Couverture des processus ISO/IEC 20000 par rapport à ITIL, ISO 27001, ISO 9001, etc.

L'objectif de cet article est de présenter les spécificités d'ISO/IEC 20 000 par rapport aux autres référentiels et normes. Et de mettre en évidence la couverture des processus que l'on peut retrouver dans une entreprise, déjà certifiée ISO 9001 par exemple.

1. La norme ISO/IEC 20 000 recouvre 5 domaines de Processus, qui couvrent 13 processus

1.1. Processus de fourniture de Services

• Gestion de la Sécurité de l'information
• Gestion de la Budgétisation et de la comptabilisation des Services
• Gestion des niveaux de Service
• Rapport sur les Services
• Gestion de la capacité
• Gestion de la continuité
  

Les processus de "Fourniture de Service" ou "Service Delivery" d'ISO 20000 couvrent la totalité des processus préconisés par ITIL version 2 et ITIL version 3. Aussi une organisation ayant d'ores et déjà mis en œuvre tout ou partie de ces processus dans le cadre d'un projet d'implémentation ITIL.

S'agissant du volet sécurité de l'information, il y a aussi une forte correspondance avec les normes ISO 27001. Lesquelles traitent plus en détail de la mise en œuvre d'un Système de Management de la Sécurité de l'information (SMSI).

Notez toutefois que l'approche ISO/IEC 2700x est beaucoup plus fouillée bien que recouvrant les mêmes activités. Un projet ISO/IEC 20000 peut être l'occasion d'intégrer les dispositions sécurité dans un organisme qui le ferait pas.

1.2. Processus de contrôle

• Gestion des configurations
• Gestion des changements

Une fois encore les "processus de Contrôle" se retrouvent dans les référentiels ITIL version 2 et ITIL version 3, nous pouvons donc faire la même conclusion que pour les processus de "Fourniture de Services".

1.3. Processus de résolution

• Gestion des incidents
• Gestion des problèmes

S'agissant du processus "Gestion des incidents" il est couvert par l'ensemble des normes et référentiels. Tout d'abord par la norme ISO 9001 qui exige la présence des "activités d'après-vente" dans votre cartographie processus.

Remarque : Notez toutefois que ISO 9001 n'exige pas en revanche que ces activités soient traitées sous forme de processus.

La gestion des Opérations (version 3) ou le Soutien de Services (version 2) d'ITIL traitent largement du traitement des incidents.

Enfin la norme ISO/IEC 27 001/2 rend nécessaire le traitement des "alertes de sécurité" lesquelles doivent être traitées par une Gestion des incidents appropriée, même si la norme ne préconise pas d'organisation spécifique.

La gestion des problèmes quant à elle est une discipline spécifique à ITIL, quelle qu'en soit la version. Il y a donc de grandes chances pour que cette activité soit à créer dans le cas ou le projet ISO/IEC 20000 est une alternative à la mise en œuvre d'ITIL

1.4. Processus de mise en production

• Gestion des mises en production

Le Processus de mise en production parfois appelé Gestion des versions (release) est aussi spécifique à ITIL. Il s'agit là de s'assurer que les nouvelles versions ou modifications de Services sont contrôlées et testées, avant d'être livrées.

1.5. Processus de gestion des relations

• Gestion des relations commerciales
• Gestion des fournisseurs

Selon l'approche que l'on souhaite avoir vis à vis de ces 2 processus, on peut soit se référer à ISO 9001, qui traite à la fois de la Gestion des fournisseurs et de la Gestion des relations commerciales. En ce qui concerne la Gestion des fournisseurs ISO 9001 exige le contrôle, l'évaluation et l'homologation des fournisseurs selon des critères évalués par l'organisme. Ce peut être un bon point de départ pour la re-négociation des engagements (UC) pris avec le fournisseur.

ISO 9001 nécessite aussi la mise en œuvre de processus s'assurant de la collecte des exigences du client et du traitement des exigences, plaintes, réclamations de ces mêmes clients. Ces activités sont généralement abordées dans le cadre d'un processus commercial. Il peut toutefois intégrer un volet juridique, par rapport aux réclamations, et avoir des liens étroits avec le Service Desk qui réceptionnera les plaintes.

Conclusion :

Avant de vous lancer dans un projet ISO 20000 il nécessaire, voire indispensable d'évaluer votre cartographie processus, afin d'identifier les zones de couvertures qui peuvent exister dans votre entreprise. Pour une entreprise certifiée ISO 9001 et qui aurait mis en déployée la totalité des processus ITIL (version 2) les seuls processus à créer de toute pièce :

• La gestion de la sécurité (abordée dans un livre spécifique d'ITIL version 2)
  
• Les rapports de Services (bien que cette activité soit normalement réalisée dans tout organisme)
  

2. Spécificités de la norme ISO/IEC 20 000:

Voici un bref aperçu des spécificités de la norme ISO/IEC 20000. Selon les objectifs de votre projet vous pourrez tantôt les considérer comme des avantages ou des inconvénients.

• ISO/IEC 20000 nécessite la création d'un Catalogue de Services pour la Gestion des niveaux de Services. Il est par ailleurs nécessaire de prévoir la création de contrats de Services.
  
  
• Le corolaire de la certification est l'audit tierce partie et interne. Il est donc nécessaire d'établir une liste d'enregistrements (documents) qui attesteront que les activités sont réalisées conformément à ce qui a été planifié.

• La certification ISO porte sur l'entreprise, là ou ITIL certifie les collaborateurs. Dans les deux cas c'est un avantage puisque les collaborateurs sont formés et compétents ce qui rend l'entreprise visible et reconnue. La certification de l'entreprise permet quant à elle de se différencier positivement sur le marché et de justifier auprès de ses clients que le Système de Gestion des Services est en place.

• ISO/IEC 20000 est une "version allégée" d'ITIL. En effet, même si la couverture des processus parait importante le niveau de détail attendu est bien moindre. C'est l'opportunité d'aller vers ITIL sans se mettre trop de pression. Le choix doit être fonction de la maturité et des enjeux de l'entreprise.

• Comme nous avons pu le voir certains processus sont couverts par d'autres normes, telle qu'ISO 9001. Aussi ce peut être l'occasion de faire un audit "croisé" et faciliter l'investissement en temps sur les activités purement opérationnelles telles que la gestion des incidents.

• Enfin, l'audit interne et/ou externe est nécessaire. Du point de vue de l'amélioration continue, c'est probablement le meilleur outil à destination des entreprises, en revanche il nécessite d'avoir des collaborateurs formés à l'audit ou de recourir à des sociétés d'audit. Ce n'est pas le cas dans ITIL version 2 puisqu'aucun processus n'est en charge de "contrôler" le fonctionnement des autres.

En revanche ce fonctionnement se retrouve dans ITIL version 3 dans le chapitre "Continual Service Improvement" aura déjà parcourue un chemin non négligeable vers l'obtention de la certification.