Des contrats qui ne peuvent pas tout prévoir

• Des indicateurs pour coller aux besoins métier
• Des contrats qui ne peuvent pas tout prévoir
• Itil s'immisce dans les logiciels d'administration
• Adopter la bonne dynamique avec Itil
• Une approche morcelée de la QoS
• La boîte à outils de la qualité de service
• Les autres métiers de l'entreprise court-circuiteront les DSI

En informatique comme ailleurs, on ne délègue pas sans contrôle : le DSI doit surveiller que ses prestataires respectent leurs engagements. Pour Sonia Boittin, directeur associé du cabinet KLC, les couacs interviennent lors de la mise en place des contrats. ' Cette phase doit se gérer comme un projet à part entière. On risque une qualité de service médiocre lorsqu'il y a eu dumping ', constate-t-elle. Du coup, le prestataire ne fera que le minimum nécessaire pour ne pas subir de pénalités, ou acceptera même d'en payer si elles lui coûtent moins cher que d'assurer le bon niveau de service. A plus long terme, ' on s'aperçoit qu'après deux ou trois ans, très peu de contrats se maintiennent dans la conformité totale aux engagements ', constate Arnaud Balssa, directeur de mission chez Capgemini Consulting. Avec des surprises : certains éléments disparaissent, d'autres ?" nécessaires ?" sont fournis alors qu'ils n'étaient pas prévus. Des sur qualités inutilement coûteuses se font parfois jour, par exemple l'obligation de fournir un poste de travail en deux jours là où les conditions standards moins onéreuses ?" trois jours ?" suffiraient. Afin d'obtenir le juste service au bon coût, l'utilisateur doit décider où il accepte de recevoir une moindre qualité de service. ' Pour autant, il ne faut pas systématiquement opposer coût et qualité de service ', prévient Sonia Boittin. En pratique, certains composants des prestations sont standardisés. Les prestataires s'engagent de façon identique sur les temps de réponse ou la disponibilité des applications, garantie à 99,5 % du temps avec des variations selon les plages horaires. De même, il existe un consensus sur les délais de remise en marche : quatre heures, ou huit heures pour un système non critique. D'autres indicateurs s'industrialisent, et on mesure par sondage le degré de satisfaction des utilisateurs, le délai de prise d'un appel, de résolution d'un incident, etc.

Contractualiser le changement

En revanche, selon Sonia Boittin, ' la réactivité voulue par les directions générales ou les métiers reste un aspect difficile à contractualiser '. Sur ce point, l'entreprise mesurera la conformité aux délais annoncés pour un développement, la capacité à réduire ces mêmes délais, le temps de prise en compte d'une demande d'évolution, et la qualité indexée sur le nombre d'erreurs corrigées. ' Nous poussons à bâtir le changement dans le contrat, ce qui manque actuellement ', précise-t-elle. Très peu d'entreprises prennent en compte de manière industrialisée les changements au sens où les définit le référentiel eSCM-SP. De fait, les DSI comme les SSII privilégient la stabilité du système d'information, pour des motifs de sécurité au sens large, tandis que du côté des utilisateurs, le marché impose l'évolutivité. Par conséquent, la clause de conseil présente dans les contrats, qui impose au prestataire de conseiller son client de manière proactive sur des modifications à apporter, est rarement activée. En contre-point, la contrainte de sécurité qui pèse sur le prestataire ?" il doit s'assurer, par exemple, que ses codes sont portables, que la maintenance d'une application donnée ne repose pas sur une seule personne ?" n'est pas forcément perçue par une direction générale. ' Le pourcentage du budget consacré à la sécurité au sens large doit se situer entre 3 et 7 %, en deçà, il y a un problème ', avertit Sonia Boittin. Reste que si le prestataire doit s'assurer de son alignement sur les engagements pris et définir les bons indicateurs avec son client, il est lui-même tributaire du client et d'autres prestataires. ' La qualité de service se mesure de bout en bout. Un prestataire de TMA doit s'assurer que celui qui gère les infrastructures remplit son contrat, et que le client a correctement formé les utilisateurs ', rappelle Fabrice Dersy. Ce qui implique des indicateurs supplémentaires partagés.