Les mises en œuvre actuelles de la gouvernance de systèmes d’information (SI) sont structurées par une analyse des processus et le modèle MOA-MOE. On peut s’attendre à l’éclosion d’une nouvelle génération de pratiques orientées par une analyse des relations entre les parties prenantes du système d’information et s’inscrivant dans un modèle MOA-MOE ayant muté.
Plusieurs signaux appellent au renouvellement des pratiques de gouvernance de système d’information. Ainsi, l’étude du Cigref-Capgemini Consulting menée en collaboration avec le professeur Donald Marchand (Institute for Management Development), intitulée « L’information : prochain défi pour les entreprises », lance aux formes actuelles de gouvernance du SI l’injonction « d’évoluer pour prendre en compte de façon explicite l’usage de l’information ». De même, l’étude confirme les limites du modèle de gestion de SI dit « MOA-MOE » (maîtrise d’ouvrage-maîtrise d’œuvre).
Aux origines du modèle MOA-MOE
Un des principaux reproches que l’on entend émettre sur le modèle MOA-MOE est son caractère non exportable, marqué notamment par la difficulté de trouver une « bonne » traduction en anglais.
En effet, dès lors que l’on rattache les origines du modèle à un dispositif juridique, en l’occurrence la loi MOP (1) qui est relative à la maîtrise d’ouvrage publique et à ses rapports avec la maîtrise d’œuvre privée applicable aux constructions publiques, on s’aperçoit qu’il est vain de penser pouvoir restituer son essence et sa substance dans une langue étrangère en quelques mots sans en faire une référence explicite.
Ainsi, s’il est pratique de traduire maîtrise d’ouvrage par « business owner » dans un CV ou une fiche de poste, on peut s’interroger sur la pertinence de représenter le rôle de maîtrise d’ouvrage par « business owner » dans un manuel méthodologique.
En vue de conforter ce rattachement déterminant dans la compréhension du modèle, retournons dans les années 1980, époque de promulgation la loi MOP (1985). à cette époque, l’architecture des systèmes d’information est propriétaire, centralisée (« mainframe ») et comprend simplement deux couches : d’une part, le matériel et son système d’exploitation, et d’autre part, des programmes développés en code Cobol ou Fortran, et dont les fonctionnalités aident le plus souvent à automatiser des opérations de paie, de comptabilité et de facturation.
Pour la couche basse, les entreprises françaises se fournissent chez le duopole formé par la multinationale IBM et le constructeur national Bull. à la livraison du matériel, elles en acquièrent la propriété.
Pour la couche haute, en cas de développement externe, les entreprises utilisatrices font appel à des sociétés de services et d’ingénierie en informatique (SSII), des entreprises qui fournissent un travail (l’œuvre). à la recette des programmes, la propriété (intellectuelle) du résultat de l’œuvre (la propriété de l’ouvrage) est naturellement transférée à l’entreprise utilisatrice qui devient le maître de l’ouvrage.
La loi MOP étant en réalité tout un corpus de lois, d’ordonnances, de décrets et d’arrêtés édictés au fil du temps, nous laisserons le lecteur apprécier si cette courte narration avec ses approximations est suffisante pour éclairer la conjecture d’une transformation de certains éléments de la loi MOP en une pratique de gestion de systèmes d’information qui est devenue le modèle MOA-MOE.
Des limites du modèle MOA-MOE
Toutefois, en 1998, prenant acte de l’appropriation par les acteurs du système d’information de ce modèle, le Cigref publiait un premier rapport intitulé « Pour un pilotage efficace du système d’information », puis, un second, en 2003 (2).
Dans le préambule de ce dernier, le Cigref indiquait les limites des mises en œuvre du modèle : « Un clivage entre maîtrise d’ouvrage et maîtrise d’œuvre, une approche difficilement transposable à l’international, un modèle unique de représentation. » Il proposait ainsi un modèle enrichi par la « distinction entre la maîtrise d’ouvrage et les utilisateurs finals », l’affectation d’un « rôle d’arbitre », la « différence entre rôles et acteurs » et les « processus de coopération entre acteurs ».
Six ans plus tard, l’étude « L’information : prochain défi pour les entreprises » rapporte deux difficultés supplémentaires dans la mise en œuvre du modèle. La première, sans appel, dénonce une « incompatibilité avec les modes de fonctionnement de projets dits agiles ».
En effet, à l’heure des progiciels, des plates-formes SOA et de l’Open Source, la question de propriété (intellectuelle) des développements n’a plus de réponse aussi immédiate et évidente que dans les années 1980 et appelle à revoir le principe même d’une affectation tranchée de la maîtrise de l’ouvrage.
Une évolution possible du modèle MOA-MOE
La seconde est le « déplacement vers la MOE de l’expertise en processus métiers » relevant jusqu’à présent de la MOA. Ce déplacement produit un déséquilibre organisationnel qui peut être exprimé par le système d’égalités dont le premier membre est vidé de sa substance :
(i) processus métiers = MOA = direction métier (DM)
(ii) application informatique = MOE = direction des systèmes d’information (DSI)
Pour rétablir le système, l’origine probable du modèle MOA-MOE que sont les constructions publiques et l’aménagement du territoire nous suggère une piste avec la notion de maîtrise d’usage. Parfois utilisée pour les systèmes d’information (3), la « maîtrise d’usage » peut être considérée tout simplement comme une bonne formule pour représenter les « utilisateurs finals » face à la maîtrise d’ouvrage et la maîtrise d’œuvre, par exemple dans le modèle MOA-MOE du Cigref proposé en 2003.
En introduisant la variable maîtrise d’usage (désignée ici par MUA) et en se plaçant dans le cadre d’une relation à deux parties, direction métier et DSI, on peut créer un algorithme formel de trois systèmes d’équations caractérisés par la place de la MOA.
(1) DM=MUA + MOA et DSI=MOE
(2) DM= MUA et DSI=MOE + MOA
(3) place de la MOA indéterminée.
Cet algorithme fait apparaître trois variantes d’une relation client-fournisseur entre la DSI et la DM et suggère ainsi une piste de nature relationnelle pour faire évoluer les formes de gouvernance de SI en les différenciant.
Quelles doctrines gouvernance de SI ?
Pour qui souhaite suivre cette évolution, il est avisé de faire un état des doctrines en gouvernance des systèmes d’information. Plus particulièrement, on s’intéresse aux définitions respectives de la gouvernance des systèmes d’information car elles en reflètent souvent l’essence. On sépare les doctrines avancées par les prescripteurs de celles effectivement mises en œuvre par les usagers de SI. On distingue également les doctrines locales des doctrines globales.
Le rapport du Cigref sur les référentiels de la DSI (4) a porté sur l’usage effectif de référentiels en 2009 dans un panel d’entreprises adhérentes au Cigref. Concernant la gouvernance des systèmes d’information, ce rapport désigne Cobit (« Control OBjectives for Information and related Technologies ») comme référentiel de gouvernance de SI.
Rappelons qu’il s’agit d’une collection de trente-quatre processus de gestion de système d’information publiée par l’ITGI (IT Governance Institute), un institut sponsorisé notamment par l’organisation internationale ISACA (Information Systems Audit and Control Association) dont le siège est au états-Unis et dont la branche française est l’Afai (Association française de l’audit et du conseil informatiques).
Ainsi, l’étude suggère pour la France une convergence entre une prescription globale particulière et l’usage. Si on lançait une enquête pour identifier la définition de la gouvernance de système d’information sur laquelle les entreprises françaises se retrouvent, il est probable que l’on recueillerait une grande majorité des suffrages pour convenir que la gouvernance est un « processus de management, fondé sur les bonnes pratiques, permettant à l’entreprise de diriger la fonction système d’information » : une définition avancée en 2005 par l’Institut de Gouvernance des Systèmes d’Information (IGSI) (5), un institut créé conjointement par le Cigref et l’Afai en 2004.
Sur le plan global, l’encyclopédie en ligne Wikipedia (6) cite outre la doctrine de l’ITGI deux autres courants de pensée, l’un emmené par les professeurs Peter Weill et Jeanne Ross (MIT), l’autre par l’Organisation internationale de normalisation (ISO).
L’ITGI propose une définition de la gouvernance qui met en avant des organes et des processus : « Leadership and organisational structures and processes that ensure that the organisation’s IT sustains and extends the organisation’s strategies and objectives. » (7).
Cette définition offre, sans surprise, une certaine parenté avec la définition de l’IGSI : « Management process based on best practices enabling the business to drive its IT function. » (8). Pour leur part, les professeurs Peter Weill et Jeanne Ross concentrent la gouvernance de système d’information sur les droits de décision et les responsabilités : « Decision rights and accountability framework for encouraging desirable behaviors in the use of IT.» (9). En revanche, l’ISO adopte un champ plus large que celui de l’ITGI, en incluant la stratégie de SI dans la gouvernance de SI : « It includes the strategy and policies for using ICT within an organisation. ») (10).
En associant aux trente-quatre processus des matrices RACI (Responsabilité – Autorité – Consulté – Informé), Cobit traite de la question des droits de décision et des responsabilités. Mais la définition du MIT se traduit par une perspective opérationnelle radicalement différente : pour leurs auteurs, une gouvernance de système d’information est en premier lieu définie par une famille de six « archétypes de gouvernance » (« IT governance archetypes ») (11) qu’ils ont désignés par des appellations telles que « monarchie de la DSI » (« IT Monarchy ») ou « fédéralisme » (« Federal »).
En 2002, le Cigref relevait qu’à « chaque fois que différents acteurs veulent exercer un pouvoir sur un système, ils évoquent la notion de gouvernance » (12). Considérant la structure de départ de Cobit en quatre familles de processus (« Plan and Organize », « Acquire and Implement », etc.) (13), on serait tenté de dire que l’ITGI voit ce système comme un ensemble de processus. En revanche, il semblerait plutôt que les professeurs Peter Weill et Jeanne Ross considèrent celui-ci comme un ensemble de relations de pouvoir.
Quelles gouvernance des relations SI
Deux chemins, l’un formel, l’autre expérimental, suggèrent qu’une perspective relationnelle de la gouvernance du système d’information pourrait bien être le levier pour faire évoluer les formes de gouvernance dont la mise en œuvre est orientée par les processus et repose sur une relation client-fournisseur indifférenciée.
Néanmoins, on dispose d’ores et déjà de typologies de relations client-fournisseur proposées par différents acteurs. L’étude du Cigref sur « L’information : prochain défi pour les entreprises » avance cinq « profils », mais confrontée au terrain, elle se réduit à trois « positionnements » de la fonction système d’information, désignés par « Technology Utility », « Service Center » et « Business Technology » (14).
Cette typologie peut être rapprochée logiquement des impératifs formulés par une étude Cigref-McKinsey réalisée en 2004 (15) pour évaluer l’efficacité d’une DSI : « résoudre le problème informatique », « optimiser les investissements informatiques » et « transformer l’entreprise à l’aide des SI ».
Du coté des pratiques anglo-saxones, l’eSourcing Capability Model (eSCM) énonce une famille de six « types of sourcing relationship » : « traditional, co-sourcing, joint-venture », etc. (16).
Pour notre part, nous avions détaillé pour un domaine particulier des systèmes d’information, celui des télécommunications pour entreprise, une typologie de trois modes contractuels : « souscription de services catalogue», « maîtrise d’une infrastructure privée virtuelle de services », « administration d’un Opérateur Privé Virtuel de services » (17). Citons également une typologie très fine qui a été formulée dans Best Practices Systèmes d’Information : « SI managérial, SI d’actionnaires, SI client/consommateur » (18).
Variantes relationnelles de la relation client-fournisseur, archétypes de gouvernance de SI, modes contractuels, positionnements de la fonction SI, profils de la fonction SI, types of sourcing relationships ce rapportent au finalement tous le même objet central, la relation entre la DSI et la direction métier. Encore peu développées ou utilisées, ces représentations sont sans doute le ferment d’une nouvelle génération de pratiques de gouvernance de SI orientées par les relations.
Cet article a été écrit par Tru Dô-Khac, consultant.
Notes
(1) Loi n°85-704 du 12 juillet 1985 relative à la maîtrise d’ouvrage publique et à ses rapports avec la maîtrise d’œuvre privée.
(2) « Parties prenantes du système d’information : pour un nouveau regard sur la maîtrise d’œuvre et la maîtrise d’ouvrage », Cigref, 2003.
(3) « Management des nouvelles technologies et e-transformation », par Michel Germain, éd. Economica, 2006.
(4) « Les référentiels de la DSI : état de l’art, usage et bonnes pratiques », Cigref, 2009.
(5) « Place de la gouvernance du système d’information dans la gouvernance générale de l’entreprise. équilibrer performance et conformité », 2005, IGSI.
(6) en.wikipedia.org, Information technology governance/definitions, 31 janvier 2009.
(7) « Board Briefing on IT Governance, 2nd Edition », IT Governance Institute, 2003.
(8) « The place of IT governance in the enterprise governance – balancing performance and conformance », 2005, IGSI.
(9) « Don’t just lead: govern. Implementing effective IT governance », Peter Weill, Richard Woodham, 2002, MIT CISR, page 1, 3.
(10) « IT governance standard », 2008, ISO.
(11) « IT governance on One Page », Peter Weill, Jeanne Ross, 2004, MIT CISR.
(12) « Gouvernance du SI, problématiques et démarches », Cigref, 2002.
(13) Cobit 4.1 Excerpt, IT Governance Institute, 1996-2007.
(14) « Global CIO report – Harnessing information value ; could you be a digital winner ? », Capgemini Consulting, déc. 2009.
(15) « Dynamique des relations autour des SI dans les équipes de direction des entreprises françaises », Cigref McKinsey, 2004.
(16) The eSCM-SP v2 – The eSourcing Capability Model for Service Providers, par Elaine B. Hyder, Keith M. Heston, Mark C. Paulk, ITsqc, Carnegie Mellon University, 2004.
(17) « L’externalisation des télécoms d’entreprise – L’Opérateur Privé Virtuel », Tru Dô-Khac, Hermes Lavoisier, 2005. « Stratégie de sourcing – l’approche contractuelle », Tru Dô-Khac, La Jaune et La Rouge, n° 618, 2006.
(18) Cf. éditorial du numéro 39, Best Practices Systèmes d’Information, page 1.