation

L’objectif des exigences liées à la gestion...

Les processus

Les processus sont regroupés en cinq domaines. Pour chacun de ces domaines, on donne pour chaque processus l’objectif et les principales activités. De même, pour la fonction centre de services, on liste l’objectif et ses activités.

1. La fourniture des services

a. Processus de gestion des niveaux de services

Objectif

  • Fournir un niveau de qualité de services conforme à l’engagement négocié avec le client.

Activités

  • Créer et maintenir un catalogue des services.

  • Négocier et définir des accords avec les clients.

  • Mesurer les niveaux de services vis-à-vis des objectifs (inclure ressources et coûts).

  • Améliorer la qualité de service en alignant l’informatique sur le métier de l’entreprise et ses besoins.

b. Processus de gestion de la continuité informatique et de gestion de la disponibilité

Objectifs

  • Suite à une interruption de l’activité, il permet de couvrir un fonctionnement prédéterminé en mode normal ou dégradé.

  • S’assurer que le service est disponible quand le client (utilisateur du client) en a besoin, en accord avec les besoins, avec un coût prévu, comme mentionné dans les contrats de service.

Activités

  • Réduire l’impact d’une panne majeure ou d’une catastrophe.

  • Maintenir la confiance du client.

  • Analyser les risques : réduire les risques et les vulnérabilités.

  • Établir un plan de reprise.

  • Fournir les moyens/outils pour mesurer la disponibilité.

  • Optimiser la disponibilité de l’infrastructure.

c. Processus de gestion de la capacité

Objectif

  • Adapter l’activité informatique pour optimiser l’utilisation des ressources.

Activités

  • Contrôler les performances et les capacités.

  • Comprendre les demandes afin de prévoir le futur.

  • Ajuster l’offre à la demande et la demande à l’offre (aspect financier).

d. Processus de gestion de la sécurité informatique

Objectif

  • Garantir le niveau de sécurité défini pour les informations et les services en accord avec les exigences sécurité de l’entreprise.

Activités

  • Définir la politique sécuritaire du système d’information.

  • Mettre...

Difficultés de mise en œuvre de la norme

Comme toutes les normes, la mise en œuvre de la norme ISO 20000 est un grand projet d’entreprise auquel il faut laisser le temps nécessaire pour en tirer un bon retour sur investissement. L’investissement est important, le processus de certification est long et coûteux (voir les chapitres La migration de la démarche ITIL vers la norme ISO 20000 et Implémentation de la norme ISO 20000 from scratch). D’autre part, la certification a une durée limitée : tous les trois ans, il faut recommencer un audit de certification.

Bénéfices apportés par la norme

Le principal bénéfice de l’implémentation de la norme ISO 20000 est l’obtention du certificat. Le certificat est la garantie d’une mise en œuvre conforme à la norme, gage d’un niveau de qualité de services pour les clients. C’est un vrai atout concurrentiel, c’est un vecteur promotionnel. On le verra dans le retour d’expérience du chapitre La gestion de services chez un organisme public, la plupart des entreprises qui ont décliné cette norme l’ont fait pour montrer à leurs clients qu’elles fourniront des services avec un certain niveau de qualité.

L’implémentation de la norme en France

Il existe peu de chiffres sur le nombre d’entités informatiques qui ont obtenu le certificat ISO 20000 en France. Mon expérience de plus de vingt ans dans le domaine de la gestion de services m’a montré qu’environ 10 % des entreprises que j’ai rencontrées étaient soit dans une démarche de préparation à la certification, soit avaient obtenu cette certification. Elles appartenaient à des secteurs où la concurrence était forte ou bien elles étaient des start-up. Elles avaient toutes besoin de se différencier de la concurrence.