Comment définir des niveaux de services (SLA)

Rédaction

Le travail du DSI devient de plus en plus contractuel et le respect des engagements de services, avec les fournisseurs ou avec les clients internes, fait partie des critères de performance sur lesquels sont évalués les DSI et leurs équipes. L’engouement pour la sous-traitance et l’infogérance pousse les systèmes d’information dans les bras de fournisseurs externes.

De même, les exigences des directions métiers renforcent les relations croisées avec les DSI, par le biais de la refacturation interne. Ces approches, qui aboutissent à une mesure de la performance de la DSI (qualification du service, justification des investissements, gestion des fournisseurs…), ne peuvent fonctionner correctement que par la construction d’indicateurs d’engagements de services (SLA : Service Level Agreements).

Ils formalisent les besoins des utilisateurs de système d’information ou des consommateurs de prestations externes, puis les quantifie en indicateurs mesurables dans le temps. En d’autres termes, c’est le résultat d’un accord entre un prestataire (interne ou externe) et un client pour délivrer un service à des conditions données.

Les engagements de services présentent plusieurs avantages : plus de formalisme, de rigueur, donc de qualité, dans le service rendu, la possibilité d’identifier les leviers de réduction de coûts, d’optimiser les coûts unitaires, d’élaborer plus aisément une vision à long terme.

Cela permet notamment de définir des standards, des objectifs réalistes de performances, de mettre en place des alertes et simuler des changements dans le système d’information. Globalement, la mise en œuvre d’engagements de service participe à l’alignement du système d’information sur les besoins business, non pas sur le plan des principes, mais de façon opérationnelle, au quotidien.

Les engagements d’un prestataire en matière de fourniture de services font obligatoirement l’objet d’un accord contractuel. C’est l’apport majeur de l’infogérance. La relation entreprise/prestataire externe oblige ce dernier, dans un souci de transparence, à proposer des garanties de services et de délais, qui se traduisent en particulier par des engagements de disponibilité du système, de temps de réponse en cas d’incidents ou d’évolutivité du système d’information. En cas de non-respect, des pénalités sont applicables au prestataire. Il y a donc un partage des risques.

On distinguera trois phases : d’abord, la définition des niveaux de services. Il s’agit d’une responsabilité du maître d’ouvrage et du ou des maîtres d’œuvre, qui définissent conjointement les niveaux de services applicables et dans quelles conditions ils le sont. Une fois formalisés, les niveaux de services doivent faire partie intégrante du contrat au même titre que les autres éléments fondamentaux (obligations générales du fournisseur, prix, avenants, conditions d’exécution de la prestation, sécurité, propriété intellectuelle…). La première étape consiste à identifier les besoins métiers et le périmètre sur lequel vont s’appliquer les indicateurs représentatifs des engagements de services. On en distinguera ainsi les différents types (réseau, Help Desk, applications…).

Il convient d’élaborer des indicateurs métiers dans chacun de ces trois domaines. Ainsi, on s’intéressera au coût unitaire et au délai de résolution des incidents pour les postes de travail, au taux de disponibilité et aux garanties de débits pour les réseaux, aux temps de réponse pour les applications. Pour chaque indicateur, on identifie les sources des informations qui servent à le construire, en particulier pour prendre en compte les données non techniques et non informatiques.

Les indicateurs liés aux engagements de services doivent répondre à trois caractéristiques :

  • Être clairs, de façon à ce qu’ils soient compris par tous ceux qui auront à les consulter.
  • Être pertinents, de manière à refléter la réalité du fonctionnement du système d’information et du compor  tement des fournisseurs.
  • Être comparables dans le temps, de manière à identifier et anticiper les éventuelles difficultés, avec des indicateurs proactifs.

Ensuite, l’exécution des niveaux de service, phase dont il faut prévoir les conditions (délais, responsabilités, moyens…) et pour lesquelles se déclenchent les mesures de garantie de performances et/ou les pénalités. Dans le cadre d’une politique de SLM (Service Level Management), les outils existent pour automatiser le calcul, le suivi et le pilotage des indicateurs. Il reste indispensable de se mettre d’accord avec le prestataire sur les indicateurs et les méthodologies de mesure, afin d’éviter toute ambiguïté. De même, les données doivent être aisées à collecter et à analyser.

Enfin, lorsque le contrat se termine, les conditions de sortie doivent être anticipées, surtout si le prestataire est responsable. D’une manière générale, les dispositions contractuelles concernant les niveaux de services doivent éviter trois écueils : être trop détaillées, trop complexes et trop rigides.

Rappelons que les équipes informatiques internes et celles du prestataire doivent adhérer et légitimer les niveaux de services définis, donc les indicateurs qui les mesurent. Ces derniers doivent être acceptés et compris par tous. Cela permet d’éviter les échecs le plus souvent observés avec les tableaux de bord, par exemple un focus sur les mauvais indicateurs, l’impossibilité d’obtenir une vue globale, des indicateurs trop simplistes ou trop globaux, ou encore lorsque surviennent des dysfonctionnements dans le processus de reporting.

Les composants d’un SLA

  • Un titre.
  • La définition de l’indicateur associé.
  • Le mode de calcul de l’indicateur.
  • Le type de mesure (par unité, par événement…).
  • La source de l’indicateur.
  • La période de référence.
  • La marge d’erreur.
  • La pénalité associée à l’indicateur.

Source : « What’s the difference between SLOs vs SLAs », SearchCIO, Techtarget.
Lien : https://searchcio.techtarget.com/answer/Whats-the-difference-between-SLO-and-SLA?

Quelques exemples de clauses

  • « Le fournisseur s’engage à verser des pénalités si les caractéristiques suivantes du service ne sont pas respectées : délai de livraison, moyenne du temps de latence, du taux de pertes de paquets, disponibilité minimale des réseaux. L’indemnisation sera prise en compte au plus tard 60 jours après la constatation de la non atteinte de l’engagement. »
  • « Les cas suivants sont exclus : force majeure, faute commise par l’utilisateur, ses employés ou ses sous-traitants, indisponibilité technique due aux matériels de l’utilisateur. »
  • « Les taux de disponibilité s’appliquent uniquement aux services liés aux infrastructures techniques du fournisseur. »
  • « Le montant de l’indemnité est calculé en appliquant le taux de l’indemnité correspondant au taux de disponibilité (par exemple 10% si le taux de disponibilité tombe à 99,5 %). Le taux d’indemnité s’applique à la facturation globale pour le service, durant la période qui a servi de base au calcul du taux de disponibilité. »
  • « Une pénalité est fixée par critère SLA. Le fournisseur devra toujours prouver que les critères de SLA sont atteints. S’il le souhaite, l’utilisateur peut faire contrôler ou exécuter les mesures de SLA, à ses frais, par un expert indépendant. Les pénalités sont cumulatives : une pénalité pour indisponibilité peut être cumulée avec une pénalité pour un incident non résolu. »
  • « Les données de journalisation utilisées pour la mesure du SLA seront conservées pendant un an au moins. Ce délai est porté à deux ans pour le SLA de disponibilité. Les données de journalisation seront régulièrement sauvegardées. »

Dix principes de mise en œuvre

  1. Identifier les besoins business et le périmètre sur lequel vont s’appliquer les engagements de services.
  2. Construire des indicateurs métiers dans ces trois domaines. Pour chaque domaine, les indicateurs sont évidemment différents.
  3. Préciser les scénarios possibles en cas de problèmes, en répondant à trois questions : que se passe-t-il en cas de problème ? Quels sont les règles applicables ? Qui intervient et dans quel délai ? Mettre en place une procédure d’alerte et d’escalade (en précisant les procédures et les conditions de déclenchement).
  4. Penser à automatiser le calcul, le suivi et le pilotage des SLA, les outils logiciels existent pour bâtir une politique de SLM (Service Level Management).
  5. S’accorder avec le prestataire sur les indicateurs et les méthodologies de mesure.
  6. Négocier les engagements des fournisseurs cloud, les SLA doivent prévoir comment les données sont stockées, à quelle fréquence elles sont sauvegardées et comment y accéder.
  7. Veiller à ce que vos équipes informatiques internes et celles du prestataire adhèrent et légitiment les niveaux de services définis. Les indicateurs doivent être acceptés et compris par tous. Cela suppose qu’ils soient simples, compréhensifs et représentatifs de l’activité mesurée. Pour la facturation interne, justifier systématiquement les choix d’investissement et le ROI pour l’entreprise et la direction métier.
  8. Mesurer régulièrement les performances et identifier les causes d’échec, dans le cadre d’un plan qualité : un focus sur les mauvais indicateurs ? L’impossibilité d’obtenir une vue globale ? Des indicateurs trop simplistes/trop globaux ? Des dysfonctionnements dans le processus de reporting ? etc…
  9. Prendre garde aux problèmes de frontière, par exemple entre la production, le réseau, la bureautique…
  10. S’intéresser aux marges des fournisseurs, qui ne doivent pas être excessives, d’où l’intérêt d’un benchmarking des unités d’œuvre. Il faut que le fournisseur répercute ses propres baisses de coûts, liées à l’évolution technologique ou à des modes d’organisation différents (recours à l’offshore par exemple).