Evaluation de la qualité des processus informatiques en petites et moyennes entreprises méthode noemi

Evaluation de la qualité des processus informatiques en petites et moyennes entreprises : méthode NOEMI Bernard DI RENZO, Matthieu FARCOT et Christophe FELTUS

Evaluation de la qualité des processus informatiques en petites et moyennes entreprises : méthode NOEMI

Bernard DI RENZO Matthieu FARCOT Christophe FELTUS Responsable d’unité Doctorant en Sciences Economiques,

Université Louis Pasteur, Strasbourg Gestionnaire de projets

Centre de Recherche Public Henri Tudor, 29 Avenue John F.Kennedy, L-1855 Luxembourg-Kirchberg

Grand-Duché de Luxembourg

{nom.prénom}@tudor.lu

Résumé

Cet article traite de la problématique d’appréhender le niveau de maturité1 des PME et TPE et de lier ce niveau aux questions suivantes. La réalité de leurs SI d’information peut-elle être appréhendée au travers d’une approche d’évaluation de la maturité ? Quelle peut être la finesse et la profondeur d’une telle approche ? Le Centre Henri Tudor a développé une méthode originale d’évaluation des processus informatiques spécialement dédiée à être utilisée en PME et TPE. Basée sur ISO/IEC 15504 (SPICE) et IT Infrastructure Library (ITIL), elle comprend un modèle de maturité et un modèle de processus visant à couvrir la totalité des activités informatiques usuelles dans les petites organisations. Dix PME/TPE ont été évaluées avec notre méthode, mettant en évidence de nombreuses faiblesses mais également des opportunités d’améliorations en rapport avec leurs niveaux de maturité respectifs. Au-delà de l’intérêt direct pour les entreprises évaluées, notre méthode vise à l’élaboration d’une base de profils de maturité des PME/TPE.

Mots clefs

Méthode d’évaluation, modèle de maturité, modèle d’aptitude, PME, programme d’amélioration, processus

informatique, pratiques informatiques.

Abstract

This article relates the determination of the maturity of the SME’s. What is the maturity level of the SME’s? What could be the accuracy of such an approach? We have developed a new IT process assessment method for use in SME’s. Based on ISO/IEC 15504 and ITIL, it contains a maturity model and a process model aiming to cover all the most usual SME’s IT practices. Ten SME’s have been assessed with our method highlighting numerous weaknesses but also improvement opportunities related to their respective maturity levels. Overall our method aims to collect a maturity profile base of the SME’s.

Key-words

Assessment method, capability model, maturity model, SME, improvement program, IT process, IT practices.

1 Faculté (d’un processus) à atteindre un but exigé


Introduction Les départements informatiques de la plupart des entreprises de la place sont désireux d’entreprendre, s’ils ne l’ont déjà fait, des démarches d’amélioration de leurs pratiques, intégrant pour ce faire, dans le système de management de leurs systèmes d’information (SI), des méthodes et référentiels éprouvés. Bon nombre de ces outils de management par la qualité des SI mettent un accent important sur la maturité – ou l’aptitude – des processus informatiques qui sous-tendent et supportent les SI.

Notre expérience met cependant en évidence deux principaux facteurs de limitation à ce type d’outils méthodologiques. D’une part, la difficulté et le manque de méthode générique de mise en œuvre les réservent, la plupart du temps, aux grandes sociétés qui disposent des moyens financiers et humains ad hoc. Et, d’autre part, le manque d’intégration entre les différentes disciplines des départements informatiques – notamment entre le développement et l’exploitation – reste un point critique, généralement pris en compte que de manière lacunaire dans les démarches d’amélioration. En particulier, les petites et moyennes entreprises (PME) ainsi que les très petites entreprises (TPE) sont les premières à pâtir de ces limitations, mettant en évidence la difficulté d’appréhender en profondeur leurs niveaux de maturité informatique. Quelle est le niveau de maturité informatique des PME et des TPE ? La réalité de leurs SI d’information peut-elle être appréhender au travers d’une approche d’évaluation de la maturité ? Quelle peut être la finesse et la profondeur d’une telle approche ?

Nous avons tenté d’apporter un élément de réponse à cette problématique en développant un outil méthodologique, capable d’appréhender la maturité informatique des PME/TPE : la méthode d’évaluation NOEMI (Di Renzo B. et Feltus C., 2003). La principale originalité de cette méthode est d’être basée sur une utilisation conjointe de la norme internationale ISO/IEC 15504 (AFNOR, 1998), du standard ITIL (IT Infrastructure Library, OGC, 2000) et d’autres normes relatives à la sécurité informatique. En se fondant sur des référentiels éprouvés, nous avons veillé à positionner notre méthode au-delà d’un simple service à destination des PME/TPE, en permettant la création d’une base de profils de maturité informatique de ces catégories d’entreprises.

Dans sa première partie, cette publication présente succinctement la méthode d’évaluation que nous avons développée. Nous exposons ensuite, sous forme d’étude de cas, les premiers résultats agrégés qui en résultent en terme de maturité d’un échantillon de dix PME/TPE, échantillon qui au moment de l’étude représentait l’ensemble de la population ayant un lien avec le projet.

1 Méthode d’évaluation

La méthode d’évaluation NOEMI a été développée par le Centre Henri Tudor dans le cadre d’un projet de recherche, pour être utilisée dans des PME/TPE. Elle a un double objectif : d’une part, contribuer à une meilleure perception de la maturité des PME/TPE ; et, d’autre part, être un outil méthodologique pour l’amélioration des SI de ces entreprises. En outre, la neutralité de la méthode, sa répétabilité, son caractère public et ses bases solides peuvent en faire un facteur de succès de l’externalisation (Fimbel, 2003) ou un outil de benchmarking.

La méthode d’évaluation vise à couvrir l’entièreté des activités informatiques usuelles rencontrées dans les PME/TPE. Pour ce faire une structuration originale de la fonction informatique a été opérée en cinq domaines, en se basant sur les standards existants tels que ISO/IEC 15504, ITIL, et d’autres normes relatives à la sécurité informatique (OGC, ITIL – Security Management, 2002 ; ISO/IEC WD 18028). Par ailleurs, des standards de gestion de la qualité apportent également des informations supplémentaires qui complètent le portefeuille de processus (EFQM Excellence Model ; Capability Maturity Model for Software ; SPIRE). Afin de respecter les objectifs de l’évaluation, une adaptation de ces normes a été rigoureusement opérée.

La méthode se compose de trois éléments : un modèle de processus, un modèle de maturité, et un processus d’évaluation.

1.1 Bases méthodologiques La norme internationale ISO/IEC 15504 propose un cadre pour l’évaluation des processus logiciel. En tant qu’approche standardisée, elle fournit une méthodologie partagée d’évaluation et la compréhension d’un portefeuille de processus logiciels. Le processus d’évaluation réalisé par ce standard vise 2 objectifs principaux : l’amélioration des processus et la détermination du niveau de maturité. Bien que la norme ISO/IEC 15504 soit considérée de nos jours comme un orientée logiciel, il est à noter qu’elle est appropriée pour être utilisée dans d’autres contextes d’évaluation de processus. C’est d’ailleurs là l’orientation que prend résolument sa nouvelle version. La méthodologie d’évaluation NOEMI est directement inspirée du standard ISO/IEC 15504 et est adaptée pour être utilisée en PME/TPE.


Apparu fin des années 1980 en Angleterre, l’« IT Infrastructure Library » (ITIL) est une bibliothèque publique qui se focalise sur la gestion des services informatiques (IT Services Management – ITSM). ITIL est aujourd’hui reconnu comme un standard de facto pour la fourniture de service de très haute qualité. Les principaux volumes de ce standard concernent les domaines du « Service Support » et du « Service Delivery ». Ces deux domaines sont organisés en un ensemble exhaustif de processus. Le « Service Support » couvre la gestion des incidents, la gestion des problèmes, la gestion des configurations, la gestion des versions et la gestion des changements. Le « Services Delivery » couvre la gestion des capacités, la gestion des disponibilités, la gestion financière des services informatiques, la continuité des services informatiques et la gestion du niveau des services. ITIL a clairement une approche axée sur les bonnes pratiques et encourage l’amélioration continue de la qualité.

L’une des principales originalités de la méthode d’évaluation est l’utilisation conjointe de la norme ISO/IEC 15504 et du standard ITIL dans une volonté de couverture complète des activités informatiques des PME/TPE (Barafort.B., Di Renzo B. et Merlan O., 2002).

En plus de ITIL, les standards ISO/IEC 18028 et ISO/IEC JTC1/SC27/WG1 sont également considérés pour la partie sécurité. Des résultats d’autres projets du Centre de recherche public Henri Tudor apportent également une vue complémentaire à la méthode (Barafort B., Hendrick A., 1998).

1.2 Modèle de processus Afin d’obtenir une couverture holistique de la fonction informatique des PME/TPE, l’approche processus a été retenue. De manière générique, ceux-ci sont définis en terme de résultats attendus, d’entrées, d’activités, de sorties et de documents de travail (ISO/IEC 15504).

Les processus eux-même sont regroupés dans cinq domaines en fonction de leurs finalités et de leurs relations avec la valeur ajoutée pour les métiers des PME/TPE (voir table 1). En gradation avec cette dernière, trois domaines sont définis : l’infrastructure (INF), le support (SUP) et le management (MAN). Deux autres domaines sont définis de manière transversale aux trois premiers avec, en conséquence, une valeur métier moyenne : la sécurité (SEC) et la documentation (DOC).

Les processus du domaine INF sont basés sur des bonnes pratiques collectées dans les nombreux standards et ouvrages en la matière (OGC, 2000-2002 ; Lyke H. et Cottone, 2000). Malgré une faible contribution en terme de valeur ajoutée au métier de la PME/TPE, ils sont indispensables pour permettre aux domaines supérieurs (SUP et MAN) d’apporter toutes leurs propres valeurs ajoutées au métier de l’entreprise. Le domaine SUP se base directement sur les cinq processus ITIL de la discipline Service Support (OGC, 2000). Il s’appuie sur le domaine INF et étaye le domaine MAN. Le domaine SUP apporte une valeur ajoutée moyenne au métier de la PME/TPE. Le domaine MAN considère les processus de management les plus usuels pour les PME/TPE. Il se base sur une synthèse de standards et d’ouvrages en la matière (OGC, 2000 ; Sturm & al., 2000 ). Sa valeur ajoutée au métier de la PME/TPE est forte mais dépend fortement des niveaux de maturité des domaines INF et SUP. Afin de s’aligner sur la compréhension qu’en ont généralement les PME/TPE, le domaine SEC se focalise essentiellement sur des processus basiques et pragmatiques et comporte une composante transversale par rapport aux domaines INF, SUP et MAN. Le domaine DOC se compose d’un processus unique qui se décline de manière matricielle sur les 4 autres domaines (ISO/IEC 15504).


Table 1: Modèle structuré de processus

1.3 Modèle de maturité Le standard international ISO/IEC 15504 définit un modèle de maturité sur 6 niveaux : 0-incomplet, 1-réalisé, 2-géré, 3-établi, 4-prévisible, 5-en optimisation.

Sur la base de l’expérience développée au sein du Centre de Recherche Henri Tudor en matière d’évaluation informatique des PME/TPE, il est constaté que la majorité des PME luxembourgeoises rencontrées sont à un niveau de maturité compris entre le niveau 0-incomplet et 1-réalisé. L’écart entre ces niveaux 0-incomplet et 1-réalisé définis dans ISO/IEC 15504 apparaît donc trop profond pour être utilisé dans le contexte des PME avec une précision suffisante.

Le modèle de maturité NOEMI est directement dérivé du standard ISO/IEC 15504 par une adaptation ad hoc afin d’être en phase avec la réalité des PME considérées. Des niveaux additionnels ont été définis entre les niveaux 0-incomplet et 1-réalisé (voir table 2).


Table 2: Modèle de maturité

Le modèle de maturité NOEMI comprend des niveaux intermédiaires avant d’atteindre le niveau 1-réalisé de la norme ISO/IEC 15504, ce qui permet une quantification plus fine de la maturité des PME par rapport à leurs processus informatiques. A chacun de ces niveaux correspond une couleur afin de permettre une compréhension intuitive des personnes n’ayant pas connaissance du modèle. Les couleurs utilisées, relativement à un niveau de maturité croissant, sont « noir », « rouge », « orange » et « vert ».

Le profil de maturité est déterminé au niveau des domaines et non, comme dans le cas de la norme ISO/IEC 15504, au niveau des processus. L’objectif de cette adaptation est d’obtenir la même couverture en terme d’évaluation pour chaque PME/TPE et donc, de déterminer un profil de maturité pour chacune d’elles basé sur les cinq domaines de processus. Cette approche pragmatique permet ainsi une comparaison aisée entre les PME/TPE par rapport à la structuration de la fonction informatique définie. Pour ce faire, tous les processus d’un domaine sont évalués sur base de l’atteinte de leurs résultats attendus, de leurs activités et de leurs documents de travail. Ces résultats sont alors agrégés, avec un poids relatif pour chaque processus, au niveau du domaine pour en définir le niveau de maturité.

1.4 Processus d’évaluation Le processus d’évaluation lui-même est également dérivé du standard ISO/IEC 15504. La figure 1 le formalise sous forme d’un diagramme d’activité UML.

Les cinq domaines de processus sont systématiquement évalués au travers des documents collectés et d’entretiens avec cinq personnes représentatives de la PME/TPE : un dirigeant, la personne ayant la charge opérationnelle de l’informatique, et trois utilisateurs.

Le rapport d’évaluation est réalisé selon un modèle basé sur le modèle de processus avec un chapitre dédié à chaque domaine de processus et une conclusion. Pour chaque domaine, une synthèse résume les forces et faiblesses de l’analyse détaillée, et des recommandations d’amélioration sont proposées. La conclusion présente le tableau consolidé des forces et faiblesses, le profil de maturité commenté de la PME, et un synopsis de programme d’amélioration basé sur l’urgence et l’importance.

2 Retour d’expérience 2.1 Contexte d'évaluation Dix PME/TPE ont été évaluées avec notre méthode. Il est important de noter qu'il ne fut pas rencontré, pendant cette évaluation, de réels professionnels du secteur IT, un constat lié à la taille des infrastructures considérées. En effet, avec en moyenne 31 postes informatiques, quelques serveurs et quelques logiciels spécifiques aux activités de la PME (voir table 3), la taille de chacun des parcs informatiques peuvent difficilement justifier l'existence d'un poste dédié à temps plein.


Table 3: Infrastructure informatique des PME évaluées

2.2 Réactivité des PME Les entreprises évaluées purent, avant même la publication du rapport d'évaluation final, améliorer de façon notable leurs infrastructures IT. Ceci entraîna une série d'actions corrigeant certains manques flagrants. Par exemple, une PME ne disposait pas d'un inventaire à jour, et entre le temps de la réalisation de l'évaluation et la publication du rapport, corrigea cette lacune. Une autre, qui ne disposait d'aucune protection anti-virus sur ses serveurs, n'eut pas à attendre notre rapport final pour corriger ce manque.


Evaluateur:

Animer la réunion de lancement

Interviewer

Présenter le rapport d'évaluation

Organiser la réunion de lancement

Planifier les activités

Transmettre le rapport final

Rédaction du rapport d'évaluation

Analyser les documents

Effectuer une synthèse et émettre des recommandations

Effectuer une analyse globale des forces et faiblesses

Déduire un profil de maturité

Proposer un programme d'amélioration

Effectuer l'analyse détaillée

Responsable informatique de la PME:

<<description>>Si nécessaire, des amendements sont négociés entre l'évaluateur et les personnes chargées de la tâche "revue et validation".

Fournir les documents

Etre interviewé

Revoir et valider le rapport d'évaluation

Désigner les utilisateurs à interwiewer

Participer à la réunion de lancement

Chargé opérationnel de l'informatique:



Fournir des documents

Etre interviewé

Utilisateur:

Etre interviewé

<<description>>Il y a trois utilisateurs, qui ont tous les trois le même rôle. La colonne ci-dessous décrit le travail d'un des trois.

Etre interviewé

Animer la réunion de lancement

Interviewer

Présenter le rapport d'évaluation

Organiser la réunion de lancement

Rédaction du rapport d'évaluation

Effectuer une synthèse et émettre des recommandations

Effectuer une analyse globale des forces et faiblesses

Déduire un profil de maturité

Proposer un programme d'amélioration

<<description>>Si nécessaire, des amendements sont négociés entre l'évaluateur et les personnes chargées de la tâche "revue et validation".

Fournir les documents

Etre interviewé


Désigner les utilisateurs à interwiewer


Effectuer l'analyse détaillée

Planifier les activités

Analyser les documents


Fournir des documents

Etre interviewé

Transmettre le rapport final


Figure 1: Processus d’évaluation

2.3 Profilage individuel de maturité La table 4 donne les niveaux de maturité des dix entreprises évaluées, ainsi que la moyenne et l’écart type, en fonction du modèle de processus défini (voir table 1). Quelles réflexions pouvons-nous en tirer ? Au niveau du domaine INF, les tailles relativement homogènes des PME considérées font que celles-ci présentent dans l'ensemble de nombreuses similarités. Avec un bon niveau moyen de maturité (2,3), le domaine INF représente indéniablement la principale force des dix entreprises évaluées. Cependant, l'appréhension du domaine INF se limite trop souvent à une première gestion simple – nécessaire mais insuffisante – des matériels et logiciels informatiques : manque d’optimisation, hétérogénéité... Ceci traduit une volonté claire de prendre en main l’infrastructure informatique, mais sans toutefois posséder les compétences ad hoc. Malgré son niveau moyen de maturité intermédiaire (1,8), le domaine MAN ne présente que rarement (20% des cas) de lacune grave sur l’échantillon des dix entreprises évaluées. Cette constatation nous a semblé cohérente avec le leadership métier exercé au niveau du management de l’informatique (Henderson J.C., Venkatraman N., 1993). En effet, les personnes qui ont la responsabilité managériale de l’informatique assument aussi une responsabilité métier dans les dix entreprises évaluées.


Quatre des dix entreprises évaluées ont des faiblesses graves dans le domaine SUP. Aucune n’atteint le niveau 3. Les activités de ce domaine se limitent trop souvent à la résolution des incidents (ITIL) au cas par cas, avec une absence notable de démarche pro-active Deux facteurs peuvent expliquer cela : d’une part, la difficulté du support en raison des limites du domaine INF ; et, d’autre part, le manque de considération des besoins des utilisateurs en matière de support. Les investissements dans le domaine DOC (1,2) restent bien souvent sous-évalués, voir absents. Cette lacune importante dans neuf des dix entreprises représente un risque réel. La documentation est l’élément le plus faible de l'évaluation, en moyenne sur l'échantillon. La documentation existante est limitée à un inventaire aléatoirement tenu à jour, quelques contrats de maintenance, et l'archivage des factures d'achat des logiciels. Encore plus inquiétant, le domaine SEC (1,5) présente des lacunes graves dans la moitié de l’échantillon. Cette constatation traduit le manque évident de sensibilisation à la problématique de la sécurité des SI à tous les niveaux des PME/TPE. Cette faiblesse générale en sécurité représente globalement un risque important pour les entreprises évaluées. De plus, il est un facteur sévère de risque dans le déploiement de solutions e-business dans ces entreprises.

Table 4: Profils de maturité des PME évaluées

2.4 Principaux axes d’amélioration Ce chapitre présente les recommandations les plus fréquentes effectuées auprès des PME dans le cadre des évaluations réalisées.

2.4.1 Domaine management (MAN) Plusieurs recommandations furent faites au sein des PME/TPE dans ce domaine.

2.4.1.1 Améliorations de la gestion de projet (PJT) Bien que la gestion de projet soit une des principales clés pour maximiser les retours sur investissements, de nombreuses lacunes dans ce domaine ont été remarquées, dont : 1 – La délégation de la sélection et de la décision d'achat des outils logiciels directement auprès des utilisateurs ; 2 – L’imposition de contraintes temporelles trop restrictives au chef de projet l'empêchant de bien réaliser son travail ; 3 – L'absence de formation pour le chef de projet, ce qui ne permet pas d'établir une adéquation avec les besoins réels des utilisateurs. L'enrichissement des connaissances en matière de gestion de projet est la recommandation principale en ce qui concerne l'amélioration des méthodes managériales. Cette recommandation se retrouvait pour l'ensemble des PME évaluées.

2.4.1.2 Amélioration de la gestion financière (FIN) Plusieurs faiblesses furent observées dans le domaine de la gestion financière : 1 – Absence d'élaboration d'un budget informatique ; 2 – Manque de visibilité à long terme ; 3 – Gestion au coup par coup des besoins. Les entreprises évaluées eurent rarement conscience des coûts financiers dus à la perte de productivité suite à une mauvaise planification financière ou liée aux incidents. Ces coûts peuvent représenter des pertes plus importantes que le coût de l'infrastructure informatique. La recommandation fut donc clairement d'améliorer la gestion financière.

2.4.1.3 Amélioration de la gestion des acquisitions (ACQ) La gestion des acquisitions n'est pas une pratique établie au sein des entreprises évaluées.


Parmi les difficultés rencontrées dans ce processus, en voici deux intéressantes : 1 – Lors de l'acquisition de leurs logiciels métier, certaines PME sous-estimèrent les coûts d'implémentation. Une sous-estimation qui entraîne, plusieurs années suivant l'acquisition, l'absence de mise en production complète de la solution logicielle acquise; 2 – Une PME se rendit aussi compte après achat que le logiciel ne correspondait pas exactement à ses besoins. En conséquence, le rapport d'évaluation préconisa d'établir une politique d'acquisition claire, incluant des informations comme l'élaboration d'un guide d'acquisition et la fréquence d'achat de nouveau matériel(s) et/ou systèmes d’exploitation. En ce qui concerne l'achat de solutions logicielles, la préconisation est d'améliorer le savoir-faire des chefs de projet notamment via leur formation.

2.4.2 Domaine support (SUP) Plusieurs recommandations furent réalisées dans ce domaine à chaque PME/TPE.

2.4.2.1 Etablir un service desk reconnu et accessible (INC et PRB) La gestion des incidents est la mission principale mission du help desk. Son objectif est de rétablir le bon fonctionnement de l'outil informatique le plus rapidement possible en cas de dysfonctionnement. Dans chacune des entreprises, un service minimum existait. Réalisé en général par un ou deux utilisateurs avertis, ces activités étaient considérées comme une tâche secondaire pour eux. En cas d'incidents, les utilisateurs essayaient généralement de résoudre eux-même le problème. La mise en place d'un help desk reconnu fut une des recommandations émises, incluant la mise en place des moyens adéquats (financiers, temporels, formations...).

2.4.2.2 Etablissement d'un programme de réduction des incidents (INC) Au sein des entreprises évaluées, l'estimation du nombre d'incidents par mois et par utilisateurs varièrent beaucoup selon que l'estimation se fasse par les utilisateurs finaux ou la personne chargée de leur résolution. Les recommandations se composèrent, d'une part, à essayer de limiter le nombre d'incidents à 2 à 5 par mois et par utilisateur, et de l'autre, de mettre en place une politique de support de type "pro-active" en cherchant une solution à la cause du problème (ITIL) Cette mise en place d'un programme de réduction des incidents requiert initialement des ressources supplémentaires, mais permet la réalisation d'économies substantielles à terme.

2.4.2.3 Amélioration du niveau de satisfaction des utilisateurs Aucune des entreprises évaluées ne cherchait à mesurer le niveau de satisfaction des utilisateurs. Cette perception subjective reflète la qualité des usages généraux de l'outil informatique au sein de l'organisation. Sa mesure permet l'appréhension, sans effort important, des coûts cachés inhérents à la perte de productivité des utilisateurs, des manques de connaissances, ou encore des inadéquations entre les besoins des utilisateurs et les solutions offertes dans l'entreprise. Le niveau de satisfaction des utilisateurs est stratégique pour les entreprises. Cette estimation et surtout sa prise en compte permet d'améliorer le niveau de satisfaction à l'usage de l'outil informatique et ainsi représente un puissant levier quant à l'optimisation de la motivation du personnel. Pour autant, sa nature subjective peut être parfois trompeuse, dépendante d'événements annexes non liés à l'informatique. Il fut toutefois recommandé d'essayer d'évaluer ce niveau de satisfaction au sein de chacune des PME.

2.4.3 Domaine infrastructure (INF) Plusieurs recommandations furent réalisées dans chaque entreprise dans ce domaine. En particulier, la standardisation des systèmes d'exploitations et de l'usage des serveurs de fichiers.

2.4.3.1 Standardisation des systèmes d'exploitation (SRV et WST) La répartition des systèmes d'exploitations était très hétérogène dans la quasi-totalité des dix PME/TPE avec l'ensemble de la gamme Microsoft Windows, de Windows 95 à XP. Ceci dénote l'absence pour la plupart des entreprises d'une gestion claire des versions, où pour la plupart des PC, le système d'exploitation demeure celui fournit initialement avec l'ordinateur au moment de l'achat. Les parcs homogènes reflètent ainsi des parcs récemment renouvelés.


Un ensemble de systèmes d'exploitation hétérogènes pose différents problèmes : difficulté et surcoût de gestion, augmentation non négligeable des risques liés à la sécurité informatique… Il fut recommandé de standardiser les systèmes d'exploitation utilisés.

2.4.3.2 Développement des usages des serveurs de fichiers (ISH) Les avantages de la mise en place de serveurs de fichiers sont multiples, comparativement au stockage uniquement local des documents. Accessibilité, stockage sécurisé, information à jour, disponibilité... Toutes les entreprises évaluées possédaient un serveur de fichier. Mais l'utilisation qui en été faite variait grandement, le stockage de documents en local sur les postes étant une habitude usuelle. Il fut recommandé d'améliorer la prise de conscience des utilisateurs de l'utilité de l'usage des serveurs de fichiers pour le stockage des informations et données à caractère professionnel. Toutefois, les serveurs de fichiers se doivent eux aussi d'être structurés d'une manière efficace et en adéquation avec les besoins de chacune des entreprises.

2.4.4 Domaine sécurité (SEC) Plusieurs recommandations furent effectuées concernant ce domaine. En particulier, au niveau des mots de passe, de la protection anti-virus et des sauvegardes.

2.4.4.1 Amélioration de la problématique relative aux mots de passe (USR) Les mots de passe représentent les premières protections contre les risques d'intrusion internes et externes. Les pratiques relatives à leurs mises en place et leur gestion sont très divergentes dans chacune des dix entreprises évaluées. Ainsi, dans l'une des PME, la problématique était prise très au sérieux, les mots de passe bien sécurisés, et les employés respectaient les principes de confidentialité. Dans les autres, la confidentialité était gérée de manière beaucoup plus aléatoire. Les recommandations concernant les pratiques de gestion des mots de passe sont la mise en place d'une politique claire et efficace, incitant le personnel à conserver un mot de passe sécurisé et confidentiel. Cette confidentialité est étendue à l'administrateur système.

2.4.4.2 Amélioration de la protection anti-virus (VIR) Les anti-virus sont important pour protéger un réseau et pour éviter tout risque de corruption sur un réseau interne. Parmi toutes les mesures de protection utilisées par les PME, la lutte contre les virus est la plus répandue. Pour autant, seule une des dix PME/TPE utilisait une solution anti-virus réellement tenue à jour. Les autres disposaient de solutions plus ou moins tenues à jour, sur une partie des infrastructures informatiques mais non sur la totalité.

2.4.4.3 Optimisation du processus de sauvegarde (BAK) Une sauvegarde est une copie des données, permettant, en cas de corruption des documents originaux, de ne pas perdre ceux-ci. Conservées sur tous types de médias, les sauvegardes sont bien évidemment fondamentales. Une procédure de sauvegarde des données existait dans chacune des PME évaluées. Pourtant, un certain nombre de manques furent identifiés. Parmi ceux-ci : absence de sauvegarde différentielle, manque d'information pour le personnel concernant les lieux de stockages des données sauvegardées, absence de tests de restauration des données, ou encore des médias de sauvegardes trop anciens.

2.4.5 Domaine documentation (DOC) Une recommandation unique et globale fut émise dans toutes les PME/TPE concernant l'amélioration de la gestion documentaire. En effet, cette gestion est très faible pour l'ensemble des PME. Dans chacune, l'absence de règles précises en matière d'identification et de numérotage des versions, et l'absence de point centralisé de stockage de celle-ci représente un ensemble de risques, notamment en cas de départ de l'individu responsable de leur création.

3 Conclusions


Ce modèle propose une méthode d'évaluation de la qualité des processus informatiques en petites et moyennes entreprises. Basé sur un ensemble de standards internationaux reconnus (dont principalement la norme ITIL - ISO/IEC 15504), ce modèle cherche à simplifier autant que possible les points d'évaluation de manière à rendre ceux-ci compréhensibles et aisément appréhendables par la population auxquels ils sont destinés (évaluation sous la forme de code couleur, ...). Il nous apparaît que l’approche d’évaluation de la maturité informatique à destination des PME/TPE que nous avons développée permet d’en appréhender les forces et faiblesses avec une pertinence confirmée par les retours des PME/TPE et leur réactivité aux recommandations émises. La finesse relative de l’approche est directement liée à la structuration du modèle de processus en cinq domaines. D’un côté, l’aspect holistique, systématique et répétable de la méthode permet une vue globale de l’entreprise qui rend aisées les comparaisons tant entre différentes sociétés que pour une même entreprise à des moments différents. D’autre part, le modèle de processus prédéfini ne peut évoluer que de manière lente afin de ne pas introduire de rupture dans la répétabilité et de ne pas alourdir la méthode surtout pour les TPE. Cependant, les profils mêmes de maturité de l’échantillon d’entreprises ne dressent pas de limitation évidente à la finesse de la méthode. Au-delà de l’utilité directe pour les PME au travers des programmes d’amélioration proposés, notre intérêt porte principalement sur la propension de notre méthode à appréhender la réalité informatique des PME au travers des processus qui la sous-tendent. De ce point de vue, malgré la petite taille de l’échantillon et en se gardant de toute généralisation, nous pouvons mettre en avant les points suivants sur les dix entreprises évaluées.

1. C’est le domaine infrastructure (INF) qui apparaît comme étant le plus mature. Toutefois, le manque général d’optimisation génère des pertes de productivité et complique le support.

2. Aucune des dix PME/TPE n’a réellement de faiblesse grave dans le domaine du management (MAN), ce qui traduit logiquement la préoccupation métier des personnes en charge de l’informatique. En particulier, ce point met un éclairage original sur l’intérêt d’un leadership métier de l’informatique.

3. Le support n’est globalement assuré que de manière très lacunaire. Cette faiblesse générale peut s’expliquer par le manque d’optimisation du domaine infrastructure et le manque de compétences informatique. D’autre part, elle peut paraître comme limitant le domaine management en ne considérant pas suffisamment les attentes et la satisfaction des utilisateurs par rapport aux investissements.

4. La documentation est incontestablement le plus grand point faible de la plupart des PME/TPE évaluées, même si deux d’entre elles ont une certification ISO 9001. Cette grave lacune générale représente un risque potentiel.

5. Les faiblesses importantes dans le domaine sécurité traduisent clairement le manque de sensibilisation des dirigeants et du personnel à cette problématique. C’est probablement là le point le plus critique en matière de risque pour les dix entreprises évaluées. C’est également un facteur inhibant en matière d’e-business.

Si notre méthode peut constituer une contribution utile en matière d’appréhension de la réalité des pratiques informatiques répandues dans les PME/TPE, elle ouvre des pistes de recherche appliquée complémentaire dont en particulier une réactualisation de la méthode et une amélioration systématisée de l’approche (avec par exemple le développement de la correspondance entre l’échelle NOEMI proposée et celle du CMM(I)).

Références ISO/CEI TR 15504 (1998), AFNOR.

ISO/IEC WD 18028, ISO/IEC JTC1/SC27/WG1, 2001.

NFEN ISO 9001:décembre 2000.

IT Infrastructure Library – Service Support, Service Delivery, Application Management, ICT Infrastructure Management, Office of Government Commerce, United Kingdom, 2000 – 2002

IT Infrastructure Library – Security management, Office of Government Commerce, United Kingdom, 2002

The EFQM Excellence Model – Small and Medium sized Enterprises, EFQM publications, 1999-2001

Mark C. Paulk, Bill Curtis, Mary Beth Chrissis and Charles Weber, Capability Maturity Model for Software, Version 1., SEI, CMU/SEI-93-TR-24, Pittsburgh, Pa, Feb. 1993

SPIRE Project Information Pack - ESSI Project 23873 – April 1997


Barafort B., Hendrick A. (1998), « A SME dedicated framework to evaluate the internal usage of IT », Actes de la conférence internationale Software Process Improvement SPI’98, Monte-Carlo, Principauté de Monaco.

Di Renzo B., Feltus C. (mai 2003), « Développement et expérimentation d’un modèle de gestion collaborative des pratiques informatiques à ’usage des petites et moyennes entreprises », Actes du 8° colloque de l’AIM, Grenoble, France.

Fimbel E. (mai 2003), « L’externalisation des systèmes d’information : étude empirique des facteurs décisionnels et des facteurs de succès », Actes du 8° colloque de l’AIM, Grenoble, France

Henderson J.C., Venkatraman N. (1993), « Strategic Alignment: Leveraging Information Technology for Transforming Organisations », IBM Systems Journal, Vol. 32, No. 1, pp. 4-16.

Lyke H., Cottone D., IT automation: the quest for “lights out”, Prentice Hall, Upper Saddle River, NJ 07458, USA, 2000

Bonjean C., Help desk: assistance utilisateurs et relations clients, Hermes Science publication, Paris, France, 1999

Sturm R., Morris W., Jander M., Foundations of service level management, SAMS edition, Indianapolis, USA, 2000

CMMI V1.1, Carnegie Mellon University, USA, 2003.