29/10/2020

Définir, formaliser et déployer une réelle gouvernance Office 365

Le déploiement d’une gouvernance Office 365 est parfois vu comme un luxe qu’il est difficile de se permettre soit par manque de temps soit pour diverses autres contraintes. C’est particulièrement vrai avec la période que nous traversons actuellement. Il faut assurer la disponibilité du système d’information dans un contexte technique souvent inédit, avec des cybermenaces en hausse et des budgets qui se réduisent toujours davantage.

Le terme de gouvernance n’est pourtant pas un gros mot. Il n’est pas non plus incompatible avec une vision pragmatique des choses. Au contraire, il s’agit souvent de formaliser des règles de bon sens de façon pragmatique.

Prenons quelques exemples de questions que l’on peut se poser dans le cadre du déploiement d’Office 365 et dont les réponses peuvent être apportées par l’élaboration et la formalisation d’une gouvernance Office 365.

  • Sur le thème des usages :
    • Dois-je déployer Yammer, dois-je utiliser Teams ou SharePoint ?
  • Sur les thèmes des usages et de la sécurité :
    • Puis-je partager du contenu avec des utilisateurs externes à mon organisation ?
    • Puis-je me connecter sur Office 365 avec mon ordinateur personnel ?
  • Sur les thèmes de la sécurité de l’organisation :
    • Quels sont les droits des administrateurs sur les données des utilisateurs ?
  • Sur le thème de la conformité :
    • Où sont stockées les données susceptibles d’entrer dans le champ du RGPD?
    • Puis-je utiliser mon OneDrive personnel pour partager des séries TV ?
  • Sur les thèmes de l’organisation :
    • Puis-je encore m’appuyer, si elle existe, sur ma gouvernance on premises ?
    • Quelles évolutions Office 365 vont impacter mon organisation dans le futur ?
    • Dois-je reconsidérer l’organisation de ma DSI suite à l’adoption d’Office 365 ?

Par quel bout prendre le problème et comment s’organiser pour, dans un premier temps, élaborer cette gouvernance ?

Nous vous proposons en premier lieu de segmenter les thématiques pour mieux les appréhender. Les silos proposés ici ne sont pas imperméables et doivent être considérés avec une approche globale. Ils sont autant de facettes d’un plan de gouvernance Office 365 à considérer en tenant compte des contraintes de l’environnement.

Les facettes d’un plan de gouvernance Office 365

Promotion et accompagnement des usages

La promotion et le déploiement de nouveaux usages est souvent le but principal d’un déploiement Office 365, même si d’autres impacts d’un passage au mode SAAS peuvent être recherchés, mais cela doit se faire de façon organisée et accompagnée pour que l’objectif soit atteint. Il ne suffit pas d’acheter la panoplie complète de chez Facom pour devenir mécanicien. Le constat est le même avec Office 365, que l’on peut voir comme une palette d’outils collaboratifs. Les objectifs de cette première étape dans la mise en place d’une gouvernance vont donc être les suivants :

  • Favoriser l’adoption des usages conformes aux besoins Métiers et définir une charte des usages
  • Organiser des comités d’usages/gouvernance pour assoir la pérennité de la démarche
  • Créer de la valeur autour des usages en partageant les meilleures pratiques
  • Être force de proposition dans l’usage des services actuels et à venir

Sécurisation de l’environnement et Conformité légale

Il n’est quasiment pas nécessaire de rappeler l’importance des problématiques de sécurité et de conformité. Pour s’en convaincre, il suffit de regarder l’actualité sur ces thématiques afin de se rendre compte des impacts économiques et juridiques des cyberattaques et des pertes de données.

Ce sujet concerne toutes les tailles d’entreprises. Combien de sociétés nous ont dit « nous sommes trop petits pour que l’on s’intéresse à nous », ou « personne ne songera à nous attaquer ». Exactement comme dans la chanson, la suite leur prouva que non…

Il est donc fondamental, d’une part, d’accroître la protection de l’entreprise contre les risques de sécurité, internes et externes et, d’autre part, d’assurer la concordance de l’entreprise quant au respect des contraintes légales et réglementaires.

La responsabilité première d’un DSI est d’assurer le maintien en condition opérationnelle du système d’information. Précisons qu’il ne suffit plus pour cela de choisir une solution Cloud et de laisser faire.  Certains éléments doivent être supervisés. En effet, en fonction de leurs niveaux d’hybridation on premises, ils peuvent être critiques en raison d’alertes de sécurité ou de conformité. Ces dernières doivent être analysées pour trouver les solutions adéquates.

Par conséquent, il est nécessaire de réfléchir à la façon dont vous allez opérer la plateforme.

Gestion opérationnelle : Périmètre du qui fait quoi sur quoi

A ce stade, la prochaine étape sera l’organisation des actions de gouvernance dont notamment :

  • La supervision de l’utilisation des plateformes Azure et Office 365
  • L’analyse des tableaux de bord de consommation des services/usages
  • L’analyse et la mise en œuvre des niveaux de protection et de conformité

En parallèle, il faudra s’assurer que le socle technique est solide. Il est aujourd’hui fréquent de considérer que la priorité est aux usages. C’est sans doute le cas, à la condition que le sous-jacent soit solide. Dans le cas contraire, c’est comme bâtir un château de sable : intéressant à la plage, beaucoup moins dans un contexte SI.

Lorsque l’on analyse les impacts des modèles Cloud sur la mise à disposition des outils à destination des utilisateurs, sur la vitesse d’évolution de ces mêmes services, sur la dépendance induite vis-à-vis des offreurs de solutions, ou encore sur le modèle d’acquisition, il est difficile de concevoir que l’organisation se fera sans impacts sur l’organisation d’une DSI. Une réflexion sur l’adaptation de l’organisation de la DSI à ces nouveaux modèles sera donc nécessaire pour mener à son terme cette 4ème étape.

Organisation

Pour cette étape, vous devrez veiller à mettre en place une organisation et des processus à même d’assurer la mise en œuvre, le suivi des actions de gouvernance et le MCO de la solution.

Comment structurer tout cela ?

En premier lieu, notre façon d’aborder la gouvernance Office 365 est issue de notre expérience du déploiement des solutions Office 365. A l’époque, la solution s’appelait encore BPOS.

Si évidemment, depuis, les enjeux, les contraintes et le périmètre fonctionnel couvert ont largement évolué, c’est de ce cheminement que nous tenons notre approche.

Elle se repose sur :

  • Des outils
  • Des méthodologies reconnues
  • Des partenariats pour venir enrichir tantôt le panel des fonctions existantes, tantôt faciliter des migrations par exemple
  • Des offres Neos-SDI

Notre approche est menée en plusieurs étapes, dont certaines peuvent se dérouler en parallèle :

  • L’élaboration et l’exécution d’un plan de communication
  • La mise en œuvre d’une démarche d’identification et d’adoption des nouveaux usages
  • La formalisation de règles de gouvernance
  • L’accompagnement des équipes IT aux changements techniques et organisationnels qu’entrainent le passage à Office 365
  • La réalisation des chantiers techniques nécessaires à la mise en œuvre du projet et des règles de gouvernance devant être outillées
  • La sécurisation et la mise en conformité du SI

Trois aspects importants de notre démarche

L’identification et la validation des nouveaux usages et des bonnes pratiques associées

Notre approche repose sur les axes suivants :

  • En premier lieu, mener des ateliers avec des représentants des utilisateurs, des métiers, de l’IT éventuellement les RH et la communication selon les cas pour cadrer précisément les usages que l’on souhaite déployer, les briques Office 365 associées, commencer à identifier les points de gouvernance à traiter et préciser les KPI qui seront utilisés pour suivre la manière dont l’usage est déployé. On profitera également de cet atelier pour identifier et segmenter les différents types de populations vers lesquelles sera déployé cet usage pour initier les réflexions sur la meilleure façon d’accompagner les utilisateurs dans ce déploiement.

Puisque les histoires de budget ne sont en général pas loin, nous pourrons aussi aborder dans ces ateliers, les problématiques d’optimisation du portefeuille de licence en fonction des usages à déployer et des populations cibles.

  • En second lieu, l’organisation d’ateliers et de travaux transverses aux usages à déployer, qui peuvent être relatifs aux règles de gouvernance, mais aussi permettre de capitaliser sur la démarche initiée lors du projet de déploiement Office 365 en la pérennisant. C’est une façon d’aider l’organisation à s’adapter au changement, qui comme nous le verrons plus loin est désormais continuel.
  • Pour finir, évidemment, la préparation des règles de gouvernance, dont les inducteurs peuvent être de plusieurs ordres. Citons, sans toutefois être exhaustif, les bonnes pratiques liées :
    • à l’utilisation d’outils,
    • à des exigences de sécurité
    • à des exigences réglementaires.

Tout cela doit, assurément, être validé par une expérience de terrain via des pilotes. Ces pilotes seront menés comme de véritables projets, sur les populations ciblées par les usages à déployer. En fonction du contexte, il est possible d’imaginer de mener deux vagues de pilotes, soit pour les étaler, soit pour mettre en œuvre des mesures correctrices suite à du feed back collecté sur une première vague.

Deuxième zoom, l’accompagnement au changement

Comme « Gouvernance », « l’Accompagnement au changement » est en quelque sorte un mot valise dans lequel on met tout et n’importe quoi.

Notre position sur le sujet est qu’accompagner le changement ne s’improvise pas. Il y des méthodologies pour cela, et elles vont bien au-delà de la production de quelques flyers ou de la nomination d’un sponsor qui n’est là que comme tête de gondole.

Pour notre part, nous utilisons la méthode Prosci, sur laquelle nous sommes certifiés et qui est préconisée par Microsoft pour favoriser l’accompagnement au changement dans le cadre des déploiements Office 365.

En un mot, cette méthodologie permet de faire converger les actions nécessaires à une organisation pour initier le changement avec les étapes par lesquelles un collaborateur passe quand il est face à un changement.

C’est cette approche à double détente qui va garantir que le changement à accompagner va réellement s’opérer à l’échelle de l’individu et de l’organisation, et qu’il va perdurer.

Pour résumer, avec notre méthode nous vous proposons :

  • Une réelle implication du sponsor principal et des sponsors auxiliaires (coalition de sponsors) 
  • Une prise en compte de la structure hiérarchique dans la mécanique d’accompagnement et un programme spécifique pour les managers, notamment pour gérer les résistances. 
  • Une segmentation des groupes d’utilisateurs par croisement usage/groupe d’utilisateurs 
  • La mise en place d’un programme ambassadeurs
  • La mise en place d’un programme de collecte de « feedback » pour adapter les mesures déployées et réadapter ainsi le dispositif 
  • La mise en perspectives des actions telles que la formation, la production de leaflets, le coaching ou autres avec les réels besoins des individus, et ce, selon leur propre cheminement par rapport au changement à opérer.

Le bénéfice de cette méthode est la capacité à mettre en place une réelle stratégie de conduite du changement, déployée à l’échelle de l’organisation et en considérant ses contraintes, ses opportunités, et ses freins. ​

La démarche de sécurisation et de mise en conformité du système d’information

Nous pouvons regrouper dans cette thématique les actions de sécurité et celles de conformité, elles sont souvent liées, par exemple dans le cadre des exigences du RGPD. Elles peuvent aussi, le cas échéant, être adressées de façon distincte.

Notre approche, ici encore, se veut pragmatique et s’appuie sur des référentiels et un outillage existant.

Sur le fond, pour la sécurité, nous cherchons à protéger des actifs, principalement des données, de menaces ou de risques (ici nous ne faisons pas la différence même si au sens ISO 27001 ce sont des choses différentes).

Pour le RGPD, nous avons la liste des exigences du règlement qui sont, pour la plupart, assez claires. Toutefois, il est toujours possible de trouver des zones de flous sur la gestion des cookies ou autre.

Concernant la sécurité, la norme ISO 27001 peut aussi être une bonne source d’inspiration sur les actions à mener.

Avec Office 365, nous disposons d’un outillage conséquent pour adresser la sécurité et la conformité. Cet outillage est presque trop conséquent : entre le secure score qui est un référentiel intéressant mais insuffisant, les alertes de sécurité sur les tableaux de bords qui sont nombreuses, le trust center et le centre de conformité qui apportent eux aussi leurs lots de fonctions utiles, beaucoup de choses existent. Il faut les mettre en corrélation avec les nombreuses possibilités offertes par les licences Office 365, et peut-être, si cela est pertinent, remettre le choix des licences à l’aune de ces possibilités.

Dans tous les cas, l’objectif est de produire un plan d’actions concrètes, de définir des métriques permettant de suivre l’impact de ces actions et de se placer dans une logique d’amélioration continue, tant dans la démarche de sécurisation que dans celle liée à la conformité.


Alors que faut-il retenir en substance sur les facteurs clés de succès d’un déploiement Office 365 ?

Facteur de succès numéro 1 : Une démarche menée à l’échelle de l’entreprise

Un déploiement réussi implique une démarche transverse impliquant les métiers, les RH, le service communication et bien sur l’IT. La dynamique doit être insufflée et maintenue par un sponsorship de la Direction et des équipes managériales, sans cela, le projet risque de s’essouffler et de ne pas dépasser le silo organisationnel dans lequel il a été lancé, que ce soit l’IT, la stratégie digitale, ou même les métiers.

Facteur de succès numéro 2 : Priorité aux usages… oui… à condition de maitriser le socle technique

Si l’objectif du projet est de déployer de nouveaux usages à valeur ajoutée, cela ne peut se faire que si le socle technique sous-jacent est parfaitement maitrisé, et cela va du déploiement initial de l’infrastructure à la parfaite maitrise des nombreux paramètres de la solution. L’interaction entre le fonctionnel et la technique est quand même particulièrement marquée sur Office 365.

Facteur de succès numéro 3 : Une gouvernance formalisée et organisée

Un usage correctement déployé n’est pas uniquement constitué d’une utilisation maitrisée. Ce sont des bonnes pratiques que l’on suit, soit dans le but d’optimiser des processus communs, de garantir la sécurité ou encore la conformité des données. Il est nécessaire de définir ces bonnes pratiques avec toutes les parties prenantes, de les formaliser, et de s’assurer qu’elles sont suivies et mises à jour si besoin. Formaliser les choses oblige à les penser, à les structurer, et permet de mieux les partager.

Facteur de succès numéro 4 : La démarche de conduite du changement doit être organisée pour perdurer au-delà du projet

Les usages, les fonctions proposées par la plateforme Office 365, les contraintes techniques, légales, et de sécurité évoluent en permanence, il est donc nécessaire que l’organisation mise en place pendant le projet perdure pour que l’entreprise ait la capacité de s’adapter en permanence aux changements continuels qu’ils soient techniques, fonctionnels, ou encore liés au mode de licencing.

Si vous avez des questions ou souhaitez entreprendre la mise à jour de votre Gouvernance Office 365, n’hésitez pas à consulter notre site neos-sdi.com et à nous contacter à l’adresse contact@neos-sdi.com.

Pascal Paré – Directeur conseil et avant-vente