Présentation générale

ISO 20000 est la première norme internationale pour la gestion des services informatiques. Elle résulte d'un accord signé en 2005 entre l'ISO (International Organization for Standardization) et le BSI (British Standard Institute) pour internationaliser la norme BS15000.
ISO20000, tout comme l'était BS15000, est destinée aux organisations en charge de la production et de la fourniture de services informatiques. Cette nouvelle norme internationale a été officiellement publiée le 14 décembre 2005. Pour être exacts, nous devrions parler de ISO/CEI 20000:2005.

Outre un travail d'alignement des structures, une clarification de certains termes et quelques modifications mineures des spécifications, ISO20000 reprend pratiquement à la lettre le modèle du BSI avec deux volets:

• ISO/CEI 20000-1:2005 pour les spécifications.

• ISO/CEI 20000-2:2005 pour le code de bonnes pratiques.

C'est essentiellement le périmètre d'applicabilité qui évolue. Là où BS15000 n'avait qu'une couverture nationale, ISO20000 prend une dimension internationale. Rappelons que l'ISO est un réseau d'instituts nationaux de normalisation de 156 pays! Pour la France, l'AFAQ AFNOR et l'ITSMF se sont naturellement rapprochés pour promouvoir la certification associée à cette nouvelle norme. A ce jour, la version Française n'est pas encore publiée.

ISO20000 et ITIL

Le référentiel de bonnes pratiques ITIL était largement représenté dans BS15000 depuis sa création en 2000. Il apparaît donc naturellement dans la nouvelle norme internationale ISO20000. En effet, nous y trouvons la plupart des processus clés de la bibliothèque ITIL:

• Gestion des niveaux de services.
• Gestion des changements.
• Gestion des configurations.
• Gestion de la disponibilité.
• Gestion de la continuité des services.
• Gestion financière des services sur les fonctions de budget et de comptabilité.
• Gestion des mises en production.
• Gestion de la capacité.
• Gestion de la sécurité.

En outre, le plan d'amélioration de la qualité des services (le fameux PDCA issu de la roue de Deming) y figure en bonne place. Autant dire que les organisations qui ont déjà adopté les bonnes pratiques ITIL ne devraient pas avoir à engager un programme de transformation trop lourd pour passer la certification ISO20000 avec succès.

L'OCG avait publié en 2005 un ouvrage à l'attention des organisations de tailles moyennes: ITIL Small-scale Implementation, comme pour rappeler que les bonnes pratiques ITIL ne s'adressent pas uniquement aux organisations internationales, mais aussi aux structures plus modestes. Il en va de même pour ISO20000, cette norme concerne toutes les tailles de structures dès lors qu'elles souhaitent proposer des services informatiques alignés avec les exigences de ses clients directs.

ISO/CEI 20000-1:2005

Ce volet de la norme définit les spécifications pour le fournisseur de services informatiques. Autrement dit, ce sont les conditions nécessaires pour qu'une organisation informatique soit conforme à la norme. L'objectif principal étant de proposer des services en adéquation avec les exigences des clients utilisateurs. Ce chapitre de la norme est structuré de la façon suivante:

• Spécifications pour la gestion des services.
• Planification et mise en oeuvre de la gestion des services.
• Planification et mise en oeuvre des nouveaux services.
• Processus de fourniture des services.
• Gestion des relations.
• Gestion des résolutions.
• Gestion des contrôles.
• Gestion de la mise en production.

ISO/CEI 20000-2:2005

Ce second volet, le code de bonnes pratiques, est le support d'accompagnement à la préparation (ou transformation) nécessaire pour la certification ISO/CEI 20000-1. Il se présente aussi comme un guide pour l'auditeur dans sa démarche d'analyse et présente la même structure que le support des spécifications.

Les avantages de ISO20000

Le référentiel des bonnes pratiques ITIL proposait déjà des certifications. Elles concernaient les individus avec trois niveaux de certification:

• ITIL Foundation.
• ITIL Practitioner.
• ITIL Service manager.

ISO20000 propose désormais une certification au niveau de l'organisation. Gage de respect des règles de l'art pour les organisations informatiques, cette norme deviendra sans nul doute un avantage concurrentiel pour les structures d'infogérance, voire un pré requis pour prétendre répondre à un appel d'offres. Dans tous les cas, le label ISO apportera l'assurance du respect des bonnes pratiques ITIL au sein de l'organisation de production des services. A la différence des démarches ISO9000 plus généralistes, ISO20000 offre un modèle de standardisation spécialisé pour la production des services informatiques.

• Pour les clients utilisateurs des services: le label ISO20000 devrait être la garantie d'une démarche qualité sur une production des services basée sur le respect des bonnes pratiques du marché. Par qualité, il faut entendre la qualité actuelle et celle à venir, sensée s'améliorer via un plan d'amélioration continu supporté par une démarche de type PDCA.

• Pour le fournisseur des services: les avantages des bonnes pratiques ITIL ne sont plus à démontrer. Les organisations qui ont adopté ITIL, ont depuis longtemps amélioré la qualité des livrables mais aussi la productivité et la maturité des modèles de production. Pour les organisations exposées aux pressions concurrentielles, ISO20000 apportera certainement un différentiateur de taille.

Christian Nawrocki
www.itpms.fr

Transmettez cette newsletter à votre entourage et pour recevoir les prochains numéros inscrivez-vous.