Des choix sont à faire sur les processus de réalisation des activités numériques, les normes, les règles à respecter.
Les choix de processus concernent les tâches à réaliser, leur enchaînement, les outils à mettre en œuvre…
Les résultats attendus sont parfois très complexes. Leurs spécifications sont difficiles à définir. Des démarches, des processus adaptés sont à retenir pour maîtriser cette complexité : cycles de développement, méthodes, documentation, modélisation, outillage informatique des méthodes, permettant de concevoir, réaliser et gérer des objets nombreux, des couplages nombreux, maîtrise des opérations réalisées (traçabilité, conservation d’états antérieurs), mise en œuvre de contrôles à tous les stades importants des processus (par exemple relecture de dossiers de conception, inspection de code), définition de stratégies de tests adaptées.
1) Des normes, des référentiels généraux externes sont susceptibles d’être choisis pour la réalisation des activités numériques.
Les démarches définies s’appuient souvent sur les normes de la famille ISO 9000 (par exemple ISO 20000 pour la qualité des services informatiques). Certains clients de services externes demandent que de telles normes soient appliquées par le fournisseur de services.
La certification des activités numériques est envisageable. Pour certains clients, c’est un critère de choix des fournisseurs.
Le référentiel ITIL est souvent retenu pour la fourniture des services informatiques.
2) Des règles sont à définir, au niveau de l’entreprise ou de certains secteurs, pour la réalisation des activités numériques, par exemple sous la forme d’une charte informatique. Elles concernent les niveaux de décision, l’utilisation des ressources numériques (par exemple les droits d’accès aux données numériques), les achats de produits et services (éviter le shadow IT…), la sécurité, la protection de la confidentialité, l’utilisation des ressources numériques autres que celles de l’entreprise (notamment celle des équipements personnels des collaborateurs), celle des ressources de l’entreprise pour des besoins personnels, la surveillance des équipements, l’utilisation des smartphones lors des réunions sensibles…
Des modalités de contrôle de leur respect sont à prévoir.
Il est souvent utile de rappeler les obligations externes de l’entreprise dans le domaine du numérique (contenu des contrats, lois et règlements…), voire d’organiser des formations sur le sujet (par exemple sur le RGPD).
3) Dans les grandes entreprises, des processus communs pour la réalisation des activités numériques permettent de capitaliser l’expérience, d’expliciter les règles, les normes internes à respecter. Une normalisation des concepts favorise la compréhension entre les différents acteurs, les mutations de personnels, les contrôles.
Si de tels processus sont définis, leur application est obligatoire ou facultative. Si des normes, des standards internes définis pour l’entreprise sont à imposer à l’ensemble des professionnels du numérique, l’autorité qui les définit doit avoir les pouvoirs, la légitimité, nécessaires, ainsi que les ressources pour contrôler leur application.
Une alternative est qu’une entité examine les différents processus existants, donne son avis, suggère des améliorations, des réutilisations possibles.
4) Il est souhaitable que les processus soient documentés. Ceci permet de définir avec précision les livrables attendus, les tâches obligatoires, de faciliter la communication à l'intérieur des équipes, avec les donneurs d'ordres, d’expliciter les meilleures pratiques. La documentation de base décrit les démarches, les règles à appliquer, les outils numériques mis à disposition, leur mode d’emploi, suggère des façons de procéder. Elle doit inclure les aspects relatifs à la qualité, à la sécurité.
Il est également souhaitable que les professionnels disposent d’un support numérique accessible sur les modalités de réalisation de leurs activités, qui sert de base aux formations, contient les réponses aux questions qu’ils se posent. Cette documentation est particulièrement importante pour les activités réalisées peu fréquemment, comme la mise en œuvre des plans de secours, ou pour les activités à la charge des donneurs d’ordres, des utilisateurs. Elle sert aussi de référence aux contrôles réalisés dans ce domaine.
Elle inclut les coordonnées des experts qu'il est possible de consulter, les retours d'expérience, les remarques de réalisateurs.
Des choix sont à faire sur l’accès des réalisateurs des activités numériques aux documents définissant les engagements pris par l’entreprise, par exemple les contrats de services, les documents qualité.
Le réalisateur doit pouvoir trouver aisément l’information dont il a besoin quand il en a besoin. Des dispositifs de contrôle d’accès sont à prévoir pour les informations à diffusion restreinte.
5) Les choix à faire sur la mise en œuvre d’une démarche qualité présentent des particularités pour les processus de réalisation des activités numériques.
Compte tenu de la complexité du numérique, des démarches de spécification adaptées sont à définir, avec dans certains cas des indicateurs objectifs de respect des exigences.
Dans le domaine du numérique, le contrôle qualité a posteriori, quand il est possible, demande souvent des charges de travail considérables, pour des résultats pas toujours suffisants. Il est en général trop tardif. L’accent doit de ce fait être mis sur l’assurance qualité : explicitation des procédures de réalisation des activités, vérification de leur respect, contrôles en amont… La charge prévue pour les revues, contrôles, tests, audits, doit être en rapport avec les niveaux de qualité attendus.
Les systèmes critiques, dont l’architecture est souvent complexe, doivent faire l’objet de contrôles et de tests particulièrement approfondis.
Pour les opérations importantes, l’établissement d’un Plan d'Assurance Qualité est classiquement souhaité. Les donneurs d’ordres demandent parfois que les réalisateurs leur présentent les dispositions qu'ils prévoient pour respecter leurs engagements. Des exigences de prédictibilité sont susceptibles d’être définies, telles que la nécessité de prouver que la conformité aux spécifications est garantie.
Les résultats des contrôles qualité effectués par le réalisateur sont susceptibles d'être demandés.
Des exigences précises sont parfois définies pour les conditions de réalisation de certaines activités : analyse des risques, traitement des maintenances urgentes, définition des versions, surveillance, sauvegardes des données, des logiciels, réalisation d'exercices de secours...
6) Autant que faire se peut, les processus doivent être outillés, automatisés. Les architectures doivent comporter les fonctions numériques nécessaires, en local et accessibles à distance.
Des outils numériques communs aux réalisateurs de différentes activités sont susceptibles d'être mis en place, permettant la gestion de la documentation, celle des anomalies, l'établissement de statistiques...
7) Des choix sont à faire sur la déclinaison des exigences de sécurité dans les processus de réalisation des activités numériques. Ils portent par exemple sur l’évaluation des risques, la prise en compte de la sécurité dès le niveau de la conception (security by design…), la définition des fonctions de sécurité à retenir (traçabilité, contrôles, sauvegardes…), les audits de sécurité, la vérification de la cohérence des protections numériques au niveau de l’entreprise.…
Ils incluent la définition de règles, d’actions obligatoires. Il importe que les utilisateurs soient sensibilisés à la sécurité, à la protection des informations, des droits liés au numérique. Le shadow IT, par exemple, présente souvent des risques au regard de la cybersécurité, de la protection de la propriété intellectuelle.
Aucun commentaire:
Enregistrer un commentaire