Evaluation de la qualité des processus informatiques en petites et moyennes entreprises méthode noemi

Evaluation de la qualité des processus informatiques en petites et moyennes entreprises : méthode NOEMI
Bernard DI RENZO, Matthieu FARCOT et Christophe FELTUS
Evaluation de la qualité des processus informatiques
en petites et moyennes entreprises : méthode NOEMI
Bernard DI RENZO Matthieu FARCOT Christophe FELTUS
Responsable d’unité Doctorant en Sciences Economiques,
Université Louis Pasteur, Strasbourg
Gestionnaire de projets
Centre de Recherche Public Henri Tudor, 29 Avenue John F.Kennedy, L-1855 Luxembourg-Kirchberg
Grand-Duché de Luxembourg
{nom.prénom}@tudor.lu
Résumé
Cet article traite de la problématique d’appréhender le niveau de maturité1
des PME et TPE et de lier ce niveau aux
questions suivantes. La réalité de leurs SI d’information peut-elle être appréhendée au travers d’une approche
d’évaluation de la maturité ? Quelle peut être la finesse et la profondeur d’une telle approche ?
Le Centre Henri Tudor a développé une méthode originale d’évaluation des processus informatiques spécialement dédiée
à être utilisée en PME et TPE. Basée sur ISO/IEC 15504 (SPICE) et IT Infrastructure Library (ITIL), elle comprend un
modèle de maturité et un modèle de processus visant à couvrir la totalité des activités informatiques usuelles dans les
petites organisations.
Dix PME/TPE ont été évaluées avec notre méthode, mettant en évidence de nombreuses faiblesses mais également des
opportunités d’améliorations en rapport avec leurs niveaux de maturité respectifs. Au-delà de l’intérêt direct pour les
entreprises évaluées, notre méthode vise à l’élaboration d’une base de profils de maturité des PME/TPE.
Mots clefs
Méthode d’évaluation, modèle de maturité, modèle d’aptitude, PME, programme d’amélioration, processus
informatique, pratiques informatiques.
Abstract
This article relates the determination of the maturity of the SME’s. What is the maturity level of the SME’s? What could
be the accuracy of such an approach?
We have developed a new IT process assessment method for use in SME’s. Based on ISO/IEC 15504 and ITIL, it contains
a maturity model and a process model aiming to cover all the most usual SME’s IT practices.
Ten SME’s have been assessed with our method highlighting numerous weaknesses but also improvement opportunities
related to their respective maturity levels. Overall our method aims to collect a maturity profile base of the SME’s.
Key-words
Assessment method, capability model, maturity model, SME, improvement program, IT process, IT practices.
1
Faculté (d’un processus) à atteindre un but exigé

Introduction
Les départements informatiques de la plupart des entreprises de la place sont désireux d’entreprendre, s’ils ne l’ont déjà
fait, des démarches d’amélioration de leurs pratiques, intégrant pour ce faire, dans le système de management de leurs
systèmes d’information (SI), des méthodes et référentiels éprouvés. Bon nombre de ces outils de management par la
qualité des SI mettent un accent important sur la maturité – ou l’aptitude – des processus informatiques qui sous-tendent et
supportent les SI.
Notre expérience met cependant en évidence deux principaux facteurs de limitation à ce type d’outils méthodologiques.
D’une part, la difficulté et le manque de méthode générique de mise en œuvre les réservent, la plupart du temps, aux
grandes sociétés qui disposent des moyens financiers et humains ad hoc. Et, d’autre part, le manque d’intégration entre les
différentes disciplines des départements informatiques – notamment entre le développement et l’exploitation – reste un
point critique, généralement pris en compte que de manière lacunaire dans les démarches d’amélioration. En particulier,
les petites et moyennes entreprises (PME) ainsi que les très petites entreprises (TPE) sont les premières à pâtir de ces
limitations, mettant en évidence la difficulté d’appréhender en profondeur leurs niveaux de maturité informatique. Quelle
est le niveau de maturité informatique des PME et des TPE ? La réalité de leurs SI d’information peut-elle être
appréhender au travers d’une approche d’évaluation de la maturité ? Quelle peut être la finesse et la profondeur d’une telle
approche ?
Nous avons tenté d’apporter un élément de réponse à cette problématique en développant un outil méthodologique,
capable d’appréhender la maturité informatique des PME/TPE : la méthode d’évaluation NOEMI (Di Renzo B. et Feltus
C., 2003). La principale originalité de cette méthode est d’être basée sur une utilisation conjointe de la norme
internationale ISO/IEC 15504 (AFNOR, 1998), du standard ITIL (IT Infrastructure Library, OGC, 2000) et d’autres
normes relatives à la sécurité informatique. En se fondant sur des référentiels éprouvés, nous avons veillé à positionner
notre méthode au-delà d’un simple service à destination des PME/TPE, en permettant la création d’une base de profils de
maturité informatique de ces catégories d’entreprises.
Dans sa première partie, cette publication présente succinctement la méthode d’évaluation que nous avons développée.
Nous exposons ensuite, sous forme d’étude de cas, les premiers résultats agrégés qui en résultent en terme de maturité
d’un échantillon de dix PME/TPE, échantillon qui au moment de l’étude représentait l’ensemble de la population ayant un
lien avec le projet.
1 Méthode d’évaluation
La méthode d’évaluation NOEMI a été développée par le Centre Henri Tudor dans le cadre d’un projet de recherche, pour
être utilisée dans des PME/TPE. Elle a un double objectif : d’une part, contribuer à une meilleure perception de la maturité
des PME/TPE ; et, d’autre part, être un outil méthodologique pour l’amélioration des SI de ces entreprises. En outre, la
neutralité de la méthode, sa répétabilité, son caractère public et ses bases solides peuvent en faire un facteur de succès de
l’externalisation (Fimbel, 2003) ou un outil de benchmarking.
La méthode d’évaluation vise à couvrir l’entièreté des activités informatiques usuelles rencontrées dans les PME/TPE.
Pour ce faire une structuration originale de la fonction informatique a été opérée en cinq domaines, en se basant sur les
standards existants tels que ISO/IEC 15504, ITIL, et d’autres normes relatives à la sécurité informatique (OGC, ITIL –
Security Management, 2002 ; ISO/IEC WD 18028). Par ailleurs, des standards de gestion de la qualité apportent
également des informations supplémentaires qui complètent le portefeuille de processus (EFQM Excellence Model ;
Capability Maturity Model for Software ; SPIRE). Afin de respecter les objectifs de l’évaluation, une adaptation de ces
normes a été rigoureusement opérée.
La méthode se compose de trois éléments : un modèle de processus, un modèle de maturité, et un processus d’évaluation.
1.1 Bases méthodologiques
La norme internationale ISO/IEC 15504 propose un cadre pour l’évaluation des processus logiciel. En tant qu’approche
standardisée, elle fournit une méthodologie partagée d’évaluation et la compréhension d’un portefeuille de processus
logiciels. Le processus d’évaluation réalisé par ce standard vise 2 objectifs principaux : l’amélioration des processus et la
détermination du niveau de maturité. Bien que la norme ISO/IEC 15504 soit considérée de nos jours comme un orientée
logiciel, il est à noter qu’elle est appropriée pour être utilisée dans d’autres contextes d’évaluation de processus. C’est
d’ailleurs là l’orientation que prend résolument sa nouvelle version. La méthodologie d’évaluation NOEMI est
directement inspirée du standard ISO/IEC 15504 et est adaptée pour être utilisée en PME/TPE.

Apparu fin des années 1980 en Angleterre, l’« IT Infrastructure Library » (ITIL) est une bibliothèque publique qui se
focalise sur la gestion des services informatiques (IT Services Management – ITSM). ITIL est aujourd’hui reconnu
comme un standard de facto pour la fourniture de service de très haute qualité. Les principaux volumes de ce standard
concernent les domaines du « Service Support » et du « Service Delivery ». Ces deux domaines sont organisés en un
ensemble exhaustif de processus. Le « Service Support » couvre la gestion des incidents, la gestion des problèmes, la
gestion des configurations, la gestion des versions et la gestion des changements. Le « Services Delivery » couvre la
gestion des capacités, la gestion des disponibilités, la gestion financière des services informatiques, la continuité des
services informatiques et la gestion du niveau des services. ITIL a clairement une approche axée sur les bonnes pratiques
et encourage l’amélioration continue de la qualité.
L’une des principales originalités de la méthode d’évaluation est l’utilisation conjointe de la norme ISO/IEC 15504 et du
standard ITIL dans une volonté de couverture complète des activités informatiques des PME/TPE (Barafort.B., Di Renzo
B. et Merlan O., 2002).
En plus de ITIL, les standards ISO/IEC 18028 et ISO/IEC JTC1/SC27/WG1 sont également considérés pour la partie
sécurité. Des résultats d’autres projets du Centre de recherche public Henri Tudor apportent également une vue
complémentaire à la méthode (Barafort B., Hendrick A., 1998).
1.2 Modèle de processus
Afin d’obtenir une couverture holistique de la fonction informatique des PME/TPE, l’approche processus a été retenue.
De manière générique, ceux-ci sont définis en terme de résultats attendus, d’entrées, d’activités, de sorties et de documents
de travail (ISO/IEC 15504).
Les processus eux-même sont regroupés dans cinq domaines en fonction de leurs finalités et de leurs relations avec la
valeur ajoutée pour les métiers des PME/TPE (voir table 1). En gradation avec cette dernière, trois domaines sont définis :
l’infrastructure (INF), le support (SUP) et le management (MAN). Deux autres domaines sont définis de manière
transversale aux trois premiers avec, en conséquence, une valeur métier moyenne : la sécurité (SEC) et la documentation
(DOC).
Les processus du domaine INF sont basés sur des bonnes pratiques collectées dans les nombreux standards et ouvrages en
la matière (OGC, 2000-2002 ; Lyke H. et Cottone, 2000). Malgré une faible contribution en terme de valeur ajoutée au
métier de la PME/TPE, ils sont indispensables pour permettre aux domaines supérieurs (SUP et MAN) d’apporter toutes
leurs propres valeurs ajoutées au métier de l’entreprise. Le domaine SUP se base directement sur les cinq processus ITIL
de la discipline Service Support (OGC, 2000). Il s’appuie sur le domaine INF et étaye le domaine MAN. Le domaine SUP
apporte une valeur ajoutée moyenne au métier de la PME/TPE. Le domaine MAN considère les processus de management
les plus usuels pour les PME/TPE. Il se base sur une synthèse de standards et d’ouvrages en la matière (OGC, 2000 ;
Sturm & al., 2000 ). Sa valeur ajoutée au métier de la PME/TPE est forte mais dépend fortement des niveaux de maturité
des domaines INF et SUP. Afin de s’aligner sur la compréhension qu’en ont généralement les PME/TPE, le domaine SEC
se focalise essentiellement sur des processus basiques et pragmatiques et comporte une composante transversale par
rapport aux domaines INF, SUP et MAN. Le domaine DOC se compose d’un processus unique qui se décline de manière
matricielle sur les 4 autres domaines (ISO/IEC 15504).

Table 1: Modèle structuré de processus
1.3 Modèle de maturité
Le standard international ISO/IEC 15504 définit un modèle de maturité sur 6 niveaux : 0-incomplet, 1-réalisé, 2-géré, 3-
établi, 4-prévisible, 5-en optimisation.
Sur la base de l’expérience développée au sein du Centre de Recherche Henri Tudor en matière d’évaluation informatique
des PME/TPE, il est constaté que la majorité des PME luxembourgeoises rencontrées sont à un niveau de maturité
compris entre le niveau 0-incomplet et 1-réalisé. L’écart entre ces niveaux 0-incomplet et 1-réalisé définis dans ISO/IEC
15504 apparaît donc trop profond pour être utilisé dans le contexte des PME avec une précision suffisante.
Le modèle de maturité NOEMI est directement dérivé du standard ISO/IEC 15504 par une adaptation ad hoc afin d’être en
phase avec la réalité des PME considérées. Des niveaux additionnels ont été définis entre les niveaux 0-incomplet et 1-
réalisé (voir table 2).

Table 2: Modèle de maturité
Le modèle de maturité NOEMI comprend des niveaux intermédiaires avant d’atteindre le niveau 1-réalisé de la norme
ISO/IEC 15504, ce qui permet une quantification plus fine de la maturité des PME par rapport à leurs processus
informatiques. A chacun de ces niveaux correspond une couleur afin de permettre une compréhension intuitive des
personnes n’ayant pas connaissance du modèle. Les couleurs utilisées, relativement à un niveau de maturité croissant, sont
« noir », « rouge », « orange » et « vert ».
Le profil de maturité est déterminé au niveau des domaines et non, comme dans le cas de la norme ISO/IEC 15504, au
niveau des processus. L’objectif de cette adaptation est d’obtenir la même couverture en terme d’évaluation pour chaque
PME/TPE et donc, de déterminer un profil de maturité pour chacune d’elles basé sur les cinq domaines de processus.
Cette approche pragmatique permet ainsi une comparaison aisée entre les PME/TPE par rapport à la structuration de la
fonction informatique définie. Pour ce faire, tous les processus d’un domaine sont évalués sur base de l’atteinte de leurs
résultats attendus, de leurs activités et de leurs documents de travail. Ces résultats sont alors agrégés, avec un poids relatif
pour chaque processus, au niveau du domaine pour en définir le niveau de maturité.
1.4 Processus d’évaluation
Le processus d’évaluation lui-même est également dérivé du standard ISO/IEC 15504. La figure 1 le formalise sous forme
d’un diagramme d’activité UML.
Les cinq domaines de processus sont systématiquement évalués au travers des documents collectés et d’entretiens avec
cinq personnes représentatives de la PME/TPE : un dirigeant, la personne ayant la charge opérationnelle de
l’informatique, et trois utilisateurs.
Le rapport d’évaluation est réalisé selon un modèle basé sur le modèle de processus avec un chapitre dédié à chaque
domaine de processus et une conclusion. Pour chaque domaine, une synthèse résume les forces et faiblesses de l’analyse
détaillée, et des recommandations d’amélioration sont proposées. La conclusion présente le tableau consolidé des forces et
faiblesses, le profil de maturité commenté de la PME, et un synopsis de programme d’amélioration basé sur l’urgence et
l’importance.
2 Retour d’expérience
2.1 Contexte d'évaluation
Dix PME/TPE ont été évaluées avec notre méthode. Il est important de noter qu'il ne fut pas rencontré, pendant cette
évaluation, de réels professionnels du secteur IT, un constat lié à la taille des infrastructures considérées. En effet, avec en
moyenne 31 postes informatiques, quelques serveurs et quelques logiciels spécifiques aux activités de la PME (voir table
3), la taille de chacun des parcs informatiques peuvent difficilement justifier l'existence d'un poste dédié à temps plein.

Table 3: Infrastructure informatique des PME évaluées
2.2 Réactivité des PME
Les entreprises évaluées purent, avant même la publication du rapport d'évaluation final, améliorer de façon notable leurs
infrastructures IT. Ceci entraîna une série d'actions corrigeant certains manques flagrants.
Par exemple, une PME ne disposait pas d'un inventaire à jour, et entre le temps de la réalisation de l'évaluation et la
publication du rapport, corrigea cette lacune. Une autre, qui ne disposait d'aucune protection anti-virus sur ses serveurs,
n'eut pas à attendre notre rapport final pour corriger ce manque.

Evaluateur:
Animer la réunion de lancement
Interviewer
Présenter le rapport d'évaluation
Organiser la réunion de lancement
Planifier les activités
Transmettre le rapport final
Rédaction du rapport d'évaluation
Analyser les documents
Effectuer une synthèse et émettre des recommandations
Effectuer une analyse globale des forces et faiblesses
Déduire un profil de maturité
Proposer un programme d'amélioration
Effectuer l'analyse détaillée
Responsable informatique de la PME:
<<description>>
Si nécessaire, des amendements
sont négociés entre l'évaluateur
et les personnes chargées de la
tâche "revue et validation".
Fournir les documents
Etre interviewé
Revoir et valider le rapport d'évaluation
Désigner les utilisateurs à interwiewer
Participer à la réunion de lancement
Chargé opérationnel de l'informatique:
Fournir des documents
Etre interviewé
Utilisateur:
Etre interviewé
<<description>>
Il y a trois utilisateurs, qui ont tous les trois le
même rôle. La colonne ci-dessous décrit le
travail d'un des trois.
Etre interviewé
Animer la réunion de lancement
Interviewer
Présenter le rapport d'évaluation
Organiser la réunion de lancement
Rédaction du rapport d'évaluation
Effectuer une synthèse et émettre des recommandations
Effectuer une analyse globale des forces et faiblesses
Déduire un profil de maturité
Proposer un programme d'amélioration
<<description>>
Si nécessaire, des amendements
sont négociés entre l'évaluateur
et les personnes chargées de la
tâche "revue et validation".
Fournir les documents
Etre interviewé
Désigner les utilisateurs à interwiewer
Effectuer l'analyse détaillée
Planifier les activités
Analyser les documents
Fournir des documents
Etre interviewé
Transmettre le rapport final
Figure 1: Processus d’évaluation
2.3 Profilage individuel de maturité
La table 4 donne les niveaux de maturité des dix entreprises évaluées, ainsi que la moyenne et l’écart type, en fonction du
modèle de processus défini (voir table 1). Quelles réflexions pouvons-nous en tirer ?
Au niveau du domaine INF, les tailles relativement homogènes des PME considérées font que celles-ci présentent dans
l'ensemble de nombreuses similarités. Avec un bon niveau moyen de maturité (2,3), le domaine INF représente
indéniablement la principale force des dix entreprises évaluées. Cependant, l'appréhension du domaine INF se limite trop
souvent à une première gestion simple – nécessaire mais insuffisante – des matériels et logiciels informatiques : manque
d’optimisation, hétérogénéité... Ceci traduit une volonté claire de prendre en main l’infrastructure informatique, mais sans
toutefois posséder les compétences ad hoc.
Malgré son niveau moyen de maturité intermédiaire (1,8), le domaine MAN ne présente que rarement (20% des cas) de
lacune grave sur l’échantillon des dix entreprises évaluées. Cette constatation nous a semblé cohérente avec le leadership
métier exercé au niveau du management de l’informatique (Henderson J.C., Venkatraman N., 1993). En effet, les
personnes qui ont la responsabilité managériale de l’informatique assument aussi une responsabilité métier dans les dix
entreprises évaluées.

Quatre des dix entreprises évaluées ont des faiblesses graves dans le domaine SUP. Aucune n’atteint le niveau 3. Les
activités de ce domaine se limitent trop souvent à la résolution des incidents (ITIL) au cas par cas, avec une absence
notable de démarche pro-active Deux facteurs peuvent expliquer cela : d’une part, la difficulté du support en raison des
limites du domaine INF ; et, d’autre part, le manque de considération des besoins des utilisateurs en matière de support.
Les investissements dans le domaine DOC (1,2) restent bien souvent sous-évalués, voir absents. Cette lacune importante
dans neuf des dix entreprises représente un risque réel. La documentation est l’élément le plus faible de l'évaluation, en
moyenne sur l'échantillon. La documentation existante est limitée à un inventaire aléatoirement tenu à jour, quelques
contrats de maintenance, et l'archivage des factures d'achat des logiciels.
Encore plus inquiétant, le domaine SEC (1,5) présente des lacunes graves dans la moitié de l’échantillon. Cette
constatation traduit le manque évident de sensibilisation à la problématique de la sécurité des SI à tous les niveaux des
PME/TPE. Cette faiblesse générale en sécurité représente globalement un risque important pour les entreprises évaluées.
De plus, il est un facteur sévère de risque dans le déploiement de solutions e-business dans ces entreprises.
Table 4: Profils de maturité des PME évaluées
2.4 Principaux axes d’amélioration
Ce chapitre présente les recommandations les plus fréquentes effectuées auprès des PME dans le cadre des évaluations
réalisées.
2.4.1 Domaine management (MAN)
Plusieurs recommandations furent faites au sein des PME/TPE dans ce domaine.
2.4.1.1 Améliorations de la gestion de projet (PJT)
Bien que la gestion de projet soit une des principales clés pour maximiser les retours sur investissements, de nombreuses
lacunes dans ce domaine ont été remarquées, dont :
1 – La délégation de la sélection et de la décision d'achat des outils logiciels directement auprès des utilisateurs ;
2 – L’imposition de contraintes temporelles trop restrictives au chef de projet l'empêchant de bien réaliser son travail ;
3 – L'absence de formation pour le chef de projet, ce qui ne permet pas d'établir une adéquation avec les besoins réels des
utilisateurs.
L'enrichissement des connaissances en matière de gestion de projet est la recommandation principale en ce qui concerne
l'amélioration des méthodes managériales. Cette recommandation se retrouvait pour l'ensemble des PME évaluées.
2.4.1.2 Amélioration de la gestion financière (FIN)
Plusieurs faiblesses furent observées dans le domaine de la gestion financière :
1 – Absence d'élaboration d'un budget informatique ;
2 – Manque de visibilité à long terme ;
3 – Gestion au coup par coup des besoins.
Les entreprises évaluées eurent rarement conscience des coûts financiers dus à la perte de productivité suite à une
mauvaise planification financière ou liée aux incidents. Ces coûts peuvent représenter des pertes plus importantes que le
coût de l'infrastructure informatique. La recommandation fut donc clairement d'améliorer la gestion financière.
2.4.1.3 Amélioration de la gestion des acquisitions (ACQ)
La gestion des acquisitions n'est pas une pratique établie au sein des entreprises évaluées.

Parmi les difficultés rencontrées dans ce processus, en voici deux intéressantes :
1 – Lors de l'acquisition de leurs logiciels métier, certaines PME sous-estimèrent les coûts d'implémentation. Une sous-
estimation qui entraîne, plusieurs années suivant l'acquisition, l'absence de mise en production complète de la solution
logicielle acquise;
2 – Une PME se rendit aussi compte après achat que le logiciel ne correspondait pas exactement à ses besoins.
En conséquence, le rapport d'évaluation préconisa d'établir une politique d'acquisition claire, incluant des informations
comme l'élaboration d'un guide d'acquisition et la fréquence d'achat de nouveau matériel(s) et/ou systèmes d’exploitation.
En ce qui concerne l'achat de solutions logicielles, la préconisation est d'améliorer le savoir-faire des chefs de projet
notamment via leur formation.
2.4.2 Domaine support (SUP)
Plusieurs recommandations furent réalisées dans ce domaine à chaque PME/TPE.
2.4.2.1 Etablir un service desk reconnu et accessible (INC et PRB)
La gestion des incidents est la mission principale mission du help desk. Son objectif est de rétablir le bon fonctionnement
de l'outil informatique le plus rapidement possible en cas de dysfonctionnement. Dans chacune des entreprises, un service
minimum existait. Réalisé en général par un ou deux utilisateurs avertis, ces activités étaient considérées comme une tâche
secondaire pour eux. En cas d'incidents, les utilisateurs essayaient généralement de résoudre eux-même le problème.
La mise en place d'un help desk reconnu fut une des recommandations émises, incluant la mise en place des moyens
adéquats (financiers, temporels, formations...).
2.4.2.2 Etablissement d'un programme de réduction des incidents (INC)
Au sein des entreprises évaluées, l'estimation du nombre d'incidents par mois et par utilisateurs varièrent beaucoup selon
que l'estimation se fasse par les utilisateurs finaux ou la personne chargée de leur résolution.
Les recommandations se composèrent, d'une part, à essayer de limiter le nombre d'incidents à 2 à 5 par mois et par
utilisateur, et de l'autre, de mettre en place une politique de support de type "pro-active" en cherchant une solution à la
cause du problème (ITIL)
Cette mise en place d'un programme de réduction des incidents requiert initialement des ressources supplémentaires, mais
permet la réalisation d'économies substantielles à terme.
2.4.2.3 Amélioration du niveau de satisfaction des utilisateurs
Aucune des entreprises évaluées ne cherchait à mesurer le niveau de satisfaction des utilisateurs.
Cette perception subjective reflète la qualité des usages généraux de l'outil informatique au sein de l'organisation. Sa
mesure permet l'appréhension, sans effort important, des coûts cachés inhérents à la perte de productivité des utilisateurs,
des manques de connaissances, ou encore des inadéquations entre les besoins des utilisateurs et les solutions offertes dans
l'entreprise. Le niveau de satisfaction des utilisateurs est stratégique pour les entreprises.
Cette estimation et surtout sa prise en compte permet d'améliorer le niveau de satisfaction à l'usage de l'outil informatique
et ainsi représente un puissant levier quant à l'optimisation de la motivation du personnel. Pour autant, sa nature subjective
peut être parfois trompeuse, dépendante d'événements annexes non liés à l'informatique.
Il fut toutefois recommandé d'essayer d'évaluer ce niveau de satisfaction au sein de chacune des PME.
2.4.3 Domaine infrastructure (INF)
Plusieurs recommandations furent réalisées dans chaque entreprise dans ce domaine. En particulier, la standardisation des
systèmes d'exploitations et de l'usage des serveurs de fichiers.
2.4.3.1 Standardisation des systèmes d'exploitation (SRV et WST)
La répartition des systèmes d'exploitations était très hétérogène dans la quasi-totalité des dix PME/TPE avec l'ensemble de
la gamme Microsoft Windows, de Windows 95 à XP.
Ceci dénote l'absence pour la plupart des entreprises d'une gestion claire des versions, où pour la plupart des PC, le
système d'exploitation demeure celui fournit initialement avec l'ordinateur au moment de l'achat. Les parcs homogènes
reflètent ainsi des parcs récemment renouvelés.

Un ensemble de systèmes d'exploitation hétérogènes pose différents problèmes : difficulté et surcoût de gestion,
augmentation non négligeable des risques liés à la sécurité informatique…
Il fut recommandé de standardiser les systèmes d'exploitation utilisés.
2.4.3.2 Développement des usages des serveurs de fichiers (ISH)
Les avantages de la mise en place de serveurs de fichiers sont multiples, comparativement au stockage uniquement local
des documents. Accessibilité, stockage sécurisé, information à jour, disponibilité...
Toutes les entreprises évaluées possédaient un serveur de fichier. Mais l'utilisation qui en été faite variait grandement, le
stockage de documents en local sur les postes étant une habitude usuelle.
Il fut recommandé d'améliorer la prise de conscience des utilisateurs de l'utilité de l'usage des serveurs de fichiers pour le
stockage des informations et données à caractère professionnel. Toutefois, les serveurs de fichiers se doivent eux aussi
d'être structurés d'une manière efficace et en adéquation avec les besoins de chacune des entreprises.
2.4.4 Domaine sécurité (SEC)
Plusieurs recommandations furent effectuées concernant ce domaine. En particulier, au niveau des mots de passe, de la
protection anti-virus et des sauvegardes.
2.4.4.1 Amélioration de la problématique relative aux mots de passe (USR)
Les mots de passe représentent les premières protections contre les risques d'intrusion internes et externes.
Les pratiques relatives à leurs mises en place et leur gestion sont très divergentes dans chacune des dix entreprises
évaluées. Ainsi, dans l'une des PME, la problématique était prise très au sérieux, les mots de passe bien sécurisés, et les
employés respectaient les principes de confidentialité. Dans les autres, la confidentialité était gérée de manière beaucoup
plus aléatoire.
Les recommandations concernant les pratiques de gestion des mots de passe sont la mise en place d'une politique claire et
efficace, incitant le personnel à conserver un mot de passe sécurisé et confidentiel. Cette confidentialité est étendue à
l'administrateur système.
2.4.4.2 Amélioration de la protection anti-virus (VIR)
Les anti-virus sont important pour protéger un réseau et pour éviter tout risque de corruption sur un réseau interne.
Parmi toutes les mesures de protection utilisées par les PME, la lutte contre les virus est la plus répandue. Pour autant,
seule une des dix PME/TPE utilisait une solution anti-virus réellement tenue à jour. Les autres disposaient de solutions
plus ou moins tenues à jour, sur une partie des infrastructures informatiques mais non sur la totalité.
2.4.4.3 Optimisation du processus de sauvegarde (BAK)
Une sauvegarde est une copie des données, permettant, en cas de corruption des documents originaux, de ne pas perdre
ceux-ci. Conservées sur tous types de médias, les sauvegardes sont bien évidemment fondamentales.
Une procédure de sauvegarde des données existait dans chacune des PME évaluées. Pourtant, un certain nombre de
manques furent identifiés. Parmi ceux-ci : absence de sauvegarde différentielle, manque d'information pour le personnel
concernant les lieux de stockages des données sauvegardées, absence de tests de restauration des données, ou encore des
médias de sauvegardes trop anciens.
2.4.5 Domaine documentation (DOC)
Une recommandation unique et globale fut émise dans toutes les PME/TPE concernant l'amélioration de la gestion
documentaire.
En effet, cette gestion est très faible pour l'ensemble des PME. Dans chacune, l'absence de règles précises en matière
d'identification et de numérotage des versions, et l'absence de point centralisé de stockage de celle-ci représente un
ensemble de risques, notamment en cas de départ de l'individu responsable de leur création.
3 Conclusions

Ce modèle propose une méthode d'évaluation de la qualité des processus informatiques en petites et moyennes entreprises.
Basé sur un ensemble de standards internationaux reconnus (dont principalement la norme ITIL - ISO/IEC 15504), ce
modèle cherche à simplifier autant que possible les points d'évaluation de manière à rendre ceux-ci compréhensibles et
aisément appréhendables par la population auxquels ils sont destinés (évaluation sous la forme de code couleur, ...).
Il nous apparaît que l’approche d’évaluation de la maturité informatique à destination des PME/TPE que nous avons
développée permet d’en appréhender les forces et faiblesses avec une pertinence confirmée par les retours des PME/TPE
et leur réactivité aux recommandations émises.
La finesse relative de l’approche est directement liée à la structuration du modèle de processus en cinq domaines. D’un
côté, l’aspect holistique, systématique et répétable de la méthode permet une vue globale de l’entreprise qui rend aisées les
comparaisons tant entre différentes sociétés que pour une même entreprise à des moments différents. D’autre part, le
modèle de processus prédéfini ne peut évoluer que de manière lente afin de ne pas introduire de rupture dans la
répétabilité et de ne pas alourdir la méthode surtout pour les TPE. Cependant, les profils mêmes de maturité de
l’échantillon d’entreprises ne dressent pas de limitation évidente à la finesse de la méthode.
Au-delà de l’utilité directe pour les PME au travers des programmes d’amélioration proposés, notre intérêt porte
principalement sur la propension de notre méthode à appréhender la réalité informatique des PME au travers des processus
qui la sous-tendent. De ce point de vue, malgré la petite taille de l’échantillon et en se gardant de toute généralisation,
nous pouvons mettre en avant les points suivants sur les dix entreprises évaluées.
1. C’est le domaine infrastructure (INF) qui apparaît comme étant le plus mature. Toutefois, le manque général
d’optimisation génère des pertes de productivité et complique le support.
2. Aucune des dix PME/TPE n’a réellement de faiblesse grave dans le domaine du management (MAN), ce qui
traduit logiquement la préoccupation métier des personnes en charge de l’informatique. En particulier, ce point
met un éclairage original sur l’intérêt d’un leadership métier de l’informatique.
3. Le support n’est globalement assuré que de manière très lacunaire. Cette faiblesse générale peut s’expliquer par
le manque d’optimisation du domaine infrastructure et le manque de compétences informatique. D’autre part,
elle peut paraître comme limitant le domaine management en ne considérant pas suffisamment les attentes et la
satisfaction des utilisateurs par rapport aux investissements.
4. La documentation est incontestablement le plus grand point faible de la plupart des PME/TPE évaluées, même si
deux d’entre elles ont une certification ISO 9001. Cette grave lacune générale représente un risque potentiel.
5. Les faiblesses importantes dans le domaine sécurité traduisent clairement le manque de sensibilisation des
dirigeants et du personnel à cette problématique. C’est probablement là le point le plus critique en matière de
risque pour les dix entreprises évaluées. C’est également un facteur inhibant en matière d’e-business.
Si notre méthode peut constituer une contribution utile en matière d’appréhension de la réalité des pratiques informatiques
répandues dans les PME/TPE, elle ouvre des pistes de recherche appliquée complémentaire dont en particulier une
réactualisation de la méthode et une amélioration systématisée de l’approche (avec par exemple le développement de la
correspondance entre l’échelle NOEMI proposée et celle du CMM(I)).
Références
ISO/CEI TR 15504 (1998), AFNOR.
ISO/IEC WD 18028, ISO/IEC JTC1/SC27/WG1, 2001.
NFEN ISO 9001:décembre 2000.
IT Infrastructure Library – Service Support, Service Delivery, Application Management, ICT Infrastructure Management,
Office of Government Commerce, United Kingdom, 2000 – 2002
IT Infrastructure Library – Security management, Office of Government Commerce, United Kingdom, 2002
The EFQM Excellence Model – Small and Medium sized Enterprises, EFQM publications, 1999-2001
Mark C. Paulk, Bill Curtis, Mary Beth Chrissis and Charles Weber, Capability Maturity Model for Software, Version 1.,
SEI, CMU/SEI-93-TR-24, Pittsburgh, Pa, Feb. 1993
SPIRE Project Information Pack - ESSI Project 23873 – April 1997

Barafort B., Hendrick A. (1998), « A SME dedicated framework to evaluate the internal usage of IT », Actes de la
conférence internationale Software Process Improvement SPI’98, Monte-Carlo, Principauté de Monaco.
Di Renzo B., Feltus C. (mai 2003), « Développement et expérimentation d’un modèle de gestion collaborative des
pratiques informatiques à ’usage des petites et moyennes entreprises », Actes du 8° colloque de l’AIM, Grenoble,
France.
Fimbel E. (mai 2003), « L’externalisation des systèmes d’information : étude empirique des facteurs décisionnels et des
facteurs de succès », Actes du 8° colloque de l’AIM, Grenoble, France
Henderson J.C., Venkatraman N. (1993), « Strategic Alignment: Leveraging Information Technology for Transforming
Organisations », IBM Systems Journal, Vol. 32, No. 1, pp. 4-16.
Lyke H., Cottone D., IT automation: the quest for “lights out”, Prentice Hall, Upper Saddle River, NJ 07458, USA, 2000
Bonjean C., Help desk: assistance utilisateurs et relations clients, Hermes Science publication, Paris, France, 1999
Sturm R., Morris W., Jander M., Foundations of service level management, SAMS edition, Indianapolis, USA, 2000
CMMI V1.1, Carnegie Mellon University, USA, 2003.

Evaluation de la qualité des processus informatiques en petites et moyennes entreprises méthode noemi

Recomendados

Recomendados

Más contenido relacionado

Destacado

Destacado (20)

Similar a Evaluation de la qualité des processus informatiques en petites et moyennes entreprises méthode noemi

Similar a Evaluation de la qualité des processus informatiques en petites et moyennes entreprises méthode noemi (20)

Más de Luxembourg Institute of Science and Technology

Más de Luxembourg Institute of Science and Technology (20)

Evaluation de la qualité des processus informatiques en petites et moyennes entreprises méthode noemi