Bonnes pratiques en informatique : les rfrentiels

COBIT (Control Objectives for Business & Related Technology), ITIL (Information Technology Infrastructure Library), CMMi (Capability Maturity Model intgration).

Prsentation d'ITIL V3
En proposant une compilation des bonnes pratiques en matire de processus informatiques, ITIL V2 a connu le succs (mme en France, pays traditionnellement moins ouvert aux rfrentiels). ITIL V3 largit la rflexion et propose une vision base sur les services rendus l'entreprise. On parle moins de stratgie IT que de rpondre aux besoins de la stratgie business. ITIL V3 prsente donc 2 modifications fondamentales par rapport la V2. le "primtre ITIL" est tendu lalignement et la satisfaction des services business, le rfrentiel est entirement rcrit dans cette vision transverse (sans trop changer toutefois les anciens lments qui sont rassembls d'une manire diffrente et complts). Dans cet objectif, on trouvera notamment un moyen de relier efficacement tudes, tests, mise en exploitation et production de services, ce qui est nouveau et ne va pas forcment de soi dans les DSI.

La V3 prconise donc de matriser le cycle de vie des services, de ltude de lopportunit jusqu' la suppression du service.

ITIL intgre cette dynamique business et ne reste pas centr sur son fonctionnement interne, sur ses processus. Prenons lexemple du catalogue de services, une des bonnes pratiques de la version 2 dcrit dans le processus Service Level Management. On va trouver ce service catalog dans la V3, en tant quune des tapes de la prise en charge globale du service. Cette prise en charge se traduit par la mise en uvre de la gestion du Service portfolio qui intgre les 3 tapes : 1re tape : le service pipeline, correspondant ltude dopportunit, le calcul de ROI, la spcification gnrale du service, la spcification dtaille, le dveloppement et la mise en oeuvre du service, 2e tape : aprs la validation, le service est mis au catalogue et opr de faon efficiente et efficace, 3e tape : tape correspondant la suspension temporaire ou dfinitive du service. Naturellement, de nouveaux rles se dgagent, comme par exemple, celui de service owner , responsable du service vis--vis des clients du ou des services, mesurant lutilit du service du dbut la fin (transverse aux processus). Cette dynamique de cycle de vie des services a donc conduit une restructuration des livres, la dfinition de de nouveaux processus, de nouvelles fonctions, de nouveaux rles, darchitecture des technologies support Service Management.

Structure d'ITIL V3
ITIL V3 comprend 5 livres principaux, les Core Practice Books : service strategy service design service transition service operation continual service improvement

Nous ne sommes qu'au lancement de la V3. Les livres complmentaires ne sont pas sortis (business cases, benchmarking..) Enfin, on nous promet une traduction en franais des 5 livres principaux d'ici 6 9 mois.

ITIL V3 livre 1 : Service Strategy

Ce volume trs "high level" indique comment le SI est align sur la stratgie de lentreprise ou, pour utiliser un vocabulaire la mode, comment lIT apporte de la valeur lentreprise. Ce document est principalement fait pour tre lu par des DSI et la DG. Il met galement laccent sur l'aspect financier, ce qu'il faut mettre en place pour justifier un ROI et sur la stratgie de partenariats entre le business et les services providers (ddi au mtier, partag, outsourc).

ITIL V3 livre 2 : Service Design

Dans ce livre on examine chaque service. On dtermine comment concevoir un service pour quil soit implmentable dans le SI. On fabrique un SDP (Service Design Package ). Le SDP est l'ensemble des lments (requirements, architecture, dveloppement de la solution, mtriques et rsultats attendues) qui composent le service. Il sera utilis par le Service Transition. On retrouve les processus du livre Service Delivery de la V2. Cest l que lon dfinit le SLA.

ITIL V3 livre 3 : Service Transition

Le Service Transition dcrit : la gestion des changements, la gestion des mises en production, la gestion des configurations. C'est le moyen de tester et vrifier que tout est bien document avant de passer en production. Ces processus taient bien connus dans la V2. Ils sont toffs et tendus dans cette V3. Par exemple, la gestion des configurations est complte par la gestion des Services Assets. Les donnes et les informations sont stockes dans des bases de donnes mais limportant est de mettre en uvre le processus de gestion de la connaissance et de son utilisation pour tre efficient et ne pas tout redcouvrir.

ITIL V3 livre 4 : Service Operation

Il concerne les activits quotidiennes . On y trouve les 2 processus de la gestion des incidents et des problmes de la V2. Ils sont complts par d'autres processus : gestion des venements (Event Management), gestion des demandes (Request Fulfillment) gestion des accs (Access Management) : identification des personnes, droit daccs aux applications (ici on ne dfinit pas les stratgies de scurit mais on met en place le processus afin de matriser les activits quotidiennes de scurit). En rassemblant dans un mme livre toutes les oprations de production, ITIL V3 rpond une volont de clart et de cohrence de ces activits.

ITIL V3 livre 5 : Continual Service Improvement

Ici l'on va vrifier que ce que lon a prvu en terme de service et de ROI est ralis. Dsormais, cela doit tre fait sur le plan oprationnel mais aussi tout au long du cycle de vie du service et au niveau de la valeur business. Pour ce faire, on mettra en place un systme de reporting et de KPI matris par les tapes des processus CSI (Continual Service Improvement). Ce livre porte sur lensemble du cycle de vie. Si lon saperoit qu'il y a un dphasage entre le service qui est produit et ce quoi il tait destin, il impose de revenir la dfinition du service, voire la stratgie initiale.

Rappel de dfinitions
Pour ceux qui ne sont familiers d'ITIL voici 3 rappels importants (mais pas forcment limpides) : processus : c'est un ensemble structur dactivits conu pour rpondre un objectif spcifique. Un processus doit inclure tous les rles et les responsabilits, les outils et les contrles requis pour dlivrer des rsultats fiables. application : c'est un logiciel qui fournit des fonctions qui sont requises par un service IT. Une application peut desservir plusieurs services. service : c'est le moyen de dlivrer de la valeur au client pour augmenter le rsultat que les clients veulent atteindre sans risques et sans cots spcifiques.

ITIL : justifier l'investissement Qualit, certification, rfrentiels

Adopter une mthodologie reconnue, un rfrentiel de qualit ou de bonnes pratiques comme ITIL, c'est bien. Mais est-ce crdible, utile, efficace ou rentable ? Pour rpondre cette question, il est ncessaire de procder des valuations. Compass Management Consulting a interrog les entreprises qui menaient cette dmarche. Lecture.

Evaluer ITIL La premire question concerne la confiance dans le programme ITIL apporter des amliorations tangibles aux performances de linformatique. Sans surprise, la confiance est assez leve, les deux tiers des personnes consultes tant Totalement ou Assez confiantes.

Les experts de Compass MC considrent que la confiance doit tre fonde sur des faits plutt que sur des impressions, en dautres termes, elle doit ressortir dune valuation relle. peine 4 % des personnes consultes ont estim que la maturit de tous leurs processus ITIL tait totalement value et moins dun tiers des entreprises valuent en totalit leurs processus.

Les points forts

Compass Management Consulting a tout dabord demand dvaluer le niveau de maturit des huit principaux processus ITIL.

Clairement la Gestion des incidents est perue comme le plus avanc des processus, au contraire du processus Capacity Planning. On peut sinquiter de voir la Gestion de configuration arriver avant dernier, alors que ce processus ITIL est trs gnralement considr comme soutenant tous les autres.

Tirer le meilleur parti d'ITIL

ITIL nest pas du prt--porter. Pour en tirer le meilleur parti en matire damlioration des performances, il faut comprendre quels processus implmenter et dans quel ordre, en fonction des besoins spcifiques de chaque entreprise. La mise en oeuvre de normes telles ITIL concernant les processus de gestion de services est une initiative majeure. Elle stend sur plusieurs annes, modifie la culture de lentreprise et impose dinvestir dans les personnes, les outils, la formation et la documentation. Il est comprhensible quavec un tel niveau dinvestissement, lentreprise souhaite sassurer dun certain retour, impliquant rduction de cots et amlioration des performances. Cette tude souligne lcart considrable entre le peru et le rel. Si les DSI veulent maintenir linvestissement dans ITIL et la confiance des parties prenantes de linformatique, Compass Management Consulting leur conseille dtre capables de rpondre par laffirmative aux trois questions suivantes, que leur poseront probablement les responsables du budget affect une dmarche ITIL : pouvez-vous mesurer la maturit de vos processus ITIL ? pouvez-vous dmontrer que lavancement de la maturit des processus rduit les cots et amliore les performances de linformatique ? pouvez-vous dmontrer les avantages rels de votre investissement dans ITIL ? Sauf rpondre ces questions avec une grande confiance, la poursuite de linvestissement en ITIL peut tre mise en doute.

Recommandations
Voici quelques conseils pour aider mettre en oeuvre une dmarche ITIL :

obtenir laccord des parties prenantes du programme ITIL, comprendre bien leurs exigences, ainsi que les rsultats et avantages quils en attendent. ne pas faire confiance aux valuations en interne. Elles ne seront pas valides, reposent sur le point de vue dune seule personne, ne permettent aucune recommandation et restent trop gnralistes. sappuyer sur des mesures factuelles qui permettront de relier la maturit des processus aux performances de linformatique. Par exemple : - le pourcentage dincidents causs par les changements, - le pourcentage des objectifs de niveau de service qui ont t rats. mettre en corrlation les vnements associs la maturit des processus avec les cots mtier. Par exemple : - nb dincidents x dure des pannes x utilisateurs affects x taux dusage par utilisateur.

Qui a rpondu ?
Compass Management Consulting sest adress aux managers de ses grandes entreprises clientes et a reu 70 rponses, en provenance de onze pays. 82 % des rponses indiquent que le programme dimplmentation dITIL a dbut au moins 18 mois plus tt, ce qui est suffisant pour valider les rsultats.

ITIL CMDB (Configuration Management DataBase) Qualit, certification, rfrentiels

Rle de la CMDB
La CMDB (Configuration Management DataBase) donne une vue complte des composants de linfrastructure informatique et des services qu'ils rendent. La CMDB va donc rassembler dans un modle de donnes commun les informations tenues jour sur les CI (Configuration Item) qui contribuent la livraison des services informatiques. Dans les grandes lignes, les CI peuvent tre : des services rendus, des utilisateurs, des matriels (serveurs, rseau, imprimantes, baies de stockage, poste de travail), des logiciels (OS, environnement virtualis, ordonnanceur, EDI, middleware), des applications (bases de donnes, ERP), des ressources utilises (locaux, onduleurs, accs physique, documentation, personnel interne/externe). Ces CI possdent donc : des catgories comme nous venons de le voir mais galement, des attributs (marque, modle, adresse IP, version, criticit, service mtier associ, populations utilisatrices, engagements de niveau de service) des tats (en prparation, actif, inactif, supervis, command, acquis, valid, recett, conforme la politique de configuration) et surtout des relations (contient, dpend de, a pour priphrique, est situ , hberge, tourne sur, lance, arrte, contrle, met jour, rcupre, est le contact pour, contribue )

La CMDB, sert donc de rfrentiel et son rle est primordial pour : dfinir un dictionnaire commun de la configuration du SI, collecter les donnes d'tat des composants (environnement, version), enregistrer les applications, les processus et les options du PCA (Plan de Continuit dActivit), faire profiter lensemble des acteurs du SI de ces .informations fiables rendues disponibles et uniques.

La gestion des actifs

Bien que les applications de gestion de parc ou de gestion d'asset (actif) puissent participer la mise jour permanente de la CMDB, les 2 notions ne sont pas totalement quivalentes. La gestion d'actifs rassemble des informations telles que : caractristiques techniques du bien (n srie, modle, fournisseur,...) dates (date d'achat, date d'installation, date de fin de garantie, de fin de contrat, des informations financires (valeur nette comptable, amortissement...). alors que ne sont contenus dans une CMDB (Configuration Management DataBase) que les Configuration Items (CI) que lon peut dcrire comme : ncessaires pour dlivrer le service, identifiables de faon unique, grables, sujets changements. Si l'on a tout intrt exploiter les informations collectes par la gestion d'actifs, il est gnralement ncessaire d'y rajouter des informations supplmentaires provenant dautres contributeurs.

Gestion des incidents et des problmes

La CMDB rassemble les lments ncessaires au diagnostic et la raction du Service Desk en cas d'incident : connaissance des composants du systme, relations entre composants, vnements, changements, incidents prcdents, problmes, erreurs connues, engagements de niveau de service avec le client, engagement de niveau oprationnel avec les contributeurs internes, contrats sous-jacents avec les fournisseurs externes, options de reprise, procdures dexploitation, de qualification de problme, de contournements.

Structure d'une CMDB

La CMDB s'appuie sur une base de donnes classique (Oracle, SQL Server...), mais dans laquelle les relations entre les diffrents CI sont modlises.

Le moteur d'accs doit pouvoir effectuer des requtes complexes de type workflow pour exploiter les liaisons entre les diffrents composants. Aussi, il est primordial que le moteur de la CMDB sache grer le processus de Rconciliation. En effet plusieurs sources sont possibles pour une mme information. Il faut donc dterminer quelle sera la source retenue. Deux tapes senchanent : lidentification puis la fusion.

La CMDB de par sa position centrale pour le SI doit rester un modle ouvert. Elle fdre un grand nombre de sources de donnes, notamment des donnes contenues dans d'autres systmes. En effet, chacun des contributeurs possibles dinformations aura des contraintes et des manires de dcrire ces informations parfois trs diffrentes. La Fdration de donnes prend alors tout son sens en fournissant une normalisation de lensemble de ces informations pour un partage avec un format standard,. Le DMTF (Distributed Management Task Force) propose CIM (Common Information Model)* pour faciliter l'change d'informations de description entre systmes. (*)CIM

Common Information Model

CIM est une norme de description, oriente objet, des entits (appareils, applications, ressources...) et de leur relations dans un systme d'information. Elle est structure en deux niveaux principaux : -Core Model : niveau suprieur ddi aux grands ensembles comme les systmes et leurs priphriques, -Common Models : descriptions ddies aux diffrents composants du systme. CIM fait partie de WBEM et est cod sous XML suivant la spcification xmlCIM.

Service Support ITIL en dtail

Dtail des fonctions ITIL supportes par la CMDB. Incident Management remplir les champs de l'incident automatiquement fournir l'tat des CI (Configuration Item) fournir les informations de niveau d'urgence permettant de fixer les priorits montrer le niveau d'impact en fonction de la priorit fournir les donnes permettant l'escalade de l'incident Problem Management remplir automatiquement les tickets de problme fournir l'tat des CI (Configuration Item) fournir des donnes d'analyse de risque permettant de fixer les priorits fournir les donnes d'appartenance et de responsabilit montrer les informations pour une analyse proactive des problmes Change Management

montrer les CI (Configuration Item) qui sont dans le processus de gestion du changement fournir des donnes d'analyse de risque montrer quels autres composants pourraient tre affects par un changement permettre la communication vers les utilisateurs concerns par un changement en attente reflter le nouvel tat immdiatement aprs le changement Release Management suivre l'tat du dploiement conserver les dtails des versions pour les logiciels vrifier les configurations testes fournir les donnes pour l'impact financier des mises en production Service Desk Le Service Desk interagit avec la CMDB pour effectuer les actions suivantes : identifier les CI (Configuration Item) manquants remplir automatiquement les champs quand le Service Desk enregistre un incident notifier de faon proactive les utilisateurs fournir un feedback au client sur les changements dans la CMDB aider la Gestion des Configurations avec l'audit de la CMDB .

Service Delivery ITIL en dtail

Dtail des fonctions ITIL supportes par la CMDB. Service Level Management obliger ce que tous les composants du SLA soient renseigns permettre de faire rfrence des SLA fournir un point de rfrence pour les contrats sous-jacents montrer les appartenances client servir de composant vital pour le Programme d'Amlioration de Service Capacity Management permettre chaque CI d'tre un candidat potentiel la Gestion de la Capacit fournir des ressources pour la modlisation de la capacit montrer les CI lis dans un groupement de capacit Fournir des donnes vitales pour l'analyse de risque rduire le temps de rsolution des incidents et des problmes lis la capacit Availability Management fournir des donnes vitales l'impact mtier appliquer la gestion de la disponibilit tous les CI contenus dans la CMDB montrer les composants lis d'une chane de disponibilit fournir des donnes d'analyse de risque aider isoler quels CI sont la source d'indisponibilit Financial Management montrer que les CI sont utiliss pour fournir le service au client fournir des lments de justification en cas de pnalit fournir des informations importantes de gouvernance fournir une source vitale pour l'audit de l'inventaire et des actifs servir d'outil important pour les calculs financiers Continuity Management fournir un point de dmarrage contenant des donnes vitales de reprise indiquer les modifications en terme de continuit que pourrait avoir le changement d'tat d'un CI, comme la monte en priorit d'un systme changeant de fonction identifier les coupures potentielles de continuit fournir des lments de feedback aux clients pendant les pannes montrer l'tat des CI quand ils deviennent actifs aprs une panne