Vos systèmes d’information sont vulnérables face aux cyberattaques

Des attaques toujours plus sophistiquées.

Chefs d’entreprise, les cybercriminels sont embusqués derrière vos portes électroniques ! La révolution numérique a fait apparaître un nouveau type d’attaques: les attaques sur Internet qui, selon les statistiques, s’accroissent à un rythme exponentiel, tout autant que leur sophistication. C’est que la ressource électronique est considérable, voire inépuisable, qu’il devient facile techniquement d’y accéder, il suffit d’être connecté, que l’activité est particulièrement rentable et qu’elle s’effectue la plupart du temps en toute impunité.

Comme au temps des attaques de diligences, vous ne les voyez pas, mais ils vous guettent, ils cherchent à déceler vos vulnérabilités et le moment opportun pour dérober vos données sensibles et stratégiques; neutraliser votre système informatique, saboter votre site e-commerce ou votre entreprise; porter atteinte à son image; s’approprier vos innovations technologiques!

Ce sont les TPE-PME les plus vulnérables.

Selon les experts 14 millions de Français ont été les victimes de piratages informatiques en 2016, dans un récent rapport Symantec montre l’ampleur du phénomène en indiquant que 77% des PME ont fait l’objet d’attaques sur le territoire français cette année, et il précise que ce sont les TPE-PME qui sont les plus vulnérables. En effet, les grandes entreprises sont en général bien organisées contre ces nouvelles menaces grâce à la présence en leur sein de professionnels qui mettent en place un système optimum de sécurité numérique.

Les faits montrent, en revanche, que les TPE-PME, non seulement ne disposent pas d’une telle protection, mais surtout qu’elles ne sont pas informées sur la menace et, en conséquence, sur la nécessité de prendre urgemment des mesures d’organisation pour se protéger. En outre, faisant le plus souvent partie de l’écosystème de grandes entreprises, elles sont toujours les victimes collatérales des attaques informatiques régulières dirigées contre ces dernières.

Si votre entreprise était touchée, auriez-vous la capacité de tout reconstruire ? Que faire en cas d’attaque ? Et en cas de fuites de données confidentielles ? Comment gérer ce type de crise ?

Chefs d’entreprise de TPE et PME, comment vous protéger ?

Un exercice d’introspection préalable est nécessaire afin de déterminer ce que vous devez protéger, à quel degré, et dans quel ordre de priorité. C’est une évaluation des risques ou comme l’exige le RGDP un analyse d’impact.

eval-risques

Puis, en fonction des vulnérabilités constatées avec les spécialistes, il convient d’organiser votre espace et votre outil de travail. Une organisation efficace en terme de gestion de la sécurité des SI et de la qualité de ses processus opérationnels doit s’appuyer sur trois piliers : la Technologie, ses Processus et ses Ressources humaines.

L’objectif technologique est d’empêcher toute intrusion physique et électronique et garantir la résilience de l’entreprise, en agissant sur l’infrastructure et l’équipement des pièces, en définissant une architecture de réseau en fonction de vos besoins, et également en installant un arsenal défensif préventif (firewall, proxy, antivirus, antispam) ainsi que les outils permettant une sauvegarde professionnelle de vos données.

En parallèle de cette démarche technologique, il s’agira de mettre en place une politique de sécurité des systèmes d’information (SSI) pragmatique. Celle-ci devra spécifier la répartition des responsabilités SSI au sein de l’entreprise, l’ensemble des processus qui contribueront à maintenir la sécurité, l’organisation du site, des hommes et des réseaux, l’arsenal défensif préventif choisi, une charte informatique qui définisse l’usage professionnel et privé de l’entreprise avec des règles et des procédures de sécurité dont il faudra veiller à la stricte application, une stratégie de reprise après une attaque, fondée sur un arsenal défensif curatif (sauvegarde professionnelle, archivage, plan de reprise ou de continuité d’activité, …).

Finalement, il sera nécessaire de former et d’entraîner votre personnel afin de réduire les vulnérabilités et d’assurer un maîtrise des comportements en cas d’incident et des actions préventives.

A cet égard l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la CGPME présentent, dans leur Guide des bonnes pratiques de l’informatique, des règles essentielles et pragmatiques pour la sécurité des systèmes d’information des petites et moyennes entreprises que nous vous recommandons.

Services de consulting

Pour faire face aux dangers de la cybercriminalité et vous en prémunir, nous pouvons vous accompagner en vous apportant des conseils et des solutions adaptées et pragmatiques pour vous permettre d’assurer la sécurité de vos données sensibles et faire face aux menaces visant vos systèmes d’information, notamment en :

  • établissant un diagnostic personnalisé au sein de votre entreprise ou avec vos prestataires (audit),
  • organisant l’espace et les outils de travail pour une protection optimum,
  • élaborant une politique et des processus de sécurisation des systèmes d’information,
  • sensibilisant et en formant vos Managers et vos collaborateurs,
  • rééquilibrant les trois piliers au sein de l’organisation, en particulier sur l’axe humain, pour rendre la prévention des risques plus efficiente et pérenne.
Publicités

Évaluer la démarche de management des processus

Management des processus

team-process-managementLe management des processus est un mode de gestion d’entreprise prenant en compte la stratégie de celle-ci et toutes les activités requises pour les orienter vers les clients, les structurer, les affecter, les documenter, les analyser, les maîtriser et les optimiser. Ceci afin d’améliorer la performance globale de l’organisation.

Chaque processus se caractérise par des objectifs clairs, des tâches, des responsabilités, des enchaînements et des interfaces entre services identifiés et correctement gérés. Il implique la mesure de l’efficacité individuelle et globale des processus dans une optique de recherche permanente d’amélioration et de performance.

Besoin d’évaluation

Il est souhaitable d’évaluer régulièrement la démarche de management des processus à l’occasion par exemple d’une inflexion de la stratégie ou bien pour les structures certifiées à l’occasion d’un changement de version de la norme de certification.

Pour cela il faut commencer par la réalisation d’un état des lieux de l’organisation de l’entreprise et de la démarche de management des processus que ce soit pour : la qualité, la sécurité ou l’environnement. En effet, avant d’intégrer de nouvelles exigences et, le cas échéant, de nouvelles pratiques dans l’entreprise, l’expérience montre qu’il est toujours utile de procéder à une évaluation de l’existant, qui plus est partagée par les acteurs de l’entreprise.

Principes d’évaluation

ProcessusCet état des lieux ou diagnostic peut être réalisé en interne ou bien par un prestataire externe pour en garantir une plus grande objectivité. Le but est d’identifier les points forts de l’organisation et ses points faibles, ou si l’on préfère ses points à améliorer, afin d’intégrer ces résultats dans le plan de mise à niveau du système de management des processus. Le principal facteur de succès d’un diagnostic est l’appropriation des résultats et des actions d’amélioration qui en découlent par l’ensemble des acteurs de l’entreprise.

Les éléments pouvant être évalués, par exemple dans chaque secteur de l’entreprise, peuvent porter sur les points suivants :

  • MISSION
    • Mission, responsabilités
    • Objectifs
    • Moyens humains, matériels, financiers
    • Perception de la stratégie de l’entreprise
    • Autorité sur le système
    • Horizon temporel, perspectives
  • INDICATEURS
    • Quantités (incidents, réclamations, performance, …)
    • Satisfaction client
    • Éfficacité, qualité
    • Coûts
  • PILOTAGE
    • Instances et moyens établis
  • MAÎTRISE DES ACTIVITÉS
    • Activités et points-clés (Risques)
    • Planification
    • Ressources
    • Critères de réalisation, d’évaluation
    • Retours d’expériences
  • DOCUMENTS, INFORMATIONS ET CONNAISSANCES
    • Documents, informations (reçus/émis)
    • Procédures, règles, savoir-faire et connaissances spécifiques
    • Normes et réglementations externes
  • FORCES / FAIBLESSES, DIFFICULTÉS / AMÉLIORATIONS

La synthèse et le plan d’action

A l’issue de ces évaluations une synthèse doit être établie afin de valider et partager les résultats dans l’entreprise. Cette synthèse doit permettre d’identifier des axes de travail et d’éventuels prérequis qui viendront enrichir le plan d’action de mise à niveau du système de management des processus de l’entreprise.

Le modèle d’organisation des processus doit accompagner en priorité la stratégie de l’entreprise avant de définir les processus par une approche issue de l’analyse fonctionnelle technique. Cette approche doit être prise en compte dans l’amélioration et la redéfinition des processus à la suite de l’évaluation globale.

competencesToutes les parties prenantes de l’organisation doivent être impliquées pour le plan d’action : les clients, les fournisseurs, les actionnaires, les salariés et la société en général. Une organisation bien équilibrée s’appuie sur trois piliers pour bien fonctionner : la technologie, les processus et les ressources humaines. Chacun de ces piliers doit aussi être analysés à l’occasion de cette revue des processus pour garder un bon équilibre.

L’amélioration continue et la gestion des risques

Une fois les processus redéfinis et alignés pour soutenir la stratégie de l’entreprise puis cartographiés avec le niveau de détail nécessaire pour piloter leur performance, il reste à expliciter l’approche risques. Il s’agit d’identifier les risques avérés et potentiels par rapport aux objectifs à atteindre, puis d’évaluer leur impact afin d’identifier les moyens de maîtrise nécessaires et suffisants.

eval-risquesCeci peut se faire, par exemple, au travers de revues de processus au cours desquelles les résultats des processus et les bilans des événements indésirables répertoriés permettront d’identifier les éventuels besoins de moyens de maîtrise complémentaires à ceux déjà existant.

Un plan de prévention des risques peut alors être établi, communiqué et suivi en accompagnement de la gestion du changement.

Services de consulting

Le consultant mettra en œuvre une méthodologie générique adaptable à toutes les situations de gestion de problèmes, de projets ou d’amélioration de processus de gouvernance ou de management. Cette méthodologie développée par Arts & Stratèges porte le nom de CASA© et est schématisée comme suit :

CASA

Pour obtenir plus d’informations sur cette méthodologie, veuillez SVP utiliser le formulaire de contact.

 

Amélioration continue

Démarche d’amélioration continueamelioration

Mener une démarche d’amélioration continue ou de résolution de problème selon le cycle du « Plan-Do-Check-Act » ou PDCA permet d’avoir une méthode structurée pour mettre en oeuvre des solutions les plus adaptées et surtout pérennes.

Le PDCA est une démarche d’amélioration continue symbolisée par la roue de Deming.

Méthodes

Le PDCA se déroule en quatre grandes étapes.

Plan = Planifier ou Prévoir

La première étape est très importante, car elle consiste à bien définir le sujet ou le problème, on parle de périmètre ou de scope. Ceci afin d’identifier des solutions pérennes qui devront être évaluées et déployées. Cette étape est finalisée par un plan d’actions, incluant leur planification et les acteurs.

Do = Développer ou Réaliser

Cette étape consiste en la mise en oeuvre des actions définies précédemment. La rigueur dans le suivi du plan d’action au travers de mesures d’avancement et de jalons est un gage important de réussite.

Check = Contrôler ou Vérifier

Il s’agit de vérifier l’efficacité des actions menées. Ceci peut se faire par le biais de mesures, d’indicateurs, ou d’observations. Un délai peut-être défini selon la nature de l’action, un cas classique est d’évaluer les actions à 30,60 et 90 jours après le déploiement. Lorsque des actions se révèlent inefficaces suite aux vérifications, des ajustements pourront être réalisés, si nécessaire, en revenant à l’étape Plan dans une nouvelle itération.

Act = Ajuster, Assurer, Améliorer

Cette étape permet de finaliser la démarche afin d’assurer la pérennité des résultats des actions mises en oeuvre. Il s’agit le plus souvent d’élaborer ou mettre à jour des documents, tels que procédures, processus, guides de bonnes pratiques, ou formulaires.

Il s’agit également d’identifier des améliorations , en revenant à l’étape Plan dans une nouvelle itération pour les mettre en oeuvre. On peut ainsi exécuter plusieurs fois le cycle pour bien ancrer les changements.

Autres méthodes

Il existe d’autres méthodes d’amélioration continue des processus comme le DMAIC de Six Signa ou le Kaizen du Lean.

On peut aussi mettre en oeuvre des méthodes plus détaillées et expertes comme l’évaluation et l’étude d’impact, la résolution de problèmes ou un cycle de gestion de projet pour piloter des changements de grande échelle. Ou plus simplement des bonnes pratiques pour assurer le succès du changement.

Mission du responsable

Dans le cadre du déploiement d’un plan de progrès, la mission principale du responsable de l’amélioration consiste à piloter le projet et accompagner les managers opérationnels dans la mise en oeuvre et le suivi des chantiers de progrès avec des pilotes terrain, tout ceci en lien avec le programme global d’amélioration. Ceci est possible en :

  • en établissant le plan d’action correspondant et en suivant son exécution au travers des revues et à l’aide d’indicateurs,
  • en veillant au déploiement et à l’appropriation des objectifs de progrès,
  • en animant la communication sur les démarches de progrès et d’amélioration continue,
  • en rendant compte de l’efficacité des processus mis en place,
  • en faisant la promotion des bonnes pratiques entre entités.

Le sens du relationnel, l’autonomie et la rigueur sont des qualités essentielles pour cette fonction, complétées par :

  • Dynamique.
  • Curieux.
  • doté d’un bon sens de l’écoute.
  • Affirmé.
  • Force de conseil et de proposition.

Exemple de procédure d’Amélioration Continue

Cas du traitement des Actions Correctives et des Actions Préventives :

Services de consulting

  • Évaluation ou audit de processus opérationnels existants.
  • Assistance à la définition et au déploiement de plans d’action d’amélioration.
  • Définition du processus opérationnelle d’amélioration continue.
  • Coaching du responsable de l’amélioration.

Système de Management intégré

Les principes d’un Système de Management intégré

Pour une organisation, il est important de conduire ses activités métiers de manière responsable en assurant la qualité des produits et des services fournis et la conformité avec les réglementations applicables liées à la qualité et la sécurité des pays où elle opère.

Pour atteindre cet objectif, un système de management intégré des processus couvrant les aspects Qualité, Sécurité et Gouvernance de l’organisation peuvent être mis en place pour :

  • S’assurer de la conformité avec les réglementations applicables,
  • Fournir un référentiel conforme avec les exigences de ses clients,
  • Attribuer des rôles et des responsabilités clairs à toutes les parties prenantes,
  • Identifier, analyser et gérer tous les risques liés aux activités,
  • Fournir des outils de travail, des technologies appropriées et des procédures permettant la performance au service des clients,
  • Gérer et améliorer de manière continue le système de Management et sa performance, ceci incluant la réduction des impacts négatifs au travers d’une revue constante des objectifs, des cibles, des mesures, découlant sur la mise en œuvre d’action préventives et correctives.

Ces principes guident pour la réalisation des procédures opérationnelles pragmatiques et des accords commerciaux. Cette politique est applicable à tous les projets, opérations, contrats de sous-traitance, organisations et collaborateurs.

ISO 9001 la base du système de Management

Le système de Management des processus qui est embarqué dans toutes les normes ISO traitant de ce sujet est issu de la célèbre norme internationale qualité ISO 9001, voici une courte présentation qui vous explique les grands principes d’un SMQ ou Système de Management de la Qualité :

Cas pratique d’un modèle de processus générique

Un exemple, pour lequel j’ai géré la définition et le déploiement complet, concerne un système de gestion intégré de la qualité, en anglais c’est un QMS (Quality Management System) construit en s’inspirant des bonnes pratiques du référentiel international ISO 9001.

L’organisation à mis en œuvre ce QMS détaillé et très large pour la gestion de ses produits et services client : les bonnes pratiques d’ITIL / ISO 20000 pour la gestion des Services IT et Métiers, celles du référentiel CMMI pour la gestion des projets et le développement des solutions logicielles. Les aspects plus spécialisés de la gestion de la sécurité sont repris de la norme ISO 27001, sans oublier les processus d’amélioration continue.

history

Armé d’une longue expérience acquise dans ces domaines, les pratiques les mieux adaptées à ces opérations et les plus pragmatiques ont été intégrées dans un modèle de maturité des processus CpMM (Common process Maturity Model) qui s’adaptait parfaitement aux besoins de l’organisation. L’objectif étant de standardiser les pratiques sans uniformiser.

La cartographie complète de ce modèle est présentée ci-dessous :

CpMM-card

Ce qui donne en détails :

CpMM-full-card
Cliquez sur l’image pour agrandir

La mise en place et le déploiement de ce modèle et des processus opérationnels déclinés pour une DSI internationale a été complété par une organisation dont voici le modèle :

 

orga
Cliquez sur l’image pour agrandir

Si vous souhaitez développer ces principes et méthodes dans votre organisation ou évaluer leur déploiement, je peux vous apporter conseils et expériences pour formaliser votre projet en utilisant par exemple le modèle CpMM ou les référentiels standards.

Services de consulting

  • Définir et mettre en place un système intégré de Management couvrant tous les domaines opérationnels de l’organisation, déclinaisons des bonnes pratiques en processus opérationnels.
  • Mise en place d’une gouvernance des processus et du système d’amélioration continue, définir les objectifs, les méthodes de suivi et de reporting.
  • Définir les objectifs du plan de Démarche de Progrès en fonction des objectifs stratégiques.
  • Identifier les sources potentielles de progrès  en terme de qualité, coût, délai.
  • Déployer les pratiques d’amélioration continue, organiser l’audit interne, préparer aux méthodes d’audit et d’amélioration type Kaizen.

MPP Management Par Projet

Cet article vous présente les définitions principales et le référentiel d’un système de gouvernance de projet au sein d’une DSI en charge du développement d’applications logiciel et de la mise en production des Systèmes d’Information résultants. Ce référentiel complet, dont j’ai coordonné le développement et le déploiement avec le soutien de ACDE Conseil, a été évalué et reconnu CMMI niveau 2.

Définitions

Le Management Par Projet est un ensemble de processus destiné à assurer que les projets sont entrepris en adéquation maximale avec les objectifs stratégiques de la société et que les risques encourus sont identifiés et contrôlés.

ProcessusUn projet se caractérise par une existence limitée dans le temps, un début, une fin et un objet parfaitement identifiés.

Lui est affecté un chef de projet ou Project Manager, responsable de la coordination de la production de l’ensemble des livrables, de l’organisation et de la bonne exécution de l’ensemble des tâches et intervenants concourant à la réalisation du projet, depuis son initialisation jusqu’à sa clôture.

Implicitement cela signifie qu’un projet inclue non seulement des travaux ayant trait au développement de logiciels, pour le cas qui nous intéresse, mais aussi toutes les activités de communication, de documentation et d’industrialisation du système d’information se tenant en amont ou en aval de la production du logiciel.

La décomposition en phases conclues par un jalon ou milestone permet d’évaluer les avantages potentiels et le niveau de risque des projets, de définir des responsabilités claires, de segmenter et d’organiser le travail à effectuer, d’impliquer avec pertinence l’intégralité des acteurs concernés, de maîtriser les engagements de ressources, de valider les travaux accomplis, de prononcer les arbitrages attendus, de décider de poursuivre, de stopper, de différer ou de recadrer certains projets.

Le franchissement du jalon marquant la fin de chaque phase est conditionné à l’approbation par la direction, ou par des instances agissant par délégation, d’un certain nombre de documents de gestions et livrables attestant que le travail convenu a été réalisé conformément aux objectifs fixés, dans les règles de l’art en terme de qualité, dans les limites de temps, de budget ou de charge convenus.

Remarque : Le processus global de management par projet se nourrit d’autres processus tels que les processus d’assurance qualité ou les processus d’ingénierie et de support.

Présentation du processus

Le processus global de Management Par Projet (MPP) se décompose en sept phases essentielles. Chaque phase se conclut par une réunion de revue évaluant la performance du projet en regard de ses objectifs et statuant sur sa continuation. Cette revue est marquée par le franchissement d’un jalon traduisant l’état de maturité du projet.

concepts-de-planificationLe franchissement de chaque jalon est conditionné à :

  • La production de certains livrables ou documents de gestion,
  • L’approbation d’une autorité prédéterminée (GO/NOGO).

Tous deux dépendant des caractéristiques du projet : produit, maîtrise d’ouvrage, catégorie, criticité.

Les phases d’un projet classique sont les suivantes :

1 – INITIALISATION

Cette phase a pour objet de préciser les raisons prévalant à l’engagement potentiel du projet. Elle se conclut par le jalon « Business Review » marquant l’accord sur la pertinence économique du projet.

2 – ÉVALUATION

Cette phase a pour objet d’apprécier la faisabilité du projet en regard des orientations stratégiques de l’organisation, de ses capacités et du retour sur investissement envisageable. Elle se conclut par le jalon « Faisibility Review » marquant l’accord sur la faisabilité du projet.

3 – SPÉCIFICATION ou  DÉFINITION

Cette phase a pour objet de définir le contenu précis et d’arrêter les choix techniques du projet, elle est l’occasion de développer les exigences avec le client ou la maîtrise d’ouvrage. Elle se conclut par le jalon « Definition Review » marquant l’accord sur la définition du projet.

4 – RÉALISATION ou CONSTRUCTION

Cette phase recouvre la plupart des opérations de réalisation des composants (logiciels et non logiciels) du projet. Elle se conclut par le jalon « Realisation Review » marquant l’accord sur la réalisation du projet.

5 – PRÉPARATION ou VALIDATION

Cette phase recouvre l’ensemble des opérations intermédiaires séparant la production d’un code testé de sa mise à disposition des clients sous forme d’un produit fonctionnel, maintenable, documenté et supporté. Elle inclut les dernières étapes de documentation et la plupart des étapes de recette, d’industrialisation, de production, de mise en exploitation, de mise à disposition à des clients-tests (partenaires de développement, beta-tests), de transferts de connaissance et de responsabilité envers les divisions opérationnelles. Elle se conclut par le jalon « Validation Review » marquant l’accord sur la validation du projet et sur le fait que l’organisation dans son ensemble est prête pour la commercialisation et le support de la version.

6 – LANCEMENT ou PRODUCTION

Cette phase recouvre l’ensemble des opérations marketing, commerciales et de relation client entourant la mise sur le marché d’un nouveau produit ou d’une nouvelle version : actions presse, conférences, formation des utilisateurs. Elle se conclut par le jalon « Launch Review » marquant l’accord sur le fait que les opérations de lancement sont terminées et que la version est maintenant pleinement en exploitation.

7 – CLÔTURE ou BILAN

L’objet de cette phase est d’effectuer un bilan technique et organisationnel du projet afin principalement de recenser les difficultés rencontrées et de suggérer des axes d’évolution ou d’amélioration pour de futurs projets. Elle se conclut par le jalon « Final Project Review » marquant l’accord sur la fin du projet.

Le cycle de vie projet

Ce cycle d’enchaînement de phases et de jalons se nomme Cycle de Vie Projet, il a été synthétisé dans un poster que chaque membre de l’équipe projet peut afficher comme aide mémoire pragmatique pour les prises de décision et les livrables attendus. Dans cette version du poster la définition et le nommage des phases du projet ont été adaptés à un cycle de vie de développement logiciel (SDLC).

Une autre représentation de ce cycle de vie peut être faite à l’aide du référentiel générique et intégré CpMM, les différents processus à mettre en place se répartissent tout au long du cycle Phases/Jalons sur une disposition classique en « V » entièrement couvert par le processus PM :

SDLC-Process-map
Cliquez sur l’image pour agrandir

Le déploiement pratique de cette cartographie de processus en procédures opérationnelles standards peut être représenté comme suit :

SDLC-SOP-map
Cliquez sur l’image pour agrandir

Organisation

Le choix a été fait de mettre en place une structure matricielle ou structure par projet, c’est une structure temporaire limitée à la durée d’un projet.

Son principe est le suivant : les services permanents, organisés par fonctions techniques (les ex silos), affectent leur personnel dans des équipes projet en fonctions de besoins. Quand le projet est achevé, chacun rejoint son service d’origine en attente d’une nouvelle affectation. Une ressource peut être affectée à plusieurs projets selon sa charge.

Dans une structure matricielle, la fonction de management n’est plus dans les mains d’une seule personne, mais d’au moins deux. Il est ainsi primordial que le partage des responsabilités, mais aussi et surtout de l’autorité, entre les managers soit clair et précis.

Les avantages de la structure matricielle par projet sont de:

  • permettre une grande flexibilité dans la gestion des ressources humaines et le management,
  • développer l’innovation par l’émulation des idées entre des profils différents,
  • favoriser la collaboration,
  • ouvrir des nouveaux champs de communication entre les fonctions.

Bref, elle est bien adaptée à un monde économique complexe qui exige adaptation, innovation, réactivité des entreprises.

Le référentiel MPP

Vous trouverez ci-dessous la documentation en anglais du référentiel de Management Par Projet tel qu’il a été utilisé pour l’évaluation CMMI, en particulier vous y découvrirez les instances de pilotage et de direction à mettre en place, ainsi que les rôles et responsabilités de tous les acteurs du projet. Enfin l’ensemble des processus et des livrables pour réaliser le projet est décrit.

Principes du Management Équitable

logo-AFraMEConstruire un comportement homogène et éthique pour l’ensemble des acteurs de l’entreprise nécessite pour chacun une adhésion forte à des principes humains fondamentaux.

Valeurs

Aussi le Manager appliquant les principes du Management Équitable s’attache à développer une culture d’entreprise autour des valeurs suivantes :

Équité

Représente le sentiment naturel, spontané, du juste et de l’injuste. Il faut traiter chacun selon ce qui lui revient de droit, selon son mérite. Ceci spontanément et de façon égalitaire pour les hommes ou les idées en fonction de la justesse et du mérite.
C’est la volonté ferme et durable de reconnaître à chacun ses droits humains fondamentaux et de contribuer à les promouvoir.
Le manager fait preuve d’équité en particulier en replaçant l’humain au centre de ses pratiques de management.

Respect

Correspond au sentiment de considération, d’égard envers l’autre. Le souci de ne pas porter atteinte à l’autre. Il demande d’être à la hauteur et de ne pas porter atteinte aux hommes ou aux idées.
Le respect est la règle de base du comportement du manager dans tous ses actes : respect de soi, des autres collaborateurs, des clients, des tiers, des partenaires sociaux, de la société en général, des principes du groupe, des lois et des règlements, de l’environnement, de l’équité et de l’éthique au sens le plus large.

Partage

Littéralement c’est la division en plusieurs portions, réparties entre les participants. Le fait de partager, d’avoir quelque chose de commun avec quelqu’un.
Le manager est évidemment solidaire de son équipe et de ses collaborateurs mais il l’est également de l’entreprise. Il adopte une attitude résolument positive qui va de pair avec réalisme et courage, il favorise ainsi le développement de l’esprit d’équipe à  tous les niveaux.

Exemplarité

C’est la qualité de ce qui est exemplaire, de ce qui peut servir d’exemple, de modèle et qui peut être imité, répliqué. Ceci se traduit par donner le meilleur de soi-même, rechercher en permanence la qualité, faire preuve d’un professionnalisme exemplaire en exigence quotidienne.
Le manager doit être un responsable porteur de sens, en ayant une grande cohérence personnelle et en soutenant l’humanisation des règles. L’exemplarité est la condition nécessaire, indispensable, mais non suffisante, pour acquérir de la légitimité. A contrario, le manager illégitime fixe des règles qui ne sont valables que pour les autres.

Efficacité

Elle traduit le caractère de ce qui est efficace, de ce qui produit sont effet. C’est la capacité de produire le maximum de résultats avec le minimum d’efforts, et la plus grande valorisation des ressources.
Les leviers d’efficacité managériale sont d’associer des principes de comportement et des compétences, de gérer par des actes plutôt que des discours.

Audace

Mouvement de l’âme qui porte à des actions extraordinaires, au mépris des obstacles et des risques. Tendance à oser les actions difficiles.
Le bon manager est celui qui prend des risques, il sait être audacieux, dans la mesure où son destin individuel est la manifestation du destin collectif, il est celui qui prend le plus de risques pour le collectif. Ce n’est qu’à cette condition qu’il peut se prétendre manager et le prétendre aux autres.

Anticipation

Action de prévenir, de devancer. Il ne se dit que du Temps et, par ellipse, des Choses dont on prévient le temps.
Action de se représenter une chose future, considérée comme plus probable que le rêve en se basant sur le présent et plus proche de sa réalisation que le simple projet.
Le manager doit faire preuve d’anticipation en utilisant son expérience pour éviter de basculer dans la gestion de crise, mais aussi pour mieux informer, partager et impliquer. Associé à l’audace il doit être un bon gestionnaire de risques.

En synthèse

Les valeurs du Management Équitable privilégient la dimension humaine sans oblitérer la finalité de performance des organisations, elles se doivent d’être à la fois individuelles et collectives. Ces valeurs sont soutenues par des Managers forts d’une personnalité induite ou projetée de guide juste et sincère, qui mette en oeuvre ces principes afin d’instaurer une culture de Management exemplaire. La diffusion et le partage de cette culture commune et authentique constitue la clé de voûte des futurs succès de l’entreprise et de sa pérennité.

Ces valeurs sont celles de l’AFraME et de ses adhérents qui souhaitent les partager avec tous les Managers qui veulent les mettre en œuvre au travers de la Charte du Management Équitable dans leur organisation.

Si vous souhaitez développer ces valeurs dans votre organisation ou évaluer leur déploiement, je peux vous apporter conseils et expériences pour formaliser votre projet en utilisant la charte, le label et les bonnes pratiques du Management Équitable.

Services de consulting

  • Sensibiliser à la mise en place des nouvelles pratiques de Management équitables.
  • Animer des ateliers sur les bonnes pratiques de Management pour les ancrer.
  • Présenter les entretiens-clés de Management opérationnels : motivation, kick-off, pilotage, évaluation annuelle, briefing, suivi d’activité…
  • Définir des méthodes de priorisation de l’activité, de la gestion des risques.
  • Définir et mettre en place des indicateurs de performance opérationnels efficaces.
  • Préparer à l’évaluation régulière des pratiques de Management par un organisme spécialisé tel que l’AFraME.

Déploiement des processus ITIL

Dans cet article je présente une méthode projet à suivre pour réussir simplement le déploiement des processus de gestion et de support des Services IT en s’appuyant sur le référentiel ITIL. Dans ce domaine on parle de projet ITSM pour IT Service Management. Cette présentation est complétée par un document de retour d’expérience sur un projet ITSM majeur que j’ai coordonné au sein d’une DSI internationale.

L’état des lieux

Afin de démarrer un projet de type IT Services s’appuyant sur le référentiel ITIL, il est nécessaire de réaliser un état des lieux, si possible  avec l’aide d’un conseil externe qui apportera une vision objective de la situation.

La méthode utilisée classiquement est basée essentiellement sur des entretiens avec les dirigeants, les managers et des personnes clé de l’organisation. Elle est complétée par une analyse documentaire de l’existant.

Constats

ProcessusLes constats suite à cet état des lieux se découpent en deux parties :

  • Les points positifs,
  • Les points d’amélioration.

Ces points seront autant d’éléments en entrée du projet de définition et de mise en place des processus IT.

Il est important de synthétiser ces constats sur une cartographie de processus existants qui permet souvent de bien visualiser la complexité d’une organisation et sa maturité en terme de rationalisation.

Les verbatim capturés pendant les interviews sont aussi très importants à conserver, comme par exemple :

  • « On est dimensionnés pour des pics, on ne sait pas lisser la charge. »
  • « On réinvente la roue sans cesse, parce qu’on bosse dans l’urgence. »
  • « La culture interne n’impose pas de rendre des comptes sur l’activité. »

Fixation des objectifs

Un projet IT Services vise habituellement à accompagner la transformation d’une DSI en fournisseur de services en utilisant le référentiel ITIL comme guide.

Les principaux objectifs d’un projet doivent être clairement présentés à la direction pour obtenir son soutient, en voici quelques exemples :

  • Changer la culture des équipes.
  • Améliorer la qualité des services rendus et du support.
  • Aligner les services sur les besoins métiers et ceux des clients finaux.
  • Donner plus de visibilité à nos clients sur le fonctionnement de l’organisation.
  • Contrôler, refacturer et optimiser les coûts.
  • Centraliser le support afin de fournir un service de bout en bout.
  • Clarifier les rôles.

Afin de suivre ces objectifs, des indicateurs ou KPI doivent être mis en place pour mesurer les progrès, ces indicateurs seront des éléments importants à restituer à la direction pour faire une mesure de ROI, en voici quelques exemples :

  • Satisfaction des clients.
  • Couverture du Catalogue de services standardisés.
  • Pourcentage de services facturés et rationalisation de la capacité.
  • Mise à jour de la nomenclature métier et des fiches de poste.
  • Cartographie complète des processus.
  • Point d’entrée unique pour le support et indicateurs de gestion d’incidents.

Rôles et responsabilité

Dans tout projet de mise en oeuvre de processus il est important de définir plusieurs rôles, essentiellement au niveau de la gestion des processus, qui complètent les rôles opérationnels classiques d’une DSI :

  • Process Coordinator : Il anime la collaboration entre les responsables de processus du projet et contribue à la coordination dans le déploiement des processus. Il exerce un rôle de support des Process Owners et de responsable qualité du projet.
  • Process Owner : C’est le propriétaire d’un processus dont il a la charge. Ses responsabilités incluent le soutient, la conception, la gestion des changements et l’amélioration continue du processus et de ses métriques. Son rôle est principalement de s’assurer que le processus utilisé est adapté aux besoins opérationnels. Il y a un Process Owner par processus défini.
  • Process Manager : Il gére la bonne application de la mise en oeuvre opérationnelle des processus. Ceci en incluant la planification et la coordination de toutes les activités exigées pour effectuer, surveiller et rendre compte de l’application du processus en charge. Il peut y avoir plusieurs Process Managers pour un même processus.

La cartographie des processus

Une représentation de cette cartographie peut être faite à l’aide du référentiel générique et intégré CpMM, les différents processus à mettre en place se répartissent selon les cinq  domaines clefs du référentiel ITIL :

ITSM-process-map
Cliquez sur l’image pour agrandir

Voici un exemple pragmatique de cette cartographie de processus, sous forme de procédures opérationnelle standards, mise en place sous ma responsabilité en utilisant en grande partie les bonnes pratiques du référentiel ITIL et ISO 27001 regroupées et rationalisées dans un référentiel qualité interne :

ITSM-process-maps
Cliquez sur l’image pour agrandir

Retour d’expérience

Le document suivant est la présentation complète du projet ITSM réalisé sous ma coordination pour la DSI de Cegedim, l’organisation de départ était principalement structurée en silos technologiques. L’étude, la mise en place progressive et la stabilisation des nouveaux processus se sont déroulées sur un cycle de trois ans, cycle nécessaire au changement de culture pour l’ancrer dans l’organisation.

Vous trouverez dans l’article de solutions-numeriques.com un témoignage sur ce projet plus orienté vers le choix de l’outil initial de gestion ITSM, support de la démarche de déploiement des processus.

 

Comment standardiser sans uniformiser ?

harmonisationJ’ai contribué au Club PMO animé par ACDE Conseil en faisant un retour de mon expérience de standardisation pragmatique de processus au sein d’une organisation de services spécialisée en développement et hébergement de logiciels pour le monde de la santé.

Cegedim a souhaité définir un référentiel commun de bonnes pratiques, propre à l’entreprise, construit à partir de plusieurs méthodologies et référentiels : CMMI, Prince 2, ITIL, ISO 2701, ISO 9001, etc.

Cette approche de rationalisation interne des référentiels sert également à montrer aux clients de l’organisation comment sont gérés les projets et les services, cette standardisation aide à vendre la démarche de définition des processus internes aux Managers opérationnels.

Un point de vigilance qu’il ne faut pas négliger dans ce type de projet, c’est de rechercher et trouver le bon niveau de détails dans la définition des processus sans nuire à l’innovation.

Vous pouvez retrouver cette présentation sur le site du Club PMO ou directement en la téléchargeant ici.