Des choix sont à faire sur les processus de réalisation des activités numériques retenues par l’entreprise, les normes à respecter.
1) Des normes, des référentiels généraux externes sont susceptibles d’être choisis pour la réalisation des activités numériques.
Les démarches définies s’appuient souvent sur les normes de la famille ISO 9000 (par exemple ISO 20000 pour la qualité des services informatiques). Certains clients de services externes demandent que de telles normes soient appliquées par le fournisseur de services.
La certification des activités numériques est envisageable. Pour certains clients, c’est un critère de choix des fournisseurs.
Le référentiel ITIL est souvent retenu pour la fourniture des services informatiques.
Des règles sont à définir, au niveau de l’entreprise ou de certains secteurs, pour la réalisation des activités numériques, par exemple sous la forme d’une charte informatique. Elles concernent les niveaux de décision, l’utilisation des ressources numériques (par exemple les droits d’accès aux données numériques), la sécurité, la protection de la confidentialité, l’utilisation des ressources numériques autres que celles de l’entreprise (notamment celle des équipements personnels des collaborateurs), celle des ressources de l’entreprise pour des besoins personnels, la surveillance des équipements, l’utilisation des smartphones lors des réunions sensibles…
Il est souvent utile de rappeler les obligations externes de l’entreprise dans le domaine du numérique (contenu des contrats, lois et règlements…), voire d’organiser des formations sur le sujet (par exemple sur le RGPD).
2) Dans les grandes entreprises, des processus communs pour la réalisation des activités numériques permettent de capitaliser l’expérience, d’expliciter les règles, les normes internes à respecter. Une normalisation des concepts favorise la compréhension entre les différents acteurs, les mutations de personnels, les contrôles.
Si de tels processus sont définis, leur application est obligatoire ou facultative. Si des normes, des standards internes définis pour l’entreprise sont à imposer à l’ensemble des professionnels du numérique, l’autorité qui les définit doit avoir les pouvoirs, la légitimité, nécessaires, ainsi que les ressources pour contrôler leur application.
Une alternative est qu’une entité examine les différents processus existants, donne son avis, suggère des améliorations, des réutilisations possibles.
3) Si les processus sont complexes, il est souhaitable qu’ils soient documentés. Ceci permet de définir avec précision les livrables attendus, les tâches obligatoires, de faciliter la communication à l'intérieur des équipes, avec les donneurs d'ordres. La documentation de base décrit les démarches, les règles à appliquer, les outils numériques mis à disposition, leur mode d’emploi, suggère des façons de procéder. Elle doit inclure les aspects relatifs à la qualité, à la sécurité.
Il est également souhaitable que les professionnels disposent d’un support numérique accessible sur les modalités de réalisation de leurs activités, qui sert de base aux formations, contient les réponses aux questions qu’ils se posent. Cette documentation est particulièrement importante pour les activités réalisées peu fréquemment, comme la mise en œuvre des plans de secours, ou pour les activités à la charge des donneurs d’ordres, des utilisateurs. Elle sert aussi de référence aux contrôles réalisés dans ce domaine.
Elle inclut les coordonnées des experts qu'il est possible de consulter, les retours d'expérience, les remarques de réalisateurs.
Des choix sont à faire sur l’accès des réalisateurs des activités numériques aux documents définissant les engagements pris par l’entreprise, par exemple les contrats de services, les documents qualité.
Le réalisateur doit pouvoir trouver aisément l’information dont il a besoin quand il en a besoin. Des dispositifs de contrôle d’accès sont à prévoir pour les informations à diffusion restreinte.
4) Des besoins, des spécifications sont à définir pour les résultats attendus des processus, leurs conditions de réalisation.
Des études d’impact technique sont à réaliser s’il y a lieu, notamment pour la maintenance/évolution : une modification apparemment mineure est susceptible d’avoir des effets très importants.
5) Les choix à faire sur la mise en œuvre d’une démarche qualité présentent des particularités pour les processus de réalisation des activités numériques.
Compte tenu de la complexité du numérique, des démarches de spécification adaptées sont à définir, avec dans certains cas des indicateurs objectifs de respect des exigences.
Dans le domaine du numérique, le contrôle qualité a posteriori, quand il est possible, demande souvent des charges de travail considérables, pour des résultats pas toujours suffisants. Il est en général trop tardif. L’accent doit de ce fait être mis sur l’assurance qualité : explicitation des procédures de réalisation des activités, vérification de leur respect, contrôles en amont… La charge prévue pour les revues, contrôles, tests, audits, doit être en rapport avec les niveaux de qualité attendus.
Les systèmes critiques, dont l’architecture est souvent complexe, doivent faire l’objet de contrôles et de tests particulièrement approfondis.
Pour les opérations importantes, l’établissement d’un Plan d'Assurance Qualité est classiquement souhaité. Les donneurs d’ordres demandent parfois que les réalisateurs leur présentent les dispositions qu'ils prévoient pour respecter leurs engagements. Des exigences de prédictibilité sont susceptibles d’être définies, telles que la nécessité de prouver que la conformité aux spécifications est garantie.
Les résultats des contrôles qualité effectués par le réalisateur sont susceptibles d'être demandés.
Des exigences précises sont parfois définies pour les conditions de réalisation de certaines activités : analyse des risques, traitement des maintenances urgentes, définition des versions, surveillance, sauvegardes des données, des logiciels, réalisation d'exercices de secours...
6) Des outils numériques communs aux réalisateurs de différentes activités sont susceptibles d'être mis en place, permettant la gestion de la documentation, celle des anomalies, l'établissement de statistiques...
7) Des choix sont à faire sur la déclinaison des exigences de sécurité dans les processus de réalisation des activités numériques. Ils portent par exemple sur l’évaluation des risques, la prise en compte de la sécurité dès le niveau de la conception (security by design…), la définition des fonctions de sécurité à retenir (traçabilité, contrôles, sauvegardes…), les audits de sécurité, la vérification de la cohérence des protections numériques au niveau de l’entreprise.…
Ils incluent la définition de règles, d’actions obligatoires. Il importe que les utilisateurs soient sensibilisés à la sécurité, à la protection des informations, des droits liés au numérique.
Aucun commentaire:
Enregistrer un commentaire