Structure MOF et Bibliothèque ITIL

Présentation de MOF

Structure MOF et Bibliothèque ITIL

Les pratiques actuellement recommandées dans le domaine de la gestion des services informatiques sont bien documentées par la bibliothèque ITIL (Information Technology Infrastructure Library) de l'OGC (Office of Government Commerce) britannique.

L'OGC est l'agence publique britannique chargée de préparer des guides sur les pratiques recommandées dans le domaine de l'exploitation des technologies de l'information dans la gestion et l'exploitation des services.

Dans ce cadre, l'OGC organise des projets avec de grands groupes informatiques dans le monde entier pour documenter et valider les pratiques recommandées dans le domaine de la gestion de services informatiques. La bibliothèque ITIL compte actuellement plus d'une quarantaine d'ouvrages. Chaque ouvrage est consacré à un aspect de la gestion des services informatiques et contient des références croisées aux autres ouvrages.

La structure MOF combine ces normes industrielles communes à des directives spécifiques concernant l'utilisation des produits et technologies Microsoft. Elle étend également le code de bonne pratique de la bibliothèque ITIL pour supporter des environnements informatiques distribués et des tendances industrielles telles que des systèmes Web de transactions et de commerce électronique ou des systèmes d'hébergement d'applications.

Considérations conceptuelles

La structure MOF a été conçue dans le but d'atteindre les objectifs suivants :

	exploiter des idées éprouvées dans la pratique ;
	encourager l'adoption des pratiques recommandées du secteur ;
	jeter les bases fondamentales pour l'acquisition de connaissances en matière d'exploitation ;
	prendre en charge les aspects liés aux ressources humaines, aux processus et aux technologies ;
	combiner les informations en provenance des clients, des partenaires, du groupe Global Operations and Technology de Microsoft (l'ex-ITG) et des organisations spécialisées dans les produits et services Microsoft ;
	améliorer l'agilité informatique des entreprises pour qu'elles puissent s'adapter rapidement à l'évolution de leur secteur ;
	intégrer la structure MOF dans Microsoft Solutions Framework pour prendre en charge d'autres aspects du cycle de vie TI ;
	supporter la gestion de services complets, y compris les processus et procédures, au lieu de se limiter à gérer les serveurs et la technologie.

Modèles de la structure MOF

La structure MOF compte trois modèles :

	le modèle de processus ;
	le modèle d'équipe ;
	le modèle de risque.

Ces modèles donnent des orientations à suivre pour gérer les ressources humaines, les processus et les risques dans le domaine de la gestion des services TI. Chaque modèle se concentre sur les technologies et les pratiques recommandées qui permettent d'assurer la fiabilité, la disponibilité, la supportabilité et la gérabilité des systèmes basés sur la plate-forme Microsoft. Ces modèles donnent également des informations sur l'interopérabilité avec d'autres plates-formes.

Modèle de processus de la structure MOF

Présentation

Le modèle de processus est un modèle fonctionnel qui porte sur les processus que les équipes opérationnelles appliquent dans le cadre de la gestion et de la maintenance des services TI. Il permet par essence d'envisager les environnements informatiques complexes d'une manière simplifiée et généralisée.

Origines

Le modèle de processus est basé sur les pratiques recommandées documentées par l'OGC dans sa bibliothèque ITIL.

Le modèle de processus part du principe que la responsabilité majeure de l'équipe d'exploitation est de gérer l'évolution de l'environnement informatique. Le moyen le plus efficace pour gérer cette évolution, tout au long du cycle de vie d'un service, est encore de regrouper les changements similaires dans un package appelé version pour qu'ils puissent être programmés et gérés ensemble. Le modèle de processus de la structure MOF décrit un cycle de vie qui peut être appliqué à toute version et explique les processus et les activités qui constituent chaque partie de ce cycle de vie.

Principes de base

Le modèle de processus de la structure MOF se base sur quatre grands principes :

	Architecture structurée. Le modèle de processus est une architecture qui structure toutes les activités opérationnelles qu'impliquent les systèmes informatiques stratégiques pour faciliter leurs interactions avec des environnements de plus en plus complexes.
	Cycle de vie rapide, perfectionnement itératif. L'évolution des opérations informatiques se poursuit à un rythme de plus en plus soutenu. Cette évolution rapide s'explique directement par le fait que les entreprises doivent s'adapter et innover en permanence pour rester compétitives. C'est la raison pour laquelle la structure MOF a intégré le concept de cycle de vie itératif qui permet non seulement d'introduire rapidement des changements, mais aussi d'évaluer et d'améliorer sans cesse l'environnement global d'exploitation.
	Gestion basée sur la révision. Le modèle de processus prévoit des révisions à des stades clés du cycle de vie. Lors de ces révisions, les équipes évaluent la performance des activités liées aux versions ainsi que les activités opérationnelles permanentes ou quotidiennes. Ces grandes révisions offrent aussi aux membres de la direction la possibilité de s'impliquer dans le processus lorsque leur contribution est la plus utile.
	Gestion intégrée des risques. Aujourd'hui, les opérations informatiques sont plus importantes et plus complexes que jamais et les défaillances opérationnelles ne peuvent plus guère échapper aux clients et aux utilisateurs d'informatique du monde entier. Il est donc crucial d'intégrer la gestion des risques dans les opérations pour écarter la menace qu'une défaillance fait peser sur les entreprises.

Terminologie

Il semble judicieux, avant de présenter le modèle de processus de manière plus approfondie, de définir certains termes spécialisés, dont la plupart sont basés sur la terminologie de la bibliothèque ITIL.

	Solutions de services. Capacités que les technologies de l'information donnent à une organisation. à titre d'exemple, citons la messagerie, les applications de gestion d'activités, le stockage des données et l'impression.
	Version. Groupe constitué d'une série de changements que l'équipe opérationnelle introduit ensemble dans l'environnement de production. Chaque version possède son propre cycle de vie. La fin du cycle de vie d'une version marque le début du cycle de vie d'une nouvelle version.
	Gestion des services TI. Application d'une série structurée de processus pour assurer la qualité de services informatiques stratégiques dans le but d'atteindre les niveaux de service convenus avec le client.
	Fonctions de gestion de service (SMF, Service management functions). Vingt processus qui sont communs à la plupart des solutions de service et qui interviennent lors de chaque version. à titre d'exemple, citons la gestion des changements et des versions, le support, la gestion de la capacité et l'administration de la sécurité. Chaque SMF présente des stratégies, des procédures, des normes et des pratiques recommandées cohérentes qui peuvent être appliquées dans l'ensemble des solutions de services présentes dans les environnements informatiques modernes.
	Mission de service. Les SMF se classent en quatre catégories qui sont toutes définies par une mission de service spécifique. Ainsi, les SMF relatives à la gestion des changements, à la gestion de la configuration et à la gestion des versions ont pour mission «d'identifier, d'approuver, de contrôler et d'appliquer les changements dans l'environnement informatique».
	Quadrants. Nom abrégé donné aux SMF qui partagent une mission de service : le changement, l'exploitation, le support et l'optimisation. Chaque quadrant compte plusieurs SMF.
	Révisions de la gestion des opérations. Une révision clé de la gestion est identifiée dans chacun des quatre quadrants. Ces révisions constituent des vérifications importantes dans chaque quadrant.

Le modèle de processus de la structure MOF décrit le cycle de vie qui peut être appliqué aux versions, quelles soient leur envergure et la solution de service qu'elles concernent. Le schéma suivant présente le cycle de vie ainsi que les quatre quadrants et les quatre révisions.

Modèle de processus de la structure MOF

Figure 2 Modèle de processus de la structure MOF

Le tableau suivant dresse la liste des missions de service et des révisions de chaque quadrant.

Quadrant	Mission de service	Révision
Changement	Introduction de solutions de services, de technologies, de systèmes, d'applications, de matériels et de processus nouveaux.	Version finalisée.
Exploitation	Exécution de tâches quotidiennes de façon efficace et rentable.	Opérations
Support	Résolution rapide des incidents, problèmes et requêtes.	Accord sur le niveau de service
Optimisation	Introduction de changements visant à optimiser les coûts, les performances, la capacité et la disponibilité de la fourniture de services informatiques.	Approbation de la version

Deux de ces révisions sont dictées par le calendrier des versions. La révision approuvée de la version est entamée avant le début des travaux formels concernant la conception des changements et la version, tandis que la révision de la version finalisée intervient avant l'introduction d'un changement dans l'environnement de production. Les révisions des opérations et de l'accord sur le niveau de service (SLA, Service Level Agreement) interviennent à intervalles réguliers après l'introduction d'une version. Elles servent à évaluer la performance et la qualité des opérations internes par rapport aux niveaux de service convenus avec le client.

De nombreuses SMF de la structure MOF sont basées sur la bibliothèque ITIL de l'OGC. Font exception à la règle les fonctions liées à la gestion des effectifs (dans le quadrant d'optimisation) ainsi que toutes les fonctions du quadrant d'exploitation. La bibliothèque ITIL ne couvre donc pas ces aspects, car elle est indépendante des plates-formes.

Par conséquent, le quadrant d'exploitation est celui pour lequel la majorité des conseils de la structure MOF sont spécifiques aux produits et technologies Microsoft. Ajoutons qu'en raison de l'importance accordée par Microsoft aux opérations TI, de nombreux produits intègrent désormais des caractéristiques et fonctions qui visent directement à les rendre plus fiables et plus faciles à supporter et à gérer. Le cas échéant, la structure MOF ajoute aux SMF fondamentales de la bibliothèque ITIL des références spécifiques aux produits et fonctions Microsoft qui permettent soit d'automatiser, soit de faciliter les SMF.

Ces SMF sont tirées des pratiques recommandées et doivent être personnalisées pour satisfaire aux exigences uniques ou spécifiques d'un environnement particulier.

Présentation des quadrants

Cette section explique le cycle de vie en spirale dans lequel s'inscrivent les quatre quadrants du modèle de processus de la structure MOF. Cette description part du principe qu'une version a été approuvée et développée et qu'elle est prête à être déployée dans un environnement de production. Il est possible d'envisager de nombreux points de départ pour entamer cette explication de manière conceptuelle, mais la façon la plus intuitive de procéder est sans aucun doute de commencer par ce stade.

Changement

Ce quadrant suit la révision approuvée de la version, c'est-à-dire la révision qui donne lieu à l'approbation requise pour qu'un changement proposé puisse être développé et déployé. Les SMF suivantes permettent de gérer les processus d'initiation, de développement et de déploiement du changement.

	Gestion du changement. Identifie tous les systèmes et processus affectés par le changement avant son déploiement afin de minimiser ou supprimer d'éventuels effets indésirables.
	Gestion de la configuration. Identifie, enregistre, suit les principaux éléments ou composants informatiques et en rend compte.
	Gestion de la version. Facilite l'introduction de versions logicielles et matérielles et assure que ces versions sont programmées, testées et appliquées. Ce processus se déroule en étroite collaboration avec les processus portant sur la gestion du changement et de la configuration de manière à assurer que la base de données partagée de gestion de la configuration (CMDB, Configuration Management Database) est mise à jour.

Le «feu vert» doit être donné lors de la révision de la version finalisée pour permettre le déploiement de la version dans l'environnement de production. Une fois la version complète, la révision d'après-déploiement évalue le degré de réussite de la version et le degré d'efficacité des processus du quadrant de changement.

Exploitation

Partons du principe que le déploiement a été couronné de succès et que la version est maintenant opérationnelle. Les SMF suivantes commencent alors à effectuer les activités quotidiennes pour faire fonctionner le système.

	Administration de la sécurité. Veille au maintien de la sécurité de l'environnement informatique par le biais du développement, de la mise en oeuvre et de la gestion des contrôles de sécurité.
	Administration des systèmes. Veille à l'exécution des tâches quotidiennes requises pour maintenir les systèmes de l'entreprise en bon état de fonctionnement et à l'évaluation de l'impact des versions programmées.
	Administration du réseau. Veille à la configuration et maintenance des éléments physiques qui constituent le réseau de l'organisation, à savoir les serveurs, les routeurs, les commutateurs et les pare-feu.
	Suivi et contrôle des services. Observe l'état des services informatiques et prend le cas échéant des mesures pour maintenir leur conformité.
	Administration des services d'annuaire. Veille aux opérations quotidiennes, à la maintenance et au support de l'annuaire d'entreprise.
	Gestion du stockage. Traite le stockage des données sur site et hors site aux fins de restauration et d'archivage et veille à la sécurité physique des sauvegardes et des archives.
	Planification des tâches. Programme les tâches de traitement par lot à différents moments afin d'optimiser l'exploitation des ressources du système sans nuire au bon déroulement des activités ni au bon fonctionnement du système.
	Gestion de l'impression et des documents. Gère les coûts et ressources portant sur les documents de l'entreprise et veille à la sécurité des documents sensibles.

La révision des opérations intervient régulièrement. Cette révision essentiellement interne permet d'évaluer la capacité du personnel informatique à maintenir un service donné en état, à satisfaire aux exigences en matière de niveau de service et à documenter son expérience dans une base de connaissances.

Support

Questions et problèmes surviennent inévitablement une fois que les opérations quotidiennes débutent. La SMF suivante a pour objet de résoudre rapidement les incidents et problèmes et de répondre aux questions des utilisateurs finals.

	Support. Fournit un support de première ligne aux utilisateurs confrontés à des problèmes liés à l'utilisation de services informatiques.
	Gestion des incidents. Prend en charge le cycle de vie des incidents, de leur détection à leur résolution, en passant par leur analyse, leur diagnostic et leur enregistrement.
	Gestion des problèmes. Identifie les causes à l'origine des défaillances et des dysfonctionnements qui affectent les niveaux de service informatique et y remédie.

La révision de l'accord sur le niveau de service intervient régulièrement. Elle permet d'évaluer la capacité du personnel à satisfaire aux exigences de niveau de service définies dans l'accord y afférent. Le personnel prend les mesures qui s'imposent pour remédier aux problèmes identifiés lors de la révision et/ou négocie l'introduction de changements dans les accords sur le niveau de service. De plus, les équipes chargées des processus relatifs à la gestion des problèmes et des incidents initient des changements à des outils, procédures et processus opérationnels spécifiques.

Optimisation

Les SMF des deux quadrants précédents se concentrent sur des tâches opérationnelles quotidiennes qui visent notamment à maintenir l'environnement de production en bon état de fonctionnement et à résoudre les incidents et les problèmes. Les SMF du quadrant d'optimisation sont plus proactives : elles servent à évaluer la performance actuelle et à prévoir les besoins futurs. C'est la raison pour laquelle la bibliothèque ITIL considère les SMF de ce quadrant comme des fonctions tactiques et les SMF des autres quadrants comme des fonctions opérationnelles. Ces SMF sont les suivantes.

	Gestion du niveau de service. Gère la qualité des services informatiques en négociant, contrôlant et actualisant les accords sur le niveau de service entre le fournisseur de services informatiques et ses clients.
	Gestion de la capacité. Planifie, quantifie et contrôle la capacité de l'infrastructure et du service TI à répondre aux exigences des utilisateurs dans le respect des niveaux de performance stipulés dans l'accord sur le niveau de service.
	Gestion de la disponibilité. Décrit, gère, oriente et assure de manière proactive la disponibilité des informations et services à un coût raisonnable et conformément aux niveaux de qualité convenus.
	Gestion financière. Gère les moyens financiers pour soutenir l'accomplissement des objectifs organisationnels. La gestion financière peut inclure la comptabilité analytique, la budgétisation, les analyses d'investissement et, dans certaines organisations, le recouvrement des coûts.
	Gestion des effectifs. Recommande les pratiques recommandées à suivre dans le domaine du recrutement, de la fidélisation et de l'encouragement du personnel informatique.
	Gestion de la continuité de service. Se concentre sur les procédures et les éléments nécessaires pour minimiser les interruptions des services stratégiques. S'occupe également des programmes d'urgence et de reprise d'activité en cas de défaillance informatique.

Ces SMF définissent et génèrent des changements (une nouvelle version) qui réduisent les coûts tout en préservant ou rehaussant les niveaux de service. La révision approuvée de la version constitue l'ultime révision des changements proposés. Après cette révision, un nouveau cycle commence avec les SMF du quadrant de changement.

Résumé

Le schéma suivant présente le cycle de vie de la version ainsi que les quatre quadrants, les quatre révisions et les 20 SMF.

SMF et modèle de processus de la structure MOF

Figure 3 SMF et modèle de processus de la structure MOF

Modèle d'équipe de la structure MOF

Présentation

Les systèmes stratégiques sont complexes. Il en va de même des activités qui doivent être réalisées pour les maintenir en bon état de fonctionnement, ainsi que le montrent les SMF du modèle de processus. Pour exécuter correctement ces activités et processus, les équipes opérationnelles doivent être bien organisées et bien coordonnées, mais la complexité des travaux à accomplir est telle qu'il est difficile d'y parvenir. Le modèle d'équipe de la structure MOF est un outil performant qui simplifie l'analyse des rôles de l'équipe et qui aide la direction à organiser efficacement les ressources humaines.

Le modèle d'équipe de la structure MOF facilite l'organisation des ressources humaines en proposant des directives à suivre dans le cadre de la gestion de services informatiques. Ces directives sont basées sur une série d'objectifs de qualités poursuivis dans des organisations informatiques performantes de toute taille.

Le modèle d'équipe de la structure MOF décrit :

	des groupes de rôles tirés des pratiques recommandées pour structurer les équipes opérationnelles ;
	les activités et compétences clés de chaque groupe de rôles ;
	la dotation en personnel des équipes selon la taille et le type d'organisation ;
	les rôles qui peuvent être combinés efficacement ;
	les principes fondamentaux qui facilitent la mise en oeuvre d'environnements informatiques distribués;
	les liens entre le modèle d'équipe de la structure MOF et celui de la structure MSF.

Origines

Microsoft a créé le modèle d'équipe de la structure MOF sur la base des enseignements tirés au fil de l'évolution de la structure MSF et des pratiques recommandées de la bibliothèque ITIL dans le domaine de la structure organisationnelle et de la propriété des processus.

L'une des caractéristiques importantes qui distingue le modèle d'équipe de la structure MOF est qu'il peut être appliqué à des équipes distribuées qui gèrent des systèmes distribués. Par le passé, la gestion de processus était facile à centraliser lorsque l'environnement informatique était centralisé. En effet, les membres de l'équipe concernée travaillaient généralement au sein de la même entreprise et dans le même immeuble. Aujourd'hui, les membres des équipes qui gèrent des systèmes informatiques distribués sont souvent disséminés et travaillent dans des régions, des entreprises et des fuseaux horaires différents. Cette dissémination complique la centralisation des processus et demande souvent d'adopter une nouvelle approche pour structurer les équipes opérationnelles. Les pratiques recommandées dans la structure MOF et la bibliothèque ITIL traitent de l'évolution vers le partage des responsabilités.

Principes de base

Pour composer des équipes opérationnelles qui soient performantes et efficaces, il ne suffit pas de décrire les rôles et de définir les responsabilités. Il faut aussi énoncer des principes qui instillent un sens de valeurs culturelles dans ces équipes et élaborer des directives qui définissent le mode de fonctionnement de ces équipes. Les cinq grands principes et directives du modèle d'équipe de la structure MOF sont les suivants :

	fournir à la clientèle un service de grande qualité ;
	comprendre les priorités commerciales et organiser les systèmes informatiques en conséquence pour augmenter la valeur ajoutée ;
	composer des équipes virtuelles fortes et synergiques ;
	encourager l'utilisation d'outils de gestion des connaissances et d'automatisation informatique ;
	attirer, perfectionner et fidéliser le personnel performant des équipes opérationnelles.

Groupes de rôles d'équipe

Le modèle d'équipe de la structure MOF est dérivé de l'expérience qui montre qu'une équipe opérationnelle doit atteindre un certain nombre de grands objectifs de qualité pour être performante. Les groupes de rôles du modèle d'équipe définissent six catégories générales d'activités et de processus. Les processus qui s'inscrivent dans un groupe de rôles visent tous à atteindre le même objectif de qualité. Il est important de souligner que les groupes de rôles sont des éventails d'activités qui partagent un objectif commun. Les groupes de rôles ne sont pas des descriptions de poste, pas plus qu'ils n'impliquent une quelconque forme d'organigramme.

Le nombre de personnes assumant chaque rôle peut varier énormément. Dans les grandes organisations informatiques, des équipes entières peuvent être chargées d'un seul processus qui correspond à un seul rôle. Ainsi, une douzaine de personnes peuvent être affectées à la gestion des bases de données— un ou plusieurs processus du rôle d'exploitation. Cette douzaine de personnes peuvent être membres d'une même équipe virtuelle de processus dirigée par un responsable de processus, mais être disséminées dans plusieurs pays et travailler dans des fuseaux horaires différents.

Il peut s'avérer nécessaire de combiner des rôles dans les organisations de plus petite taille. Ainsi, une seule personne travaillant dans une petite agence peut être responsable de tous les processus liés aux rôles portant sur la sécurité et l'infrastructure.

Le schéma suivant présente les six groupes de rôles et les associe à une série d'équipes ou de rôles fonctionnels qui peuvent être rencontrés dans une organisation typique. Ces six groupes de rôles sont étudiés de manière plus approfondie ci-après.

Modèle d'équipe de la structure MOF illustré par des exemples d'équipes ou de rôles fonctionnels

Figure 4 Modèle d'équipe de la structure MOF illustré par des exemples d'équipes ou de rôles fonctionnels

Version

L'équipe opérationnelle doit identifier les ressources existantes et les analyser de manière approfondie, documenter les processus de façon claire et garder à jour l'historique des changements. Pour atteindre cet objectif, l'équipe chargée de ce groupe de rôles assure généralement le suivi des changements et des enseignements qui sont consignés dans une base de connaissances d'entreprise et le suivi de l'inventaire et des changements qui sont enregistrés dans une base de données de gestion de la configuration. Cette équipe est également le relais principal entre les équipes chargées des groupes de rôles de développement des changements et d'exploitation. Elle intègre les pratiques de la bibliothèque ITIL dans le domaine de la gestion de la configuration et de la distribution et du contrôle des logiciels.

Infrastructure

Pour que les opérations informatiques soient performantes, il faut définir clairement des normes d'environnement physique, gérer les actifs matériels, assurer la maintenance de l'infrastructure informatique et superviser l'évolution de l'architecture. Ces tâches s'inscrivent dans le groupe de rôles relatif à l'infrastructure. Pour atteindre ces objectifs, les équipes chargées de ce groupe de rôles sélectionnent et gèrent les structures dont dépendent les services de bout en bout et gèrent les données communes ou partagées. Elles contribuent également à la coordination des déménagements d'immeubles et de bureaux, aux expansions et acquisitions et aux changements d'environnement physique, tels que le câblage, l'espace de laboratoire et la connectivité utilisateur.

Support

Il importe plus que tout que les équipes chargées des opérations informatiques soient animés par une véritable «culture du service», car les utilisateurs de systèmes informatiques sont très calés dans ce domaine et attendent davantage des systèmes et des personnes qui s'en occupent. Les équipes performantes veillent à fixer et à respecter des normes élevées en matière de support aux clients internes et externes. Cette responsabilité incombe aux équipes chargées des rôles de support.

Exploitation

Les équipes opérationnelles veillent à ce que les tâches quotidiennes soient réalisées de manière fiable. Pour atteindre cet objectif, le groupe de rôles d'exploitation est confié à des spécialistes expérimentés qui se concentrent sur les domaines technologiques et les systèmes de production, tels que la messagerie, l'administration système, les télécommunications, la mise en réseau et l'administration de base de données. Parmi les autres fonctions qui leur sont confiées, citons les processus programmés et reproductibles tels que la sauvegarde, l'archivage et le stockage des données, la gestion des sorties, le suivi du système et la gestion du journal d'événements, ainsi que la gestion de serveurs d'impression et de fichiers.

Partenariat

La fourniture de services informatiques passe de plus en plus par l'établissement de partenariats avec d'autres entreprises. Il est impératif que ces partenariats soient rationnels et bénéfiques pour toutes les parties pour qu'ils soient couronnés de succès. Les responsabilités liées à la définition et à la gestion de ces partenariats s'inscrivent dans le groupe de rôles de partenariat. Ce groupe de rôles concerne à la fois le directeur interne chargé des relations avec des partenaires extérieurs et ces partenaires eux-mêmes.

Sécurité

Les objectifs principaux des équipes chargées de ce groupe de rôles sont de veiller à la confidentialité, l'intégrité et la disponibilité des données. Pour atteindre ces objectifs, les spécialistes responsables de ce groupe de rôles de sécurité se servent des technologies et influencent les stratégies d'entreprise, notamment en définissant les procédures à suivre lorsqu'un employé quitte l'entreprise.

Relation entre les modèles de processus et d'équipe

Les groupes de rôles du modèle d'équipe s'alignent généralement sur les quatre quadrants du modèle de processus de la structure MOF ainsi que le montre le schéma suivant. Il convient de souligner que de multiples rôles peuvent s'inscrire dans un seul quadrant et qu'un rôle unique (de fournisseur ou de sécurité, par exemple) peut chevaucher plusieurs quadrants.

Groupes de rôles du modèle d'équipe de la structure MOF alignés sur son modèle de processus

Figure 5 Groupes de rôles du modèle d'équipe de la structure MOF alignés sur son modèle de processus

Modèle de risque de la structure MOF

Présentation

Le modèle de risque d'exploitation applique des techniques éprouvées en matière de gestion des risques pour résoudre les problèmes que le personnel opérationnel rencontre tous les jours. Il existe d'innombrables modèles, structures et autres processus pour gérer les risques. Tous visent à anticiper un avenir incertain. Le modèle de risque d'exploitation ne fait pas exception à la règle. Il se démarque toutefois des autres modèles par ses principes directeurs, sa terminologie personnalisée, son processus structuré et reproductible de cinq étapes et son intégration dans une structure d'exploitation plus vaste.

Principes de base

Le modèle de risque d'exploitation se base sur les grands principes suivants pour gérer les risques d'exploitation de manière performante.

	évaluation constante des risques. L'équipe ne cesse de rechercher de nouveaux risques et les risques existants sont régulièrement réévalués.
	Intégration de la gestion des risques dans chaque rôle et chaque fonction. à un haut niveau, ce principe implique que chaque rôle TI partage les responsabilités de gestion des risques et que chaque processus informatique est conçu compte tenu de la gestion des risques.
	Traitement positif de l'identification des risques. Pour que la gestion des risques porte ses fruits, les membres de l'équipe doivent avoir envie d'identifier les risques sans craindre de menaces ni de critiques.
	Planification basée sur les risques. Préserver un environnement revient souvent à introduire des changements dans un certain ordre. Lorsque c'est possible, il est préférable que l'équipe introduise les changements les plus risqués en premier lieu afin d'éviter de consacrer du temps et des moyens à des changements qui ne pourront être appliqués.
	établissement d'un niveau acceptable de formalité. La réussite passe par l'élaboration d'un processus que l'équipe comprend et applique.

Ces principes se retrouvent tous dans le terme proactif. Une équipe qui traite la gestion des risques d'une manière proactive sait que le risque constitue un volet normal des opérations. Au lieu de craindre le risque, elle le considère comme une occasion de préserver l'avenir. Les membres de l'équipe sont foncièrement proactifs, ils appliquent un processus continu, visible, mesurable et reproductible qui leur permet d'évaluer les risques et les opportunités de manière objective et ils prennent les mesures qui s'imposent pour remédier aux causes des risques et aux symptômes identifiés.

Processus de gestion des risques

Le schéma suivant présente les étapes du processus de gestion des risques : l'identification, l'analyse, la planification, le suivi et le contrôle. Il est important de comprendre que chaque risque franchit toutes ces étapes au moins une fois, mais que souvent, il les franchit à de nombreuses reprises. De plus, comme chaque risque présente un calendrier spécifique, de multiples risques peuvent se situer à un certain stade du processus au même moment.

Processus de gestion des risques

Figure 6 Processus de gestion des risques

Le processus de gestion des risques comporte les listes de risques suivantes.

	Document d'évaluation des risques. Les trois premières étapes consistent à recueillir des informations sur un risque donné et à les consigner dans le document d'évaluation des risques. Les deux dernières étapes se basent sur ce document pour étayer le processus de prise de décision.
	Liste des risques majeurs. Cette liste énumère le petit nombre de risques majeurs auxquels doivent être consacrés en priorité les moyens limités de l'équipe.
	Liste des risques caducs. Lorsqu'un risque perd toute pertinence, il est rayé de la liste des risques et ajouté à la liste des risques caducs. Cette liste sert à conserver des références historiques sur lesquelles l'équipe peut se baser.

Les cinq étapes du processus sont les suivantes.

	1: Identification. Cette étape sert à déterminer l'origine du risque, la nature de la défaillance, la condition ainsi que les conséquences opérationnelles et commerciales.
	2 : Analyse. Cette étape sert à évaluer la probabilité et l'impact du risque qui seront utilisés pour calculer la valeur d'exposition au risque. Cette valeur permet de classer le risque selon son importance par rapport aux autres risques.
	3 : Planification. Cette étape sert à définir des mesures permettant d'éviter totalement le risque, de le transférer à une autre partie ou de réduire son impact ou sa probabilité, voire les deux. Elle a également pour objet de définir les mesures d'urgence à prendre si le risque se concrétise. Enfin, elle sert à définir des déclencheurs qui signalent qu'un risque est sur le point de se matérialiser.
	4 : Suivi. Cette étape sert à recueillir des informations sur la manière dont divers éléments du risque évoluent au fil du temps.
	5 : Contrôle. Cette étape sert à mettre en oeuvre les mesures prévues lorsque certains changements interviennent. Ainsi, si un déclencheur atteint une certaine valeur, il faut déclencher le plan d'urgence. En revanche, si un risque a perdu sa pertinence, il doit être placé dans la liste des risques caducs. Si l'impact du risque concerné change, il y a lieu de recommencer le processus à l'étape d'analyse pour réévaluer son impact.

Exemple

Supposons qu'une personne qui exerce le rôle d'exploitation et qui assure la gestion de la disponibilité pour le service de messagerie de son entreprise réalise que des réductions d'effectifs dictées par une fusion empêcheraient le groupe de respecter les exigences fixées.

Composantes du risque	Explication
Origines du risque	Technologie (les autres options sont les ressources humaines, les processus et les facteurs extérieurs).
Nature de la défaillance	Performance (les autres options sont les coûts, l'agilité et la sécurité).
Condition Si les choses évoluent de la sorte à l'avenir...	L'unique système d'alimentation du serveur Web de commerce électronique tombe en panne.
Conséquences opérationnelles … le déroulement des opérations est affecté de la manière suivante...	Il faut acheter un nouveau système d'alimentation et un technicien doit interrompre les travaux en cours pour s'occuper de l'installation du nouveau système.
Conséquences commerciales … l'entreprise dans son ensemble est affectée de la manière suivante…	Les clients ne peuvent pas utiliser le site, ce qui ternit l'image de l'entreprise à leurs yeux. Certains clients décident d'utiliser définitivement le site d'un concurrent.
Probabilité La probabilité que cet événement survienne est de …	0,001 (1 chance sur 1 000) par mois pendant les trois premières années de service.
Impact L'impact des conséquences commerciales serait de...	Sur une échelle croissante de 1 à 10, les conséquences commerciales pour l'entreprise sont estimées à 8.
Exposition au risque La probabilité multipliée par l'impact égale...	0,008
Mesures d'atténuation Avant que cet événement que nous craignons ne se produise, nous allons tenter de réduire son impact et/ou sa probabilité en procédant comme suit...	Il est possible de réduire la probabilité en effectuant des diagnostics et en remplaçant un vieux système d'alimentation avant qu'il ne tombe en panne. Il est possible de réduire l'impact de la défaillance d'un système unique d'alimentation en optant pour le branchement sur un serveur possédant plusieurs systèmes d'alimentation et en veillant à avoir sous la main le matériel de remplacement nécessaire pour réduire la durée de l'interruption.
Déclencheur Si l'événement que nous craignons est imminent (mais ne s'est pas encore produit), nous le saurons...	Cet événement est considéré comme imminent si l'un des diagnostics réguliers montre qu'une tendance à la baisse de la fiabilité atteint un certain seuil. Le système automatisé de surveillance indique lorsque la panne survient.
Plan d'urgence Si nous sommes incapables de prévenir ce risque, nous réagirons comme suit à l'activation du déclencheur...	Remplacer immédiatement le système d'alimentation par un système neuf. à défaut de matériel de remplacement, arrêter un serveur fournissant un service moins prioritaire et installer son système d'alimentation sur le serveur Web de commerce électronique.

Où commencer ?

Une organisation TI peut commencer à appliquer la structure dans n'importe quel secteur de son environnement avant de la déployer dans d'autres secteurs.

Par contre, faite très attention, l'évaluation des opérations de la structure de votre département TI peut servir de bon point de départ dans la mesure où elle aide l'organisation à identifier les secteurs qui se prêtent le mieux à l'application des pratiques recommandées de la structure MOF - ITIL. De nombreuses organisations ont tendance à considérer que le support, l'assistance ou la disponibilité est leur secteur le plus problématique, alors que ces aspects ne sont généralement que symptomatiques et que les causes profondes des problèmes se trouvent dans la gestion des changements et des versions. La réalisation d'une évaluation des opérations peut contribuer à épingler des problèmes sous-jacents qui affectent les niveaux de service TI.

INFO!

MOF est une adaptation commerciale de ITIL à la sauce Microsoft.