Méthodologie

Méthodologie

Schémas directeurs informatiques (SDI)

Votre outil informatique ne sera véritablement performant que s’il fonctionne en phase avec les options stratégiques de votre Direction Générale.

Le schéma directeur informatique a pour point de départ la stratégie d’une entreprise ou d’une direction pour aboutir à la définition d’une cible en matière d’informatique et de système d’information.

Les principales étapes d’un schéma directeur informatique consistent à prendre connaissance de la stratégie, effectuer un bilan de l’existant, exprimer les besoins, définir des priorités, élaborer des scénarios cibles et à définir un plan d’action pour atteindre la cible retenue.

Enfin, le schéma directeur informatique présente l’ensemble des règles générales selon lesquelles cette informatisation doit être conduite, et suivie.

La méthode utilisée par AMJ est dérivée de la méthode RACINES (Rationalisation des Choix InformatiquES) du ministère de l’industrie.

Définissons ensemble une cible en matière de système d’information et d’informatique :

  • Schémas directeurs de fonctionnement,
  • Schémas directeurs informatiques stratégiques,
  • Schémas directeurs informatiques opérationnels,
  • Schémas directeurs micro et bureautique, …

Outre le fait de permettre d’aligner le système d’information sur la stratégie de l’entreprise, il permet de définir toutes les actions à mener sur les 2 à 3 ans à venir.

Il se termine notamment par le descriptif de chacun des projets avec un planning de mise en œuvre très concret et directement opérationnel.

Sélection de progiciels

Nous pouvons vous assister dans le choix de vos systèmes et outils pour maîtriser et piloter votre dispositif informatique :

  • Choix technologiques (matériels, réseaux, etc.),
  • Étude de produits,
  • Recherches et choix de progiciels, …

Il s’agit là d’aider à rechercher et/ou trouver un progiciel qui permettra de répondre le mieux possible aux besoins exprimés. En effet, face à la multitude de produits généralement disponibles sur le marché les clients souhaitent souvent sous-traiter ou se faire aider dans les tâches suivantes :

  • Présélection de produits
  • Définition de critères de choix
  • Evaluation des produits
  • Elaboration d’une liste restreinte à 2 ou 3 produits
  • Aide au choix final

Ceci suppose néanmoins que les besoins du client aient déjà été formalisés par écrit. Dans le cas contraire, l’étude de choix devra être précédée de la rédaction d’un cahier des charges ou d’une expression des besoins.

La démarche d’AMJ-groupe possède plusieurs étapes qui permettent de restreindre progressivement le choix pour aboutir au produit le plus adapté. Elle se caractérise notamment par son haut niveau de formalisation ainsi que par sa traçabilité.

Elle permet ainsi d’expliquer à chaque étape les raisons des filtrages successifs. Elle permet également de formaliser les échanges avec les éditeurs afin de permettre de faire reposer les choix sur des éléments tangibles et opposables en cas de besoin. Son fil conducteur correspond ainsi à la réduction des risques et à la sécurisation du choix.

A ce titre, nous rappelons qu’AMJ-groupe est totalement indépendant de tout éditeur de progiciel ce qui vous garantie la plus grande objectivité dans les analyses qui seront effectuées et les choix qui en résulteront.

Cohérence des analyses de risques

S’il est bien un problème qu’il est nécessaire d’éviter c’est de solliciter plusieurs fois des personnes pour poser les mêmes questions.

Pourtant c’est bien ce qui se passe dans de nombreuses entreprises lorsque d’un côté l’on sollicite des utilisateurs dans le cadre d’une analyse de risques et que de l’autre on les sollicite dans le cadre d’un plan de continuité d’activité. Cela est d’autant plus gênant que ces démarches sont assez consommatrices de temps. De plus, le fait de solliciter deux fois les utilisateurs sur des sujets identiques donne un peu un sentiment de désorganisation.

En effet, l’analyse de risque va généralement s’attacher à qualifier les impacts de la perte des critères suivants :

  • Disponibilité
  • Intégrité
  • Confidentialité
  • Preuve (traçabilité)

Dans le cadre de la démarche d’élaboration de PCA/PRA, une analyse de risque va également être menée au niveau de la phase dite d’analyse d’impacts. Elle va aussi s’attacher à déterminer les impacts de la perte des moyens de production mais de façon beaucoup plus fine. Elle va notamment évaluer le temps pendant lequel il est possible de se passer de ces moyens.

Dans les analyses de risques, le problème est que les analyses de perte de disponibilité qui sont menées restent assez générales et ne sont pas suffisantes pour déterminer de façon précise les moyens de continuité/ reprise d’activité. En effet, dans le cadre des PCA/PRA relatifs au sinistre des moyens informatiques, il existe deux éléments absolument fondamentaux dans ce domaine qui sont :

  • La Durée d’indisponibilité maximale autorisée (DIMA)
  • Perte de données maximale admissible (PDMA)

Ce sont ces éléments qui vont permettre de dimensionner les solutions techniques à mettre en œuvre.

Or les analyses de risques du type EBIOS, MEHARI, …ne rentrent pas dans ce niveau de détail et ne peuvent pas être utilisées telles quelles pour déterminer les solutions de continuité ou reprise d’activité.

Il existe donc une nécessaire mise en cohérence des analyses de risques avec les démarches de plans de continuité d’activité avant de solliciter les utilisateurs.

Il est d’ailleurs regrettable que cette problématique de cohérence ne soit pas abordée dans le référentiel ITIL.

Pourquoi assurer la maintenance d’une cellule de crise ?

Disposer d‘une cellule de crise c’est bien. S’assurer qu’elle est opérationnelle, c’est encore mieux !

Parce que la cellule de crise :

  • se situe en amont du dispositif de continuité/reprise d’activité,
  • permet de décider d’enclencher ou non les dispositifs de continuité/reprise d’activité,
  • réunit les plus hautes instances dirigeantes de votre société,
  • est le maillon le plus sensible et critique de toute la chaîne.

Elle doit impérativement être parfaitement opérationnelle en permanence.

Voici ce qui ne doit pas arriver en cas de crise :

  • les dirigeants n’arrivent pas à accéder à la cellule de crise,
  • les moyens attendus dans la salle ne sont pas présents,
  • les moyens attendus sont présents mais ne sont pas opérationnels,
  • les collaborateurs d’astreinte ne répondent pas.

En effet, l’expérience acquise par AMJ dans ce domaine montre que si les locaux de crise sont généralement toujours accessibles pendant les heures de bureaux, ils le sont beaucoup moins la nuit, les week-ends, jours fériés ou périodes de congés. Par ailleurs, les matériels nécessaires ne sont pas systématiquement présents et encore moins opérationnels. En effet, les salles de crise sont souvent utilisées au quotidien à d’autres fins et les moyens sont parfois déplacés. De plus, l’environnement matériel et logiciel évolue, des mises à jour sont régulièrement nécessaires et les infrastructures de communication évoluent également. Enfin, les collaborateurs d’astreinte ne sont pas toujours joignables.

En effet, il ne faut pas oublier qu’une cellule de crise ne sert à rien sans un système d’alerte opérationnel. Ainsi, de la même façon que pour la cellule de crise, il convient de s’assurer régulièrement que le système d’alerte est bien opérationnel.

Il est également rappelé que les situations de crises se produisent plus fréquemment qu’on ne le pense car personne ne souhaite communiquer sur ces sujets ou le moins possible. De surcroit, toutes les crises ne nécessitent pas nécessairement la mise en œuvre d’un plan de continuité d’activité (PCA/PRA) mais elles nécessitent toutes la tenue d’une réunion de crise. Etant donné que des dispositifs de crise ont été récemment créés et que des investissements ont été réalisés, les dirigeants souhaiteront les utiliser en s’attendant à ce qu’ils soient opérationnels…

La TMC (tierce maintenance de cellules de crise) est donc la solution !

Le contrat de tierce maintenance de cellule de crise proposé par AMJ vous permet pour une somme modique de vous prémunir contre les risques de dysfonctionnement précédemment évoqués. En effet, dans le cadre de ce contrat annuel, AMJ effectue des tests réguliers pour vérifier notamment les capacités d’accès ainsi que la présence des matériels et leur bon fonctionnement. Des rapports de contrôle sont systématiquement produits à l’issue de chaque test afin de permettre de prendre les mesures correctives qui s’imposent.

Ce contrat peut, en fonction des besoins être également étendu à d’autres types de tests tels que par exemple : des tests d’astreinte, de contrôle de mise à jour de contenus,…

Bien entendu, ces différents tests peuvent être réalisés de façon planifiée ou aléatoire.

Points forts :

  • vous permet de vous assurer du bon fonctionnement de votre dispositif de crise
  • ne nécessite pas de réunir les membres de la cellule de crise
  • permet de fournir des rapports de test aux instances de contrôle interne ainsi qu’à la commission bancaire
  • présente un excellent rapport coût/ bénéfices
  • AMJ possède déjà l’expérience et le savoir faire dans ce domaine

Quels outils pour gérer les crises ?

Quels sont les outils indispensables au bon fonctionnement de la cellule de crise : ?

Si tout le monde s’accorde pour considérer le téléphone et la messagerie comme des outils indispensables, les avis sont beaucoup plus partagés en ce qui concerne l’utilisation d’outils informatiques dédiés.

Des outils, peut-être, mais pour quels besoins ?

Espace d’échange et de communication

Tout d’abord, le premier besoin concerne la circulation de l’information, à l’intérieur de la cellule de crise aussi bien qu’avec les collaborateurs et les acteurs externes. En effet, il est nécessaire de disposer d’un espace partagé d’échange et de communication afin de connaître les bonnes informations au bon moment. L’un des objectifs de la mise en place de l’organisation de crise est d’optimiser la rapidité des échanges, afin d’arriver à des échanges proches du temps réel entre les événements et leur communication aux intéressés.

Tableau de suivi d’évènements

Outil de décision, de communication et d’échange d’information, le suivi d’évènements constitue un élément essentiel à mettre en place à l’intérieur de la cellule de crise. Il s’agit de l’un des besoins principaux, dont les objectifs sont de permettre de suivre en « temps réel » :

  • l’évolution de la situation (main courante),
  • les décisions et actions engagées en cellule de crise (main courante),
  • l’avancement des actions engagées avec alertes en cas de dépassement d’échéances,

et aider aux prises de décisions ainsi qu’à contrôler ce qui a été fait/ communiqué.

Outre le fait d’aider aux prises de décisions, le tableau de suivi d’évènements est également un aide mémoire qui doit permettre, au fil du temps, de se remémorer rapidement les actions engagées et leur statut. A ce titre, il est rappelé que la  cellule de crise peut être amenée à se réunir plusieurs fois par jour. De plus, ce tableau permet de suivre rapidement l’évolution de l’ensemble des actions engagées. Il permet aussi de générer automatiquement des alertes au cas où la date d’échéance d’une action serait dépassée.

Il existe bien entendu d’autres besoins mais qui ne sont pas détaillés ici. L’objet de cet article n’est que de donner une idée de certaines des fonctions importantes.

En ce qui concerne les solutions, il existe les détracteurs du « Tout manuel » et les détracteurs des « Outils ». Le tout manuel consiste à avoir recours à des assistant(e)s qui notent les évènements à la main avec les risques d’erreurs que cela implique.

Maintenant, pour ce qui est des outils, il est clair que tout outil utilisé en cellule de crise se doit d’être particulièrement fiable (et donc maintenu et régulièrement vérifié) et extrêmement simple d’utilisation. Bien entendu, les outils permettent une circulation accélérée de l’information et une fiabilité accrue.

Comment décrire un besoin ou comment rédiger un cahier des charges ?

Le cahier des charges

Fondations3

Bien entendu, les utilisateurs peuvent exprimer leurs besoins comme ils le souhaitent. Cependant le document qui servira de référence en la matière correspondra au cahier des charges.

La phase de rédaction du cahier des charges correspond en quelques sortes à la phase dans laquelle sont posées les fondations du projet.

Les phases qui suivent le cahier des charges visent à construire le projet à partir des éléments qui ont été définis dans le cahier des charges. Le contenu du cahier des charges est en ce sens tout particulièrement important.

En effet, l’expérience montre que plus les erreurs produites dans le cahier des charges sont détectées tardivement dans les phases qui suivent, plus leur correction à un coût élevé.

Il est clair que dans la construction d’un pont ou d’un immeuble, il coûte très cher de corriger un défaut dans les fondations lorsque les ouvriers sont en train de faire les finitions ou la toiture.

L’expérience montre également que les descriptions de fonctions souffrent facilement de très nombreux maux lorsqu’elles ne sont pas écrites de façon professionnelle et structurée comme par exemple :

  • manque de clarté,
  • ambiguïtés,
  • absence de traçabilité,
  • manque de cohérence,
  • oublis,
  • etc..

Le cahier des charges se doit également d’être précis. Lorsqu’il existe des imprécisions qui subsistent à l’issue du cahier des charges et des spécifications (ce qui arrive parfois), cela se transforme souvent en source de litige.

La maîtrise d’ouvrage aura tendance à dire « C’était évident ». L’expérience montre cependant que rien n’est évident.

Exemple :

Dans un projet de base documentaire, nous avions demandé un moteur de recherche avancée qui selon le cahier des charges devait permettre des recherches sur mot clés.

Dans la première livraison, le moteur permettait des recherches sur mots clés à condition de tous les saisir dans l’ordre où ils avaient été saisis lors du dépôt du document dans la base. Inutile de préciser que c’était inutilisable.

Dans la seconde livraison, il n’était possible de saisir qu’un seul mot clé dans la zone de mots clés du moteur de recherche avancée. Cette version était déjà mieux mais plutôt très limitée pour un moteur de recherche dit « avancé ».

Enfin, la troisième version fut la bonne.

Le bon équilibre

Bien entendu, le cahier des charges ne doit pas tout préciser. Il ne faut pas non plus tomber dans le syndrome de l’excès de précisions qui risque d’être trop consommateur de temps et de budget. En effet, dans les projets, la hiérarchie attend des résultats concrets et de façon « rapide ». Passer trop de temps sur la phase de cahier des charges agace souvent assez vite les managers, ce qui peut conduire dans certains cas à l’abandon du projet avec pertes et fracas.

La rédaction d’un cahier des charges repose de plus sur un savoir faire qui couvre plusieurs domaines :

  • savoir cadrer le besoin (objectifs, périmètre,…),
  • savoir le recueillir,
  • savoir le comprendre,
  • savoir trouver le bon niveau de détail,
  • savoir le formaliser.

Qualité

Enfin, étant donné que le cahier des charges va devoir servir de référence (lors de la phase de recette) pour vérifier si les besoins ont bien été pris en compte et si la qualité est assurée, il doit prendre en compte les grands critères de qualité des logiciels décrits dans la norme ISO 9126 (maintenant intégrée dans la famille des normes ISO 25000).

Autant dire que les risques de défauts dans les fondations des projets sont nombreux si le cahier des charges ne tient pas compte des éléments qui précèdent. Dans la pratique, il est considéré que 80% des problèmes rencontrés dans les applications trouvent leur origine dans la phase de rédaction du cahier des charges (ITIL).

De plus, tous les référentiels de qualité s’accordent pour dire que la qualité se forge le plus en amont possible des projets.

Bien entendu, pour permettre de produire un cahier des charges de qualité qui soit en mesure de servir de fondations aux projets, AMJ a produit un référentiel méthodologique complet qui détaille chacun de ces aspects. De la même façon qu’il existe des techniques pour construire les fondations d’une maison, il existe aussi des techniques pour élaborer les fondations d’un projet.

Retour en haut