Quiz "Maturité de votre DSI"

CG2 - Formulaire Quiz maturité DSI

Pilotage financier, budget

1. Si votre DSI était un film ?

Ma petite entreprise
Notre DSI fait au mieux avec une enveloppe budgétaire globale héritée des années précédentes. Les atterrissages sont souvent difficiles et il faut régulièrement demander des rallonges budgétaires. Les relations et les pratiques avec les services financiers se situent à posteriori et ne permettent pas d’améliorer le pilotage de l’activité.

Il faut sauver le soldat Ryan
Notre DSI est gérée en Cash in/Cash out. Bien qu’il existe un budget détaillé et un processus de validation des achats, la gestion financière demeure annualisée. Les dépenses engagées ont pour objet de satisfaire la demande en limitant les risques a priori (sans exercice d’évaluation ni des risques ni des ROI) ce qui a pour effet d’augmenter considérablement les coûts de la DSI.

Matrix
Chaque décision s'appuie sur une évaluation financière systématique (type business case). Le risque financier est limité au maximum. Il s'ensuit une certaine lenteur, voire de l'inertie. L'atterrissage doit à tout prix cadrer avec le budget (ou sa dernière estimation).

Le stratège
Notre DSI collabore main dans la main avec les services financiers. Les notions d’OPEX, CAPEX et coût de services sont largement partagées et maîtrisées. La DSI dispose d’un contrôleur de gestion dédié et les indicateurs fournis simplifie la prise de décision et le suivi quotidien. Les analyses et les projections facilitent le dialogue avec les autres directions ainsi qu’un meilleur alignement avec la stratégie de l’organisation.

La forme de l'eau
En véritable partenaire des autres directions, notre DSI se concentre sur la création de valeur en bout de chaîne. Le reporting est simplifié et communiqué à l’ensemble des membres de la DSI en termes simples. De plus l’accent est mis sur la capacité disponible afin de favoriser l’autonomie et la prise de décision au niveau du terrain tout en limitant les investissements inutiles.

La vision de CG2 Conseil

La capacité des équipes opérationnelles à comprendre et intégrer les indicateurs financiers dans leurs activités est un fort facteur de succès. Au niveau du contrôle de gestion de la DSI l’accent doit être mis sur une analyse de la chaîne de valeur et l’élaboration d’indicateurs issus des réalités opérationnelles, actionnables et visuels. Ainsi, les acteurs de la DSI pourront plus aisément piloter leur activité à l’aide d’une analyse des coûts par destination (projets métiers, projets réglementaires, maintenances correctives, support…).

Cette démarche qui doit être conduite en lien étroit avec les services financiers n’empêchera en rien la production des états statutaires et des analyses plus traditionnelles (tel l’analyse des coûts par nature : salaires, logiciels, matériels…). Mieux, ces pratiques peuvent devenir l’un des piliers de la communication de la DSI et peuvent également générer des émules au sein de la société.

Gestion du portefeuille projet et projets

2. Si votre DSI était un jeu ?

La roulette
Notre processus d'arbitrage des projets est peu partagé avec les autres directions. La stratégie de l'organisation ne se reflète pas toujours dans les priorités et/ou dans l'allocation des moyens. Les coûts / qualité / délais des projets sont peu maîtrisés (ex : les activités du Run et du Build sont indifférenciées).

Le bridge
Les règles liées à la prise de décision existent, mais sont complexes et peu partagée en dehors du comité d'arbitrage. La déclinaison de la stratégie de l'organisation dans les priorités du portefeuille n'est pas le principal juge de paix. Les projets sont gérés principalement par les délais d'où la constitution de taskforces très énergiques et très motivées. Les notions de coûts, moyens, risques et les objectifs d'innovation ne sont pas au cœur de l'action de cette équipe.

Le cricket
Une gouvernance est en place mais les règles d'arbitrage peuvent parfois paraître obscures et le processus long. De plus en plus d'arbitrages sont connectés à la stratégie de l'organisation. Les projets sont menés avec rigueur et dotés de moyens importants. Les changements de cap sont possibles mais difficiles à réaliser du fait des moyens engagés et du temps de réaction.

Le football professionnel
Une structure de décision formelle est en place et décide. Les règles du jeu, plus ou moins complexes, sont établies. La prise de décision est processée, elle est de plus en plus efficace au fur et à mesure que la maturité progresse. Les équipes sont rompues aux méthodes Waterfall et les expériences agiles se multiplient avec succès. La coexistence des 2 modes reste une complexité à gérer.

Le rugby
Si l'intérêt des méthodes Agiles de gestion de projets est de mieux assimilé, les conséquences sur la gestion de portefeuilles projet restent encore mal appréhendées : - Le lancement et l'arrêt d'un projet agile sont plus faciles à décider, dès lors que le droit à l'erreur est correctement appréhendé. - Un suivi de projets agile basé sur la base traditionnelle coûts, délais, ressources, risques est un non-sens. La question fondamentale devient : "quelle valeur ce projet apporte-t-il encore ? quelle valeur un sprint supplémentaire peut-il apporter ?" Evidemment, la bonne gestion de portefeuille évite le jeu du bingo : ce n'est pas parce qu'un descriptif de projet comprend les mots "Digital", "IoT", "Big Data", "IA", que le projet sera accepté à coup sûr, n'est-ce pas ?

La vision de CG2 Conseil

Si l'intérêt des méthodes Agiles de gestion de projets est de mieux assimilé, les conséquences sur la gestion de portefeuilles projet restent encore mal appréhendées :

Le lancement et l'arrêt d'un projet agile sont plus faciles à décider, dès lors que le droit à l'erreur est correctement appréhendé.
Un suivi de projets agile basé sur la base traditionnelle coûts, délais, ressources, risques est un non-sens. La question fondamentale devient : "quelle valeur ce projet apporte-t-il encore ? quelle valeur un sprint supplémentaire peut-il apporter ?"

Evidemment, la bonne gestion de portefeuille évite le jeu du bingo : ce n'est pas parce qu'un descriptif de projet comprend les mots "Digital", "IoT", "Big Data", "IA", que le projet sera accepté à coup sûr, n'est-ce pas ?

Le service à l'utilisateur

3. Si votre DSI était une boutique de vêtements ?

Une friperie
La manière de délivrer le service est stable depuis de nombreuses années. Le point d'entrée pour les utilisateurs est une hotline, dont le périmètre porte quasi-exclusivement sur les produits bureautiques classiques. Une part importante du service reste porté par les techniciens de proximité. C'est pourquoi la hotline est souvent court-circuitée.

Une boutique de prêt à porter
Le service à l'utilisateur s'appuie sur des briques standardisées, tant sur le plan technologique (master, packaging) qu'organisationnel (processus de support ITIL). L'organisation du service cible la réactivité face aux demandes des utilisateurs. Le périmètre reste centré sur le support bureautique. La qualité de service n'est pas toujours stable (rentrée du 1er septembre par exemple).

Une boutique d'achat en ligne
Le service à l'utilisateur s'appuie sur des briques standardisées. Le degré d'industrialisation est important. La quasi-totalité du service est rendue à distance (y compris, par exemple, la mise à disposition du poste de travail). Les utilisateurs sont invités à utiliser un portail Web plutôt que d'appeler un Helpdesk. Un premier support applicatif métier est proposé, mais à un bien moindre degré d'industrialisation.

Un coach "look"
En standard, le périmètre comprend la bureautique et les applicatifs métier. Le service à l'utilisateur est assuré par une collection de moyens standardisés, industrialisés, bien intégrés et cohérents entre eux, bien acceptés par les utilisateurs : le portail de self-service, le helpdesk multicanal (chat, application mobile...). Le management est entièrement tourné sur la satisfaction de l'utilisateur, non sur l'efficacité des moyens techniques mis à sa disposition. La fonction service Desk interagit de façon efficace avec les équipes projet de la DSI, la DRH (détection de besoin de formation)

Une boutique de vêtements "e-textile"
L'Intelligence Artificielle et le Big Data ont été incorporés au Service à l'Utilisateur. Un système d'analyse comportementale des utilisateurs est en place. Ainsi, au sens ITIL : les incidents sont anticipés (ce n'est pas l'utilisateur qui sollicite la DSI, mais le contraire), les problèmes sont détectés rapidement et traités en tant que tels.

La vision de CG2 Conseil

Souvent considéré comme secondaire et simple, le service à l’utilisateur est un autre pierre angulaire de la performance du SI. Combien de projets sont déployés sans support associé et peuvent donner une mauvaise image d’un projet. Le service à l’utilisateur est une chaîne complexe où le facteur humain est et restera central tant coté utilisateur que la gestion des hommes de la DSI qui composent la chaîne de support. C’est encore un terrain très propice à l’optimisation (dépasser le traitement toujours améliorer d’incident toujours plus nombreux). Elle doit intégrer la capacité à s’adresser à différentes strates de population utilisateurs (métiers, age, agilité) par des canaux et des outils différents, avec des niveaux de service ad hoc pour chaque strate. Mais au delà la chaîne de support va se transformer profondément

Avec l’arrivée (déjà présente) de technologie, notamment par l’introduction de l’intelligence artificielle et du big data.
Avec un positionnement élargi de support à tous les moyens d’environnement de travail du collaborateur.

La gestion des infrastructures

4. Si votre DSI était un bâtisseur ?

Un bricoleur
Les exploitants IT construisent l'infrastructure en parallèle de leurs activités récurrentes. Leur préoccupation est de faire au mieux au moindre coût. L'architecture technique est peu ou pas documentée. La supervision est basique : réponse au ping, analyse manuelle des logs.... Le bon fonctionnement des sauvegardes est contrôlé, mais les restaurations ne sont pas toujours testées. La disponibilité de l'infrastructure IT n'est pas mesurée et, dans la pratique, elle est inconstante.

Un artisan seul
L'équipe d'exploitants IT comprend un véritable expert système/réseau. Moins impliqué que ses collègues dans le RUN, il peut se consacrer significativement au design de l'infrastructure. Les choix technologiques sont un équilibre entre le moindre coût et le domaine de compétence de l'expert. Le niveau de documentation est hétérogène. La disponibilité de l'infrastructure IT est plutôt bonne, mais des épisodes d'incidents majeurs longs surviennent assez significativement. Un Plan de Reprise d'Activité (PRA) existe mais n'a pas pu être testé.

Une entreprise "tous corps d'état"
La structure d'"infrastructure management" a un positionnement clair de "Maître d'Œuvre technique". Elle dispose de profils et de compétences forts en termes d'architecture technique et réseau. Mais un cadre de cohérence technique n'est pas encore affirmé, si bien que les Etudes font elles-mêmes des choix technologiques éventuellement concurrents. La supervision et plus largement l'exploitation sont industrialisés au niveau systèmes & réseaux, mais pas encore au niveau applicatif. L'hébergement Cloud est plus ou moins significatif. Il a été décidé pour des raisons financières.

Un architecte
Les fonctions "Architecte fonctionnel" et "Architecte Technique" sont très clairement définies. Ces fonctions sont le pivot de la relation entre les Etudes et la Production. Leur contribution aux projets est systématique et appréciée. La supervision est bien distincte du reste des opérations, avec des procédures complètes et un degré d'automatisation significatif. La virtualisation est très importante, l'infrastructure fonctionne en Cloud Privé IaaS (interne ou presté). La disponibilité de l'infrastructure IT est élevée. Un PRA et un PCA sont en place et sont testés régulièrement. Des expérimentations sont en cours sur le Cloud Public, avec de très sérieuses intentions.

Un urbaniste
L'infrastructure IT de notre DSI a absorbé l'infrastructure dédiée au Digital. Son degré d'industrialisation et sa réactivité en font le socle de l'innovation digitale de l'organisation. L'Intelligence Artificielle est intégrée dans la gestion de l'infrastructure, supplantant progressivement la supervision et l'automatisation classique. La majeure partie des systèmes sont hébergés dans le Cloud Public, y compris des systèmes critiques.

La vision de CG2 Conseil

L'orientation des métiers de la production s'éloigne de la gestion de moyens technologiques, pour privilégier trois grandes missions :

assurer les fondamentaux de la disponibilité et de la sécurité
optimisation et automatisation du processus d'évolution du SI
offrir ou supporter un environnement de développement souple et évolutif, libérer le plus de ""temps de cerveau de développeur"" disponible.

La démarche DevOps est donc à nos yeux une démarche privilégiée. Il s'agit bien de définir un nouveau rôle, de nouvelles pratiques pour la fonction Ops, nullement de la faire disparaître ou de la fusionner avec les Dev. L'adoption du modèle Cloud (OPEX, usage à la demande) par sa flexibilité, s'associe à cette orientation de façon inéluctable. Plus opérationnellement, l'Intelligence Artificielle en Production jouera rapidement un rôle important.

La Sécurité

5. Si votre DSI étaitune chaussure ?

Une tong
A leur installation initiale, les postes de travail reçoivent un antivirus et sont configurés pour recevoir automatiquement les patches de sécurité Windows. La bonne tenue des mises à jour n'est pas supervisée. L'approche est similaire côté serveurs mais avec davantage de vigilance. Les réseaux sont protégés via un service de base délivré par l'opérateur télécom WAN. Il n'existe pas de cadre formel de la politique de sécurité (PSSI).

Un sabot en bois
Globalement, la sécurité reste perçue comme un sous-ensemble de l'infrastructure technique. Il n'y a donc pas de service spécialisé "sécurité IT", au sein de la DSI ou en dehors mais quelques règles sont édictées. La sécurité est plutôt perçue comme une activité et une compétence supplémentaire pour les équipes d'exploitation systèmes et réseaux, qui y consacrent néanmoins une part significative de leur activité. Le déploiement des antivirus et des patches de sécurité est industrialisé et supervisé, tant sur les postes que sur les serveurs.

Une chaussure de montagne
La sécurité IT est une problématique très transverse au sein de notre DSI, mais elle ne s'étend pas plus loin au sein de l'organisation. Une équipe d'experts sécurité a été constituée : exigences sécurité sur les projets, contrôles courants sur l'exploitation courante. Elle est supervisée par un RSSI qui définit la politique de sécurité (PSSI). Le SI est une véritable citadelle, très bien protégée techniquement contre les attaques extérieures. La robustesse de l'architecture sécurité permet d'éviter de se poser trop de questions sur la sécurisation des applications. La protection des données devient un sujet d'intérêt, un Data Protection Officer est nommé.

Une chaussure de trail running
La sécurité SI est au cœur de la stratégie de notre organisation. - Une direction de type "Maîtrise des Risques" est effective. - Le Data Protection Officer est nommé, il a la compétence et le pouvoir nécessaire à la prise en compte du RGPD (Règlement Général sur la Protection des Données Personnelles) - Des processus transverses de sécurité sont déployés. - Au sein des équipes projets, « protection des données dès la conception », « sécurité par défaut » sont une réalité. - Un Security Opération Center est en place. - Les audits et tests de sécurité sont intégrés dans les pratiques courantes, sur tout le périmètre. - L'architecture technique de sécurité est à l'état de l'art.

La sandale ailée d'Hermès
Vous étiez sur le point de sélectionner la réponse ci-dessus. Mais si, sincèrement, sans petits arrangements avec la vérité, votre organisation et votre DSI ont atteint ce niveau-là, alors sélectionnez cette réponse là.

La vision de CG2 Conseil

Dans un monde digital et interconnecté, la sécurité du SI devient un enjeu majeur pour les organisations car le SI (y compris les données) est un actif de l'organisation et possède une valeur de plus en plus conséquente. Dans le cadre de l'évolution du SI, la sécurité doit être intégrée dès les phases amonts en suivant un cycle itératif. L'approche DevSecOps répond à ce besoin. Une grande partie du patrimoine de l'organisation repose dorénavant sur son SI. La panne ou la dégradation d'un service pour un problème technique, la perte ou la détérioration de données entraîne un préjudice plus ou moins grave pour le fonctionnement de l'organisation. La sécurité du SI doit donc être porté à un haut niveau de l'organisation et concerne tous les utilisateurs du SI. Comme le montre le périmètre de la norme ISO 27002, la sécurité du SI n'est pas qu'un sujet technique (cf. la sécurité des ressources humaines ou la gestion des actifs). Il ne suffit pas de se prémunir contre des attaques extérieures et de sauvegarder ses données, le sujet est beaucoup plus large et beaucoup plus complexe.

La relation avec les métiers

6. Si votre DSI était un restaurant ?

Une cantine
"Vous ferez avec ce que je vous donne". Notre DSI reste discrète et décide seule des solutions IT mises entre les mains des métiers. Par ailleurs elle estime que son niveau de performances n'est pas suffisant pour lui permettre de se présenter sereinement devant les métiers. Le budget IT est uniquement entre les mains de la DSI.

Un fast-food
La DSI a une offre de service vaste. Mais le métier n'est pas assisté dans les différentes options. Plus généralement, il n'y a pas de relation explicite et/ou structurée entre la DSI et les métiers. Un bon service informatique, c'est celui dont on entend pas parler. La DSI "fait le job", que dire de plus ? Le budget IT est entre les mains de la DSI, mais il est décidé à haut niveau managérial avec les métiers.

Une brasserie
La DSI propose aux métiers un catalogue de service standardisés, et a la capacité à proposer des prestations à la carte. La DSI accompagne le métier dans l'usage de ce catalogue de service. C’est parfois un peu long à délivrer, c’est souvent perçu comme cher, mais la qualité de service n'est pas contestée. La DSI calcule ses indicateurs de performances et les publie régulièrement. Une partie des services de la DSI est refacturée aux métiers.

Un grand restaurant
La DSI dispose d'une base de plateformes technologiques bien établies, d'expertises reconnues et de coûts maîtrisés. Les nouveaux services sont construits dans un mode de collaboration étroite entre la DSI et les métiers, selon des méthodes agiles dans la plupart des cas. Elle produit des indicateurs simples qui sont interprétables facilement et reconnus comme objectifs par les métiers. Les prestations de la DSI sont en majorité refacturées aux métiers, dans un modèle qui donne aux métiers l'exercice de la décision financière.

Un grand restaurant de cuisine moléculaire
Comme pour la réponse ci-dessus, mais la base technologique de la DSI se renouvelle de façon aussi soutenue que maîtrisée. Les briques techniques sont à la pointe de l'innovation, les services ainsi construits le sont aussi. La communication de la DSI avec les métiers est intégrée au cœur des processus et activités de la DSI, au même titre que les activités techniques et de delivery. Elle est portée par des professionnels de la communication. A ce niveau-là, on ne parle même plus de communication, mais de marketing.

La vision de CG2 Conseil

Les DSI sont traditionnellement des structures fondées sur la culture de l'ingénierie. Avec un paysage applicatif en perpétuelle évolution et une technologie en pleine accélération, il est plus que jamais essentiel que la DSI soit, non seulement à l'écoute, mais également source de conseil auprès des métiers. Centrée sur l'utilisateur et partenaire des métiers elle doit dépasser le rôle de fournisseur d'équipements et services informatiques. De plus la communication systématique et structurée se fait généralement rare dans les DSI. Les DSI plus avancées ont, au contraire, mis en œuvre une véritable approche de marketing. Notons que c'est aussi (surtout) dans les situations difficiles que les individus ont besoin de communiquer. Gestion du changement, mise en oeuvre d'une stratégie de communication, mise en oeuvre d'un plan de sensibilisation et d'appropriation par les utilisateurs sont à nos yeux les 3 piliers d'une bonne approche du marketing de la DSI.

Score

Quiz “Maturité de votre DSI”

La vision de CG2 Conseil

La vision de CG2 Conseil

La vision de CG2 Conseil

La vision de CG2 Conseil

La vision de CG2 Conseil

La vision de CG2 Conseil