À l’ère de la révolution numérique, les organisations produisent des données comme jamais. Telles quelles, ces données ne sont ni plus ni moins qu’une simple matière première. Cependant, les organisations qui parviennent à les transformer en renseignements utiles peuvent bénéficier d’une infinité de nouvelles possibilités. Grâce au Cloud Computing, elles peuvent accéder à des fonctionnalités informatiques performantes, et disposent d’un degré de flexibilité inédit pour l’externalisation de tout ou partie de leurs systèmes d’information, espaces de travail, serveurs, applications et solutions de stockage.
Le Cloud existe depuis un peu plus d’une décennie, mais son adoption continue à se heurter à un obstacle majeur : les préoccupations relatives à la sécurité et à l’intégrité des données. Dans ce contexte, les intégrateurs de systèmes à même de proposer des solutions de contrôle d’accès et de sécurité hébergées dans le Cloud (et donc d’offrir à leurs clients un vaste éventail de services gérés à distance tout en dynamisant la valeur globale de l’entreprise) seront parfaitement armés pour l’avenir.
Orange Business Services en fait partie. Fournisseur mondial de technologies de l’information et de la communication (TIC), la branche B2B du groupe Orange, lequel compte 260 millions de clients répartis dans 28 pays et réalise un chiffre d’affaires annuel de EUR 41 milliards, se veut un acteur de pointe dans ce que l’on appelle le « parcours des données ». Avec son expertise en matière de collecte, de transfert, de sécurité, de stockage, de traitement, d’analyse et de partage de données, mais aussi de création de valeur, Orange Business Services soutient les organisations à toutes les étapes de leur transformation digitale. Apporter son assistance à une si grande échelle implique qu’Orange Business Services pilote des processus homogènes au niveau mondial et les gère dans le cadre d’un modèle de gouvernance d’entreprise applicable dans le monde entier.
Pour cette entreprise, la mise en œuvre d’ISO/IEC 20000-1, Technologies de l’information – Gestion des services – Partie 1 : Exigences du système de management des services, s’est donc imposée comme un objectif logique. Élaborée conjointement par l’ISO et la Commission électrotechnique internationale (IEC), cette norme phare de la famille ISO/IEC 20000 aide les organisations à intégrer une stratégie de cycle de vie des services dans leur fonctionnement, en leur fournissant de meilleures pratiques sur la manière de gérer leur portefeuille de services afin qu’il reste à jour. Avec la publication en 2018 d’une nouvelle édition améliorée, nous étions curieux de savoir comment l’entreprise allait pouvoir maintenir son engagement à offrir des services complets de qualité à ses clients du monde entier. Nous avons interrogé à ce propos Jean-Pierre Girardin, de la division Services Clients & Opérations chez Orange Business Services.
ISOfocus : Quelles sont les raisons qui expliquent l’engouement d’Orange Business Services pour la norme ISO/IEC 20000-1 ?
Jean-Pierre Girardin : Avec une clientèle de plus de trois mille multinationales renommées à l’échelon mondial, et de plus de deux millions de professionnels, d’entreprises et de collectivités locales en France, Orange Business Services s’appuie largement sur les normes relatives à la sécurité de l’information. D’ailleurs, nous sommes certifiés ISO/IEC 20000-1 depuis dix ans.
Dès le départ, nous avons pris la décision, en toute connaissance de cause, d’instaurer cette norme selon un schéma progressif et intégré. Nous avons donc conçu nos systèmes d’entreprise initiaux de management de la qualité à partir d’ISO 9001, de façon à optimiser nos processus de management des services dans un cadre fondé sur l’intégration. Ainsi, nous avons pu harmoniser nos processus sur l’ensemble des sites d’exploitation d’Orange Business Services à travers le monde.
Pour une société de services B2B, l’obtention de la certification ISO/IEC 20000-1 était à l’époque une opportunité en or. En plus d’optimiser nos services, elle nous a permis de bénéficier de l’association vertueuse de trois normes de systèmes de management : ISO 9001 (qualité), ISO/IEC 20000-1 (services informatiques) et ISO/IEC 270011)(sécurité de l’information), ainsi que des boucles d’amélioration continue inhérentes à ces normes.
Quels sont les principaux avantages d’ISO/IEC 20000-1 pour Orange Business Services ?
La mise en œuvre d’lSO/IEC 20000-1 s’est accompagnée d’un certain nombre d’avantages clés, aussi bien en interne qu’en externe. Notre triple certification, renouvelée tous les ans avec un élargissement régulier de son domaine d’application, place Orange Business Services en position de partenaire de confiance et représente une véritable reconnaissance de la qualité de notre système de management au niveau mondial. Depuis, nous avons instauré ISO 14001 en sus pour le management environnemental sur trois de nos sites. Tous nos indicateurs attestent que la satisfaction client a significativement augmenté suite à cette démarche. En outre, le programme de certification s’est révélé un excellent moyen de renforcer la cohésion de nos équipes et de constituer une base solide grâce à laquelle nous avons pu poursuivre sur cette lancée au fil des ans.
L’engouement croissant autour d’ISO/IEC 20000-1 n’est pas surprenant si on le rapporte aux préoccupations actuelles en matière de sécurité. Pouvez-vous nous expliquer en quoi cette norme apporte une plus-value ?
ISO/IEC 27001, qui concerne la sécurité de l’information, recouvre un domaine d’application précis de nos activités et de nos entités (opérations, services Cloud…). C’est donc le paragraphe 6.6 d’ISO/IEC 20000-1 sur le management de la sécurité de l’information qui nous a aidés à sécuriser
l’étendue de nos processus et activités sur trois niveaux : exigences de service, contrôles de sécurité des opérations et mise en place d’un portefeuille de services de sécurité gérés.
Par exemple, nous effectuons une surveillance proactive des incidents risquant d’affecter les actifs qui nous sont confiés et intervenons lorsqu’ils se produisent. Pour y parvenir, nous veillons à ce que toutes les modifications fassent l’objet d’une évaluation préalablement à leur mise en œuvre, afin d’empêcher toute atteinte à la protection des données. Nous avons également mis en place des contrôles de sécurité robustes qui se sont avérés très efficaces dans le cadre de nos processus et procédures de travail. Les éléments de sécurité supplémentaires d’ISO/IEC 20000-1 contribuent également à sensibiliser les effectifs sur le fait que la sécurité doit faire partie intégrante des pratiques opérationnelles. D’ailleurs, des auditeurs ont reconnu le comportement exemplaire de nos équipes en matière de protection de l’intégrité des données.
Dans quelle mesure ISO/IEC 20000-1 est-elle intégrée dans les processus, les opérations et la stratégie d’Orange Business Services ?
Depuis le démarrage du projet en 2008, la norme ISO/IEC 20000-1 est totalement intégrée dans notre système de management de la sécurité, qui est mondialement cohérent. Cette intégration a revêtu une grande importance, car elle a coïncidé avec la certification ISO/IEC 27001 de notre centre d’assistance client (Major Service Center, MSC) au Caire en Égypte, suivie de celle du MSC de Gurgaon près de Delhi en Inde, et, pour finir, la certification de nos centres implantés en France, au Brésil et à l’île Maurice. Tout cela signifie que les exigences d’ISO/IEC 20000-1 imprègnent l’ensemble de nos processus et activités, qu’il s’agisse des relations avec les clients, des activités avec les fournisseurs ou encore du cycle de vie des services, de la commande à la livraison.
Au niveau stratégique, Orange Business Services mène des revues de direction régulières à l’échelle locale, régionale et mondiale, où nos résultats en matière de certification sont suivis attentivement. Nous anticipons les attentes de nos clients et réajustons le domaine d’application selon la direction prise par l’activité.
Votre réussite dans la mise en œuvre d’ISO/IEC 20000-1, principalement par des ressources internes, est impressionnante. Avez-vous des astuces à partager avec nos lecteurs d’ISOfocus ?
Lorsque l’on s’engage sur la voie de la certification, il est important de ne pas brûler les étapes. Nous avons commencé par former une équipe spécialisée, informée et qualifiée pour gérer le projet. À cet effet, une parfaite maîtrise du cadre ITIL, qui contribue à harmoniser les services informatiques avec les besoins métier, était pour nous un véritable atout. En outre, nous avons estimé qu’il était important d’effectuer une analyse méthodique des lacunes ainsi qu’une étude de faisabilité avant de lancer la certification d’un nouveau service. Nous avons également renforcé notre groupe d’auditeurs internes pour valider nos avancées au moyen d’audits annuels de l’ensemble de nos processus et entités.
Par ailleurs, pour susciter l’adhésion de nos effectifs à ce projet, nous avons organisé des séances de sensibilisation sur ISO/IEC 20000-1, et tous les aspects liés à la certification et à la normalisation. Fidèles à notre approche pragmatique, nous avons tenu à communiquer sur les avantages d’un parcours de certification, notre but étant que tout le monde comprenne pourquoi nous mettions en œuvre cette norme. L’enjeu n’était pas tant d’expliquer dans le détail les aspects techniques, mais plutôt de montrer comment les clients, les services et les processus allaient en bénéficier. Cette stratégie a bien entendu été entérinée par la direction, ce qui a été un élément déterminant pour la réussite du programme.
Une nouvelle version d’ISO/IEC 20000-1 a récemment été publiée. Avez-vous quelques pistes de réflexion sur la marche à suivre ? Des projets ou des plans pour l’avenir ?
La nouvelle version d’ISO/IEC 20000-1 ouvre des perspectives passionnantes pour Orange Business Services. Elle est harmonisée avec la nouvelle structure-cadre (HLS) utilisée pour toutes les normes de systèmes de management ISO, dont font partie ISO 9001:2015, ISO/IEC 27001:2013 et ISO 14001:2015. Cette version actualisée sera donc encore plus facile à comprendre.
Chez Orange Business Services, nous réfléchissons déjà à la façon de nous adapter aux changements, notre ambition étant de figurer parmi les premières entreprises à mettre en œuvre avec succès la nouvelle édition. C’est le défi qui nous attend en 2019!
1) ISO/IEC 27001:2013, Technologies de l’information – Techniques de sécurité – Systèmes de management de la sécurité de l’information – Exigences, a été élaborée conjointement par l’ISO et la Commission électrotechnique internationale (IEC).
