Dans le cadre d’une démarche Itil globale, le groupe Casino, vainqueur d’un Trophée itSMF 2010 (IT Service Management Forum), a mis en œuvre une gestion des risques associée à la gestion des changements pour fiabiliser et standardiser deux processus, la gestion des changements et la gestion des mises en production, amenés à interagir étroitement.
En 2003, la Direction des infrastructures et de la production de Casino Information Technology (CIT), filiale informatique du groupe Casino, a initié une démarche de déploiement des processus Itil. Les premiers processus mis en œuvre ont été la gestion des incidents et la gestion des changements.
À l’occasion du schéma directeur de 2006, l’entreprise a décidé de poursuivre cette démarche afin de mettre en œuvre l’ensemble des processus Itil. Dix processus sont d’ores et déjà déployés, dont six processus de support (gestion des incidents, gestion des problèmes, gestion des changements, gestion des mises en production, gestion des configurations, gestion de la capacité) et quatre processus de fourniture de service (gestion des demandes de service, gestion des niveaux de service, gestion de la continuité de service, gestion de la sécurité des SI).
Deux de ces processus, la gestion des changements et la gestion des mises en production, nécessitaient d’être optimisés. « Étroitement liés et intégrés à la gestion de projet de CIT, ces deux processus sont en effet amenés à interagir à plusieurs reprises, précise Stéphane Melot, responsable des opérations à la Direction des infrastructures et de la production de Casino IT.
Dès lors, une attention particulière est portée sur les interfaces entre nos différents processus afin d’en garantir la performance, en termes de charge et de délais. » Un projet visant à fiabiliser et à renforcer les interfaces entre ces deux processus a donc été mené. L’équipe de gestion des changements examine environ 900 changements non standard par an, dont 35 % sont réalisés le week-end.
Cette équipe, constituée de trois personnes, est chargée d’instruire ces changements, d’organiser les opérations, notamment celles du week-end, et de préparer les réunions du CAB (Change Advisory Board).
Ce comité a pour rôle d’effectuer l’arbitrage entre les demandes de changements non standard majeurs. Il se réunit toutes les semaines et est animé par un responsable des changements (Change Manager).
« Il réunit un représentant par équipe en charge des mises en productions, un représentant par direction métier (services études) ainsi que nos Service Managers, ces derniers étant en charge de la gestion des niveaux de service et de la relation avec nos clients », détaille Stéphane Melot.
Le processus de mise en production traite quant à lui 11 000 demandes par an et couvre tout le périmètre de la DIP. Ce processus a été décliné pour les différentes plateformes techniques et logicielles présentes dans le groupe et représentant les standards, afin d’en faciliter et d’en accélérer l’exécution.
Avant le projet, il existait quatre interfaces formalisées entre les deux processus. La principale était un formulaire dénommé FAIR (formulaire d’analyse d’impact et de risque), transmis par les responsables de la mise en production aux Change Managers.
Ce formulaire permettait d’évaluer la demande de changement en fournissant les éléments nécessaires à la prise de décision : analyse d’impact, mode opératoire envisagé, qualification du changement…
Les autres interfaces entre les deux processus étaient le document de préparation du CAB, le compte-rendu de ce même comité et enfin un bilan transmis par le responsable de la mise en production aux Change Managers après chaque changement.
Le constat : des interfaces insuffisantes qui pénalisaient l’exécution des processus.
À ce stade, l’instruction par les Change Managers n’était pas systématiquement reproductible et des différences apparaissaient entre les projets. Il n’existait pas de support standardisé à l’analyse, ce qui faisait qu’à l’issue de la phase d’instruction des changements le travail accompli par le Change Manager à partir des éléments fournis en entrée était mal compris des autres équipes.
Enfin, la durée moyenne des CAB, environ deux heures, était perçue comme trop longue. « La restitution de l’instruction par le Change Manager n’était pas suffisamment formalisée, rappelle Stéphane Melot. Enfin, les équipes manquaient d’autonomie sur la classification des demandes de mise en production. »
De manière globale, la Direction des infrastructures et de la production s’accordait sur la nécessité de gérer les risques de manière formalisée, ceux-ci étant une composante essentielle de leur métier d’exploitant.
Qu’il s’agisse d’analyser les risques d’opérer un changement, les risques à ne pas le faire en termes métiers, il était essentiel de formaliser et d’encadrer ces analyses dans le cadre des changements majeurs. Décision a donc été prise de standardiser et renforcer les interfaces entre les deux processus, en particulier au niveau de l’instruction des demandes de changements.
La mise en place d’une matrice des risques permettant d’évaluer les demandes de changements est rapidement apparue comme une solution à cet enjeu : cette matrice permettait de standardiser et de restituer l’instruction des changements par les Change Managers, tout en fournissant un livrable clair aux équipes chargées de la mise en production.
Le projet : un référentiel des risques liés aux changements et aux mises en production
En s’appuyant sur les constats et analyses effectués sur le terrain, renforcés par plusieurs audits menés depuis 2007, la Direction des infrastructures et de la production a décidé de bâtir son référentiel des risques liés aux changements, ce qui a permis de formaliser l’interface sortante entre la gestion des changements et la gestion des mises en production.
Pour ce projet, l’entreprise s’est reposée à la fois sur la norme ISO 27005 et sur la méthodologie Mehari, développée par le Clusif pour l’analyse des risques. Le projet avait quatre grands objectifs :
- évaluer les risques opérationnels liés à l’acte de mise en production et sur lesquels on peut agir, et les risques intrinsèques liés au contexte d’exécution du changement et sur lesquels on ne peut pas agir, dans le but de les minimiser ;
- réduire significativement la durée du CAB en orientant davantage les échanges sur l’analyse des risques et de l’impact plutôt que sur l’acte de mise en production ;
- standardiser les instructions effectuées par l’équipe en charge de la gestion du changement ;
- interfacer les processus de mise en production et de gestion du changement et créer ainsi une nouvelle synergie entre les équipes.
L’ensemble des changements instruits par les Change Managers étaient concernés, quels que soient les clients (internes au groupe Casino ou externes, tels que Monoprix, Franprix Leader Price…). Une matrice d’évaluation des risques liés aux changements a été développée par l’équipe de gestion des changements.
Cette matrice permet d’attribuer un score de risque en % pour les changements non standard (majeurs et/ou urgents). Elle fournit en outre une vision synthétique des risques résiduels qui leur sont associés. Sa mise en place a permis d’optimiser l’examen des changements majeurs lors des CAB, en mettant en évidence les changements risqués ou dont l’impact est important, ainsi que ceux dont la période d’exécution était critique pour le métier.
Elle a également facilité la prise de décision et la systématisation des mesures de réduction des risques dans le cadre de la conduite de l’amélioration continue.
Le score obtenu permet de donner un indicateur distancié sur l’état de préparation à la mise en production. Il est élaboré par la gestion du changement et destiné aux équipes chargées de la mise en production. Cette matrice permet d’évaluer de manière distincte les risques purement opérationnels et les risques intrinsèques.
En effet, il est bien plus aisé d’agir sur les premiers pour les réduire, mais le fait de regrouper les deux scores masquait ces facteurs de diminution du risque. « Au niveau des interfaces entre les deux processus, quelques adaptations ont été nécessaires, souligne Stéphane Melot.
Il a fallu notamment ajouter une activité « calcul de risque » tout en garantissant la performance de nos processus, revoir le mode de calcul et d’analyse des indicateurs de la gestion des changements et enfin prendre en compte les mesures de réduction des risques au niveau de la mise en production. » Les risques pris en compte pour la gestion des changements sont intégrés au référentiel des risques opérationnels global de la Direction des infrastructures et de la production.
Les résultats : des processus plus efficaces et une communication améliorée
Entre mars et juillet 2010, 195 scores ont été calculés. Actuellement, environ 60 scores sont calculés chaque mois. En se basant sur ces éléments, un premier bilan du projet a été réalisé. Grâce à la mise en œuvre des scores de risques, la phase d’instruction du processus de gestion des changements s’est standardisée de fait.
En effet, la liste des éléments nécessaire à l’instruction est désormais définie clairement et partagée par les différentes équipes. La durée moyenne des CAB est passée à une heure par semaine, contre deux précédemment, et les responsables des mises en production préparent mieux leurs changements. La matrice de risques permet en outre de réduire le nombre d’échanges nécessaires entre le responsable de la mise en production et le Change Manager avant l’arbitrage.
Enfin, les indicateurs de risque permettent d’établir de nouveaux axes d’analyse statistique, alimentant par là-même la démarche d’amélioration continue voulue par CIT. Parmi les nouveaux indicateurs figurent par exemple la répartition des bilans des changements en fonction des niveaux de risque, le nombre de changements par niveau de risque ou encore le ratio score de risque/nombre de changements non standard.
D’un point de vue humain, la communication entre les équipes a été améliorée et le rôle du processus de gestion des changements est désormais mieux toléré. Enfin, cela a permis d’introduire la culture du risque dans les équipes chargées de la production.
Les équipes de la Direction des infrastructures et de la production prévoient désormais de faire évoluer la solution de workflow grâce à laquelle ils gèrent les processus de gestion du changement et de gestion des mises en production afin d’y intégrer le calcul du risque et la production des indicateurs.