Qu’est-ce que ITIL et comment l’implémenter en IT ? Guide pratique pour les équipes techniques

Les journées dans le secteur technologique sont faites d’urgences à éteindre, de caféine, d’équilibrisme pour éviter l’effondrement de l’infrastructure, de re caféine, et d’un effort constant pour garder sa santé mentale dans ce joyeux chaos.
Pour que la gestion IT ne ressemble pas à un cirque permanent, et qu’elle apporte de la valeur au lieu de générer des conflits entre les objectifs business et technologiques, il existe un cadre de travail : ITIL. C’est ce que nous allons explorer ici en profondeur.
Grâce à ITIL, nous pouvons aligner ces objectifs en mettant en place les meilleures pratiques de gestion IT.

Qu’est-ce qu’ITIL et à quoi ça sert ?

ITIL est l’acronyme de Information Technology Infrastructure Library. Il a vu le jour en 1989 à la CCTA (Central Computer and Telecommunications Agency) du gouvernement britannique, qui cherchait alors à documenter et diffuser de bonnes pratiques pour mettre un peu d’ordre dans le chaos de la gestion IT.
Aujourd’hui, ITIL est géré par Axelos et est devenu une référence incontournable.
Sa version actuelle, ITIL v4 (publiée en 2019), regroupe 34 pratiques réparties en trois grands domaines :

• La gestion générale (connaissance, architecture, gestion des risques…)
• La gestion des services (continuité, changements, SLA…).
• La gestion technique (déploiement, infrastructure, développement…).

Sans bonnes pratiques, chaque problème sera résolu différemment, selon le technicien en poste. Et un jour, on se réveille et plus rien ne fonctionne, parce que le petit nouveau a « optimisé » les règles du pare-feu à sa manière.
Aujourd’hui, avec le travail hybride qui multiplie les points de défaillance, la cybersécurité devenue indispensable, et les entreprises qui attendent de l’IT qu’il réagisse vite pour garder leur avantage concurrentiel, un cadre de bonnes pratiques permet de mieux faire les choses, de réduire les erreurs… et la consommation de Valium.
Je sais ce que vous pensez. C’est ce que nous pensons tous. Que vous avez déjà entendu ce genre de promesses, que ITIL n’est pas la seule méthode à les faire… et que ces démarches finissent vite par générer du travail supplémentaire, pas du travail plus efficace.
Mais ITIL a des caractéristiques bien à elle qui méritent qu’on s’y attarde.

Fondements d’ITIL v4 : en quoi ça consiste ?

ITIL, dans sa version 4, est un cadre flexible, compatible avec des approches comme Lean, Agile ou DevOps. Autrement dit, il n’est pas nécessaire de repartir de zéro ou de remettre en cause les fondations existantes, mais ITIL peut venir les renforcer.
Cette flexibilité est ce qui le différencie de la version 3, plus rigide avec ses processus linéaires.
De plus, ITIL v4 comprend 34 pratiques, alors qu’ITIL v3 en proposait 26 processus et 4 fonctions. Mais surtout, la version actuelle repose sur 7 principes fondamentaux qui doivent guider toute mise en œuvre :

• Se concentrer sur la valeur : prioriser ce qui compte pour l’entreprise — la technologie est là pour ça.
• Partir d’où l’on est : pas besoin de tout recommencer à zéro, il faut améliorer l’existant.
• Progresser par itérations, en tenant compte des retours et des résultats.
• Collaborer et favoriser la transparence : les silos d’information et de responsabilités entraînent des erreurs. Sécurité, devs et support doivent coopérer et avoir de la visibilité mutuelle.
• Adopter une vision globale : tout considérer — infrastructure, applications, utilisateurs…
• Faire simple et pratique : cela apporte-t-il de la valeur ? Sinon, on élimine.
• Optimiser et automatiser : en utilisant des outils comme Pandora ITSM pour réduire les tâches répétitives.

Parmi ces principes, le plus important — la Directive Première de Star Trek, si l’on peut dire — c’est la valeur. Ce mot, vous allez le voir revenir encore et encore, car c’est autour de lui qu’ITIL gravite. C’est sa raison d’être.
Mais la valeur pour qui ? Pour les clients, les utilisateurs et toutes les parties prenantes de l’organisation.
Contrairement à Star Trek — où cette Directive Première est allègrement bafouée pour rendre chaque épisode plus intéressant — ici, on ne doit jamais y déroger.
La valeur est notre boussole, et ITIL v4 identifie quatre dimensions à équilibrer pour l’atteindre :

• Organisation et personnes : avons-nous les bonnes personnes aux bons postes ?
• Information et technologies : avons-nous les outils adéquats, qui nous fournissent les bonnes données pour prendre les meilleures décisions ?
• Fournisseurs et partenaires : collaborons-nous avec les bons (cloud, logiciels…) et les gérons-nous correctement ?
• Flux de valeur et processus : notre façon de travailler est-elle réellement efficace ?

Architecture opérationnelle d’ITIL : le Système de Valeur des Services (SVS)

Passons à la pratique d’ITIL en détaillant ses composants et en donnant quelques exemples concrets.
Comme annoncé (et vous allez le lire souvent), ITIL s’appuie sur ce qu’on appelle le SVS — Service Value System, ou Système de Valeur des Services — qui vise à intégrer les quatre dimensions mentionnées précédemment pour co-créer de la valeur avec l’entreprise.
Pour cela, on applique les principes directeurs abordés plus haut dans une perspective d’amélioration continue, mais aussi :

• Les pratiques les plus adaptées parmi les 34 proposées par ITIL.
• La gouvernance : à ne pas confondre avec la bureaucratie. Il s’agit des règles du jeu — comment faire les choses, qui en est responsable, et qui vérifie que cela génère de la valeur. Cela permet d’avancer plus vite sans se marcher sur les pieds.
• La chaîne de valeur des services (SVC) : c’est le cœur opérationnel d’ITIL, le comment de la mise en œuvre pour produire de la valeur.

La SVC est un flux de travail en six étapes destiné à transformer une demande (comme développer une nouvelle application ou améliorer la performance de l’e-commerce) en un service à forte valeur ajoutée. Ces étapes sont :

• Planifier (par exemple, planifier le développement de cette application).
• Améliorer les processus ou les outils existants.
• Impliquer les parties prenantes — comme les développeurs pour l’app, mais aussi l’équipe cybersécurité pour que l’équipe Red Team puisse la tester.
• Concevoir la solution demandée.
• Assurer la transition.
• Fournir le service et assurer le support.

Comme toujours avec ITIL, ces étapes sont flexibles : on ne garde que celles qui sont pertinentes pour créer de la valeur.
Par exemple, si l’on crée une toute nouvelle application mobile, les étapes 2 et 5 peuvent ne pas s’appliquer (rien à améliorer ou à migrer depuis une ancienne application).

Mais en suivant les étapes réellement utiles, on s’assure de livrer la solution avec de la valeur à chaque phase.
Ce sont les grandes étapes génériques, mais ITIL propose ses 34 pratiques pour les adapter et les détailler selon différents contextes et cas d’usage.

Pratiques essentielles pour une première mise en œuvre

Mon objectif principal ici est que vous ne reliez pas ce guide ITIL en cuir rigide pour me le lancer à la tête, car vous avez déjà mille maîtres à servir et vous n’en souhaitez pas un de plus. Restons donc concrets pour bien comprendre qu’il s’agit d’un cadre flexible conçu pour vous aider.

Gestion des incidents dans ITIL

Une bonne porte d’entrée pour se familiariser avec ITIL v4, c’est la gestion des incidents, en l’appliquant selon les principes définis dans cette pratique.
Maintenant, en IT, nous sommes pragmatiques, souvent un peu rigides (moi le premier). C’est pourquoi la flexibilité — principale force d’ITIL — peut devenir un défi. Car si l’on regarde cette pratique de gestion des incidents, on n’y trouve pas une checklist stricte à cocher point par point.
Si vous cherchez cela, mieux vaut regarder du côté de la norme ISO 20000, car ITIL fournit plutôt des lignes directrices de bonnes pratiques. Et c’est logique : chaque organisation, chaque incident, chaque infrastructure IT est différente.
C’est là qu’interviennent les principes directeurs, que l’on retrouve dans la cartographie des processus ITIL pour la gestion des incidents.

• Prenons un exemple : un incident survient lorsqu’un utilisateur rencontre une erreur de connexion sur son portail client.
• Conformément à la pratique ITIL, on commence par catégoriser et enregistrer l’incident dans le système. Comme nous croyons au principe d’« Optimiser et automatiser », Pandora ITSM s’en charge automatiquement, en générant un ticket via le Service Desk et en l’assignant à la personne concernée.
• Ensuite, l’incident est surveillé et la résolution est escaladée selon la gravité. L’objectif est que le client retrouve l’accès le plus rapidement possible. Et si ce n’est pas une bêtise — comme avoir oublié que le mot de passe est sensible à la casse — on fait suivre l’incident au bon niveau. Si possible, on fournit une solution rapide, par exemple des identifiants temporaires pour accéder à son espace client (principe de fournir de la valeur au client).
• L’incident est ensuite analysé et résolu par la personne définie comme responsable.
• Le client est informé, et confirme que la solution fonctionne.
• Enfin, la solution et le processus sont enregistrés et évalués, aussi bien de notre côté que, par exemple, via une enquête de satisfaction envoyée au client.

Gestion des demandes de service

Dans ce cas, l’objectif est de répondre à des demandes standard ou récurrentes, comme l’accès à un dossier partagé, la création d’un compte VPN, etc. Voici comment cela pourrait se dérouler :

• Créer une section dédiée dans le système pour ce type de demandes.
• Le ticket est classé par priorité. Si c’est une demande standard, on l’envoie à l’équipe de stagiaires, sans déranger le root barbu en pleine sieste.
• Imaginons que le dossier soit sensible : on notifie alors le responsable, qui approuve l’accès.
• La demande est exécutée.
• L’utilisateur est informé et le ticket est clôturé.
• Tout est enregistré, et l’on évalue si cette demande pourrait être améliorée, par exemple en automatisant l’accès pour certains profils d’utilisateurs.

Comme on le voit, il s’agit de mettre de l’ordre dans le chaos, de canaliser le flot d’événements pour qu’il ne nous submerge pas au quotidien.

Gestion des problèmes

Elle permet d’identifier et d’éliminer les incidents récurrents, comme des erreurs répétitives ou une connexion VPN lente…

On applique ici la pratique ITIL en suivant ces étapes :

• Ouverture d’un ticket.
• Analyse du problème et évaluation de son impact, pour ensuite le transférer à la personne ou l’équipe appropriée — pendant que le root continue de dormir paisiblement.
• Identification de l’erreur de configuration et résolution du problème.
• Documentation de la solution pour les futurs tickets similaires.

Gestion des actifs

Elle permet de savoir ce que nous avons et où cela se trouve. Dans la pratique, cela peut se traduire par les actions suivantes :

• Créer une CMDB (Configuration Management DataBase) incluant serveurs, postes de travail, applications, etc.
• Lier les tickets aux actifs pour assurer une meilleure traçabilité, ce qui facilite la gestion des changements et les opérations de maintenance.

Ainsi, les ordinateurs portables cessent de disparaître mystérieusement, et nous gardons un contrôle sur les besoins de chaque équipe, comme les mises à jour.
Encore une fois, Pandora FMS peut automatiser et attribuer ces tickets : dès l’ouverture d’un ticket, on sait quel actif est concerné, quel est son historique, etc.

Gestion des changements

Elle vise à mettre en œuvre des modifications de manière contrôlée, avec le moins de risques possible. Par exemple :

• Nous devons mettre à jour WordPress.
• Nous évaluons l’impact sur un serveur de test, et — alléluia — les personnalisations du code tiennent bon, pas d’écran blanc de la mort (ouf).
• Le changement est approuvé.
• Nous planifions la fenêtre de déploiement : un dimanche soir, pour ne pas perturber les achats sur notre WooCommerce de production.
• La fenêtre est communiquée aux personnes concernées.
• Nous exécutons la mise à jour.
• Tout est consigné et documenté.

Nous suivons donc un processus bien plus serein que celui du junior qui a cliqué directement sur « mettre à jour » dans WordPress en prod… Parce qu’après tout, qu’est-ce que la vie sans un peu de risque ?

Suivi des SLA

Les Service Level Agreement (SLA) sont essentiels, car ne pas les respecter peut entraîner des conséquences contractuelles ou de l’insatisfaction client. Et notre Première Directive, c’est bien la valeur.
En nous appuyant sur la pratique ITIL, nous pourrions adapter le suivi comme suit :

• Définir des seuils de conformité.
• Superviser ces seuils via l’outil ITSM.
• Créer des alertes automatiques lorsqu’un seuil est dépassé.
• Et lorsque cela se produit, basculer vers la gestion des incidents.

ITIL en action : comment le mettre en œuvre pas à pas

Si l’idée de mettre de l’ordre dans le chaos vous séduit, la pire erreur serait de vouloir appliquer les 34 pratiques ITIL d’un coup — vous risqueriez l’indigestion.
Heureusement, ITIL est un cadre flexible, et vous pouvez sélectionner uniquement les pratiques dont vous avez réellement besoin.
Voici un exemple de démarche à suivre :

• Évaluer la situation actuelle et définir les objectifs. Par exemple : nos délais de résolution des incidents sont trop longs, ce qui nuit à la valeur que nous apportons.
• S’engager sur les principes ITIL (création de valeur, automatisation, etc.).
• Choisir les pratiques prioritaires dans notre contexte — comme la gestion des incidents, citée précédemment.
• À partir des bases de chaque pratique (enregistrement, classification, escalade…), concevoir les flux et rôles adaptés à notre organisation.

Avec un outil comme Pandora, on peut automatiser une grande partie des workflows de tickets ou d’alertes : assignation, escalade, résolution… Et une fois résolu, tout est enregistré et documenté, ce qui facilite l’analyse continue pour s’améliorer.
Les clés pour que l’ITIL ne devienne pas une charge de plus :

• Former les équipes au flux défini à partir du cadre ITIL.
• Utiliser des outils pour automatiser les parties répétitives du processus. Sans cela, ITIL risque d’être perçu comme une contrainte plutôt qu’un levier d’amélioration.

Indicateurs clés et suivi de l’amélioration continue

L’amélioration continue est un principe fondamental qui traverse tout le cadre ITIL. Mais on ne peut pas améliorer ce que l’on ne mesure pas. C’est pourquoi nous avons besoin d’indicateurs opérationnels et de performance.
Ces indicateurs peuvent être définis dès la phase d’évaluation initiale lors de la mise en œuvre d’ITIL.
Par exemple, si notre gestion des incidents est perfectible, un indicateur clé sera le MTTR (Mean Time To Resolution). On peut alors fixer des objectifs par niveau d’incident : moins de 2 heures pour les incidents critiques, 24 heures pour les incidents de priorité moyenne, etc.
Un autre indicateur essentiel est bien sûr le respect des SLA, puisqu’ITIL est centré sur la création de valeur. Mais l’élément crucial, c’est de disposer d’un tableau de bord regroupant ces indicateurs, pour vérifier — avec des données concrètes — si le processus défini génère réellement des améliorations. (Pandora est tout à fait capable de le faire.)

ITIL et logiciel ITSM : cas pratique avec Pandora ITSM

Tant que les machines ne se rebellent pas, leur rôle est de porter les charges lourdes et de nous simplifier la vie. C’est pourquoi mettre en œuvre ITIL est bien plus simple avec un outil comme Pandora ITSM, qui permet d’appliquer dès le départ :

• Le principe d’automatisation de nombreuses actions définies dans les pratiques.
• Le principe d’approche globale, sans silos fragmentés.
• Le principe de visibilité complète de l’infrastructure.
• Le principe de progression itérative fondée sur les données, que Pandora fournit en temps réel.
• Le principe de partir de l’existant, car Pandora s’adapte à votre infrastructure IT, même si elle est très hétérogène.

De plus, sa gestion des tickets est alignée avec ITIL : suivi des SLA, génération de rapports, CMDB intégrée…
Tout comme ITIL est un cadre adaptable, Pandora ITSM est un outil modulable, capable de s’adapter à vos rapports, vos automatisations, vos tableaux de bord…
Imaginons un autre scénario de gestion d’incident :

• Le serveur de la boutique en ligne tombe en panne.
• Pandora le détecte, enregistre l’événement et génère un ticket selon le processus défini.
• Le ticket est automatiquement transmis à la personne désignée. Autrement dit, trois étapes d’un processus optimal sont déjà réalisées, sans intervention humaine : Pandora s’en est occupé.
• Le responsable analyse la situation et effectue une première action : il redémarre le serveur.
• Les dieux sombres sont cléments (pour une fois) — un sacrifice sera peut-être exigé plus tard — mais la boutique est de nouveau en ligne.
• Pandora ITSM détecte la récupération.
• Clôture le ticket.
• Enregistre tout ce qui s’est passé, y compris la solution apportée.
• Et sauvegarde les indicateurs comme le temps de résolution et l’éventuelle atteinte au SLA.

C’était un cas simple, mais cela montre que grâce à l’outil, ce qui pourrait ressembler à un processus complexe se résume, côté humain, à taper sudo reboot dans le terminal du serveur.
Le reste des bonnes pratiques a été géré automatiquement par Pandora : enregistrement, indicateurs, gestion du ticket…

Comment Pandora FMS renforce la mise en œuvre d’ITIL au-delà de l’ITSM

Pandora ne se contente pas de fluidifier les processus à forte valeur ajoutée : il permet également de superviser et de détecter les incidents avant qu’ils n’affectent l’utilisateur final.
Grâce à la corrélation d’événements et à la capacité de prédire des attaques complexes, l’intégration de Pandora SIEM offre un système d’alerte précoce dans la « boîte de Pandore » de la gestion des incidents — notamment les incidents de sécurité.
Ainsi, en détectant les menaces à temps, on devra peut-être gérer une conversation désagréable (et le licenciement) d’un collaborateur ayant tenté — sans succès — de copier des données sur une clé USB. Mais au moins, on évite l’incendie d’une fuite de données à déclarer aux autorités de protection des données et aux utilisateurs… sans parler des sanctions financières potentielles.
Par ailleurs, ITIL v4 met au cœur de sa philosophie la visibilité globale, et c’est justement la combinaison entre ITSM, supervision et SIEM que propose Pandora FMS qui permet d’appliquer concrètement ce principe.

Bonnes pratiques et erreurs à éviter

Nous avons déjà évoqué l’erreur classique lors de la mise en œuvre d’ITIL : vouloir tout faire en même temps. Il faut prioriser, et d’après notre expérience, voici nos principales recommandations :

• Commencez petit, développez ensuite. Pas seulement en choisissant les pratiques ITIL, mais dans tout projet. Par exemple, pour la CMDB, commencez par cartographier uniquement les actifs critiques, puis élargissez progressivement.
• Automatisez ou périssez. Oui, c’est un peu dramatique, mais il faut choisir : être submergé par la pile de livres non lus sur votre table de nuit, la montagne de jeux Steam jamais lancés… ou les tickets et tâches qu’on aurait pu automatiser. Les deux premiers sont des trophées de vie bien remplie. Le dernier ne mérite ni hommage ni indulgence.
• N’adoptez pas, adaptez. ITIL n’est pas une suite de commandements gravés dans le marbre. Il s’agit de prendre ce qui est utile et de l’adapter à votre réalité.
• Mesurez avant et après, sinon l’amélioration continue restera un vœu pieux.

Et parmi les erreurs courantes que nous avons pu observer, en plus de vouloir en faire trop :

• Des SLA et KPI irréalistes. Ils deviennent une source de frustration au lieu d’un levier d’amélioration.
• Pas d’implication de la direction ou des autres départements. ITIL ne sert à rien si Pierre de la logistique continue de venir frapper à notre porte parce que « son portable est cassé »… au lieu de savoir où créer un ticket.
• Des processus définis, mais sans responsables.

Certifications ITIL et formation des équipes

Si ITIL vous semble prometteur, devinez quoi : vous pouvez vous certifier. Oui, encore une de plus…
Axelos propose plusieurs niveaux de certification via ce site officiel :

• Foundation : les bases — quelques jours de formation puis un examen.
• Specialist : avec les spécialisations Create and Deliver, Stakeholder Value et High Velocity IT.
• Strategist : pour diriger, planifier et améliorer.
• Leader : pour élaborer des stratégies IT alignées sur les objectifs métier.

Notre recommandation, si vous envisagez de vous certifier : ne le faites pas juste pour ajouter une ligne de plus à votre CV.
Chacun a son avis sur les certifications, mais elles peuvent être une réelle opportunité d’améliorer les processus et de créer de la valeur pour l’organisation.
C’est bien pour ça que nous sommes là, même si on l’oublie parfois dans la frénésie du quotidien.
Comme nous l’avons vu, ITIL v4 aide à mettre de l’ordre et de la valeur dans le chaos. Ce n’est ni la première tentative ni la dernière, mais en suivant la philosophie ITIL, on peut y trouver des pépites à adapter à notre réalité quotidienne.