Vous êtes dans : Accueil > Tribunes libres >
C’est une question qui revient souvent dans les formations, les séminaires ou les appels de l’ami d’un ami : comment le directeur fraîchement nommé à la tête d’une DSI, petite ou grande, peut-il se faire une idée de l’état général de sa direction ? La tâche n’est pas simple : il existe différentes méthodes, toutes valables, où l’absence de connaissance informatique n’est nullement un handicap (et les connaissances informatiques pointues nullement un atout). J’ai vu des informaticiens confirmés se faire balader comme des bleus et a contrario des décideurs totalement novices en la matière faire un état général avec une acuité redoutable en peu de temps.
Chaque méthode se vaut. Nous allons en examiner deux, mais qui partagent trois éléments communs, sortes de mantras qu’il faudra toujours garder à l’esprit :
Tout le monde ment, mais pas tout à fait quand même.
La méthode classique
Elle consiste à calculer trois indicateurs : l’état des stocks (la vision statique), les charges financières prévisionnelles de renouvellement, les charges RH prévisionnelles induites.
Et ces trois indicateurs doivent être calculés pour les six domaines suivants :
Par exemple :
Au final, la méthode produit 18 indicateurs factuels. C’est assez fastidieux (le calcul du taux d’obsolescence des équipements prend plusieurs jours et mobilise à la fois le responsable de l’infrastructure et les personnels de la cellule marché), mais le résultat est redoutable.
Il faut de plus ajouter des éléments non financiers tels que :
La liste peut s’allonger sans fin. Pour une prise de poste, se limiter dans un premier temps aux six domaines susnommés semble être une bonne pratique. Un bilan devrait idéalement tenir sur une feuille A4 recto. L’objectif est de compter les « cadavres dans les placards » (il y en a toujours) et de bien garder à l’esprit que le bilan de plusieurs années de management se mesure uniquement au critère suivant : quelle était la situation de la DSI à l’arrivée et dans quel état sera-t-elle quand on donnera les clés au suivant ?
La méthode d’analyse de la maturité des processus
Elle est basée sur une approche totalement différente, qui consiste à ne pas soulever le capot pour aller voir le taux d’obsolescence des serveurs, des PC…, mais à simplement se demander si quelqu’un s’occupe de piloter ce processus.
Cette méthode est basée sur l’échelle Cobit qui se découpe en six niveaux cumulatifs (pour atteindre le niveau 4, il faut d’abord avoir franchi les niveaux 1, 2 et 3) :
Par exemple :
Généralement, dans les DSI, les processus se situent au niveau 2 ou 3, et l’objectif de tout DSI consiste à les conduire progressivement au niveau 4, ce qui, dans certains cas, peut prendre des années et constitue, au demeurant, l’un des principaux apports d’une démarche de certification ISO 27001.
En guise de conclusion
Les deux méthodes ne sont pas mutuellement exclusives : rien n’empêche de les mener en parallèle, d’autant que la seconde est très peu coûteuse. Et redoutablement efficace : il faut voir la tête du responsable micro qui pense être le dieu de la gestion de parc se déliter quand vous lui demandez l’état des OS et des patches, la liste des équipements en dehors de ses outils de recensement (il y en a toujours, genre PC biomédicaux ou PC en Shadow IT, comptez entre 3 % et 7 % en moyenne).
Et, encore une fois, tout le monde ment : « Notre infrastructure est totalement redondée. – Je peux voir le plan de continuité d’activité ? » « Les OS de nos serveurs sont à jour. – Je peux avoir l’état général OS et patches en deux lignes ? » « Notre DMZ est robuste. – Je peux voir le dernier résultat du scan de ports ? »
Les plus lus