Ressources humaines et risque capacitaire : Quels impacts sur la sécurité numérique des GHT ?

Les intervenants du congrès 2017 de l’APSSIS ont confirmé dans leurs propos les évolutions dans la prise en compte de la sécurité du SI au plus haut niveau par les directions générales. Des transformations sont en cours dans les organisations pour porter ce sujet essentiel. La création des GHT matérialise le début d’une nouvelle ère, très bien préparée en amont par le programme Hôpital Numérique.

J’ai noté avec intérêt les propos de M Pierre THEPOT, directeur du CH Moulins-Yzeure (Allier) expliquant que « des contraintes à court terme n’incitent pas à s’occuper de la sécurité, comme la gestion des titres 1 ou 2,… ». Titre 2… ce sont les dépenses de personnels donc les ressources humaines. Les actions d’identification, de réduction et de maîtrise des risques au quotidien, sollicitent des intervenants de tous profils. Dans les nombreuses analyses de risques que j’ai pu réaliser, deux risques majeurs ressortaient systématiquement : le manque de temps pour assurer le maintien en condition opérationnel du SI (incluant la sécurité) et la perte de compétence (donc de maitrise), les deux liés à la complexification croissante des architectures fonctionnelles et techniques.

Le risque capacitaire est évoqué très sommairement dans la norme ISO27002-2013, au chapitre ‘12.1.3 Dimensionnement - Information complémentaire : « Cette mesure traite également du dimensionnement des ressources humaines ainsi que des bureaux et des installations » !!!

Il est temps que directeurs, managers et responsables s’emparent enfin de cette réalité et la regardent en face. Le déni de cette situation alarmante se confirme dans différentes études publiées récemment. Elles font ressortir que la majorité des entreprises ont toujours des difficultés à réussir leurs projets :

  • 96 % des dirigeants se déclarent préoccupés par les barrières séparant une stratégie de son exécution (PWC 2016)
  • « Un projet réussi produit les résultats attendus dans le respect des budgets et des plannings » : d’après cette définition plus de 70% des projets sont en échec ! (Standish Group 2014)
  • En l’espace de 20 ans le taux de réussite des projets évolue de manière très lente (1% par an) alors que le nombre de projets abandonnés est stable (20%) depuis 20 ans.

On parle toujours des projets, mais les activités récurrentes (délivrer le service attendu et garantir le maintien en conditions opérationnelles dont la sécurité du SI) sont toujours sous-estimées voire oubliées. Pourtant elles représentent 60 à 70% des activités des équipes. Dans ce contexte, il devient illusoire de penser réussir ses projets en les planifiant finement sans prendre en compte les autres activités quotidiennes. Le risque capacitaire se traduit donc par une capacité à faire inadaptée au besoin, et un manque absolu de temps, parfois doublé de modes de management dépassés entrainant des tensions.

Cette situation aboutit par conséquent à une planification incantatoire, mettant les équipes en souffrance et rendant les organisations inefficientes alors qu’il s’agit de réussir sa transformation numérique dans tous les domaines !

Métiers et DSI se doivent de partager vision stratégique et objectifs, avec une planification commune garante de la performance de l’Organisation.

Ce changement de paradigme s’aborde par une approche (disruptive ?) déclinable en 5 points :

  • Un pilotage efficient et réaliste, prenant enfin en compte projets ET activités récurrentes
  • Une mise en adéquation des besoins et des ressources, pour identifier et réduire le risque capacitaire, et anticiper sur les compétences nécessaires en lien avec la DRH
  • Une capacité à arbitrer et décider sans entrer dans des mécanismes complexes de planification
  • Une gestion des ressources à 3 niveaux : la planification stratégique puis le macro-planning capacitaire et enfin la planification détaillée ; avec des temporalités et granularités différentes pour chacune des étapes
  • Une agilité nécessaire pour gérer l’imprévu

Le R.O.I et les bénéfices de la démarche ne se feront plus attendre : réduction drastique du temps de pilotage inutile et improductif. Les organisations se donnent les moyens de comprendre, communiquer, décider, s’engager, piloter. En posant les conditions d’une réelle qualité d’exécution, elles se placent en condition de réussir le déploiement de leur stratégie sans obérer leur quotidien.

Et pour conclure voici trois indicateurs de pilotage que tous les directeurs et managers devraient posséder pour arbitrer et décider avant de passer à l’action !

- La vision des capacités et des charges des équipes sur l’horizon du projet de transformation


- La mosaïque des rôles : elle identifie le risque capacitaire sur les rôles en sous-capacité ou en sur-capacité permettant d'anticiper l'obsolescence des compétences


- Les activités en risque par manque de capacité sur certains rôles


Didier PESCARMONA Consultant Associé Cosialis Consulting
En savoir plus sur le pilotage des activités

Partager ce document sur les réseaux