Diagnostic Stratégique Rumelt,Diagnostic TOM Run Build,IT et Méthodes,Organisation Design

COBIT et ITIL dans les PME-ETI françaises gouvernance IT ou levier de transformation

Publié le par Jacky Malgras
COESOR | COBIT et ITIL dans les PME-ETI françaises gouvernance IT ou levier de transformation
17
Avr

Ce que sont réellement COBIT et ITIL

COBIT et ITIL sont deux référentiels distincts, souvent cités ensemble, rarement bien distingués. Clarifier cette différence est le point de départ indispensable et ce distinguo vaut autant pour un directeur général que pour un responsable IT.

COBIT (Control Objectives for Information and Related Technologies), développé par l’ISACA, est un cadre de gouvernance des systèmes d’information. Concrètement, il structure qui décide quoi en matière d’IT, comment on s’assure que ces décisions servent la stratégie, et comment on maîtrise les risques associés. Sa version actuelle, COBIT 2019, fonctionne de manière modulaire : on n’implémente pas tout, on sélectionne ce qui correspond au contexte de l’entreprise.

ITIL (Information Technology Infrastructure Library), publié par Axelos, est un recueil de bonnes pratiques pour faire fonctionner les services IT au quotidien. Il ne s’agit pas d’une norme contraignante mais d’un guide opérationnel : comment traiter une panne, comment déployer un changement de logiciel sans tout casser, comment mesurer la qualité d’un service informatique rendu aux équipes métier. ITIL v4, sa version actuelle, intègre des logiques Agile et DevOps.

COBIT dit qui décide quoi et si l’IT sert la stratégie. ITIL dit comment opérer les services IT de façon robuste et améliorable. L’un gouverne, l’autre opère.

Ces deux référentiels sont nés dans des contextes de grandes entreprises et d’organisations publiques anglosaxonnes. Leur application aux PME-ETI françaises demande une lecture critique et un sens aigu de la proportion.

À quoi servent-ils concrètement ?

COBIT : gouvernance des décisions IT

COBIT structure cinq grandes familles d’activités : évaluer et orienter la direction IT ; planifier et organiser les ressources ; construire et déployer les solutions ; délivrer et maintenir les services ; surveiller et évaluer la performance. Dans une PME-ETI, cela se traduit par des questions très opérationnelles :

  • Qui valide les investissements IT : le dirigeant seul, le DAF, un comité ?
  • Comment sait-on que l’IT contribue réellement à la performance commerciale ou opérationnelle ?
  • Quels risques IT (panne ERP, fuite de données clients, dépendance à un prestataire unique) font l’objet d’un suivi formalisé ?
  • Existe-t-il une politique écrite sur la sécurité, la continuité d’activité, la gestion des données ?

Prenons un exemple concret : une société de négoce en matériaux de construction, 90 salariés, Île-de-France. Son ERP gère les commandes, les stocks, la facturation et les remises commerciales. Personne n’a formellement défini qui peut modifier les paramètres de tarification dans le système — résultat : des écarts de marge inexpliqués, détectés six mois après. C’est exactement le type de risque que COBIT adresse, sans qu’il soit nécessaire d’être DSI pour le comprendre.

COBIT n’est pas une checklist. C’est un cadre de responsabilité qui force l’entreprise à nommer explicitement ses arbitrages IT — et à les assumer.

ITIL : fiabilité et amélioration des services IT

ITIL couvre la gestion des incidents (une panne survient : comment réagit-on ?), des problèmes (la même panne revient : pourquoi ?), des changements (on migre vers un nouveau logiciel : comment éviter la catastrophe ?), des niveaux de service (l’infogérant est-il tenu à des engagements mesurables ?), et de la connaissance partagée (les procédures sont-elles documentées ou dans la tête d’une seule personne ?).

Dans une ETI de services : cabinet de conseil en ingénierie, société de facilities management, prestataire RH externalisé, les équipes métier dépendent d’outils numériques pour délivrer leur prestation. Un outil CRM indisponible pendant deux jours en période de clôture commerciale, c’est une perte directe de productivité et parfois un engagement client raté. ITIL donne le cadre pour éviter que ce type de situation reste « un accident dont personne n’est responsable ».

Risques et opportunités pour les PME-ETI françaises

Les opportunités réelles

  • Réduction des risques opérationnels IT : incidents non gérés, pertes de données, absence de plan de continuité. Dans une ETI de négoce de 150 personnes dépendante d’un WMS (logiciel de gestion d’entrepôt), une semaine d’indisponibilité peut bloquer les livraisons et déclencher des pénalités contractuelles clients.
  • Conformité réglementaire : la directive européenne NIS2, transposée en droit français, impose désormais des exigences de gouvernance IT à une partie des PME-ETI qualifiées d’entités importantes ou essentielles, notamment dans les secteurs de la distribution, de la logistique et des services numériques. COBIT offre un cadre d’alignement direct avec ces exigences.
  • Amélioration de la relation métier-IT : dans beaucoup de PME-ETI, la relation avec le prestataire informatique externe est floue, ni SLA formalisé, ni périmètre clair, ni escalade définie. ITIL structure ces engagements et réduit les incompréhensions chroniques entre les équipes commerciales ou opérationnelles et leur infogérant.
  • Crédibilité dans les opérations de croissance : dans les processus de due diligence (LBO, cession, rapprochement), la maturité IT gouvernée est un facteur de valorisation croissant. Un acquéreur potentiel qui découvre l’absence totale de politique de sauvegarde ou de traçabilité des accès ajuste sa valorisation à la baisse.

Les risques à ne pas sous-estimer

Appliquer COBIT ou ITIL sans adaptation au contexte d’une PME revient à faire rentrer une organisation de 80 personnes dans un costume taillé pour une multinationale.

Les pièges sont identifiables et récurrents :

  • Sur-ingénierie : implémenter 40 pratiques ITIL dans une structure sans responsable IT interne génère de la bureaucratie, pas de la valeur. Une société de services B2B de 60 personnes n’a pas besoin d’un catalogue de services IT formalisé en 15 rubriques, elle a besoin que ses outils fonctionnent et que quelqu’un soit joignable quand ils ne fonctionnent pas.
  • Déconnexion stratégique : COBIT peut produire des tableaux de bord IT sophistiqués sans jamais répondre à la vraie question : notre infrastructure IT supporte-t-elle notre trajectoire de croissance ? L’outil de pilotage devient une fin en soi.
  • Résistance culturelle : dans les PME familiales françaises, la gouvernance IT est souvent perçue comme une contrainte imposée de l’extérieur, pas comme un levier de pilotage. Cette résistance est légitime si la démarche n’est pas ancrée dans des enjeux business concrets et immédiats.
  • Coût d’implémentation sous-estimé : une mise en conformité COBIT partielle ou un déploiement ITIL structuré mobilise des ressources, temps, compétence interne ou externe, accompagnement, que beaucoup de PME-ETI n’ont pas budgétées ni anticipées.

La complémentarité avec les quatre cadres de diagnostic

C’est ici que la lecture devient stratégique. COBIT et ITIL sont rarement positionnés comme des composantes d’une démarche de transformation globale. Ils le sont pourtant, à condition de les articuler avec rigueur aux autres dimensions du diagnostic d’entreprise.

Avec le Kernel de Rumelt (diagnostic stratégique)

Le Kernel de Rumelt structure le diagnostic stratégique autour de trois éléments : identifier les pressions et défis réels, formuler une politique d’action cohérente, coordonner les décisions pour exécuter cette politique. L’IT est un vecteur d’exécution stratégique pas une fonction support résiduelle. COBIT permet de vérifier que la gouvernance IT est réellement alignée sur la politique stratégique : les investissements IT répondent-ils aux défis identifiés dans le diagnostic ? Les arbitrages IT sont-ils pris au bon niveau décisionnel, par les bonnes personnes ?

Une société de négoce spécialisée dont la stratégie repose sur la réactivité commerciale (devis rapide, disponibilité stock en temps réel) mais dont l’ERP ne communique pas avec le CRM souffre d’un désalignement IT/stratégie typique. COBIT force à nommer ce désalignement et à décider qui en est responsable.

Sans gouvernance IT alignée, une stratégie bien formulée bute sur une infrastructure décisionnelle IT incohérente et personne ne s’en sent propriétaire.

Avec le TOM hybride Build/Run (modèle opérationnel cible)

Le Target Operating Model hybride distingue deux modes de fonctionnement : le Build (transformer, innover, déployer de nouveaux dispositifs) et le Run (faire fonctionner de façon fiable ce qui est en place). ITIL s’applique naturellement au domaine Run : standardiser les services récurrents, fiabiliser les opérations, mesurer la qualité délivrée. COBIT structure la gouvernance du portefeuille IT sur les deux dimensions, quels projets IT lancer (Build), comment évaluer leur valeur, comment gérer les risques de transition.

Dans une ETI de services de facilities management, le Run IT comprend la gestion des outils de planification des interventions, la remontée des données terrain, la facturation automatisée. Le Build IT, c’est le déploiement d’une application mobile pour les techniciens de terrain. Sans cadre ITIL pour le Run, les équipes opérationnelles passent une partie significative de leur temps à gérer les dysfonctionnements IT au lieu de livrer la prestation.

Un TOM hybride sans cadre ITSM pour le Run produit des transformations qui s’effondrent dans l’opérationnel quotidien faute de socle de service stable.

Avec le Star Model (conception organisationnelle)

Le Star Model de Galbraith aligne cinq variables : stratégie, structure, processus, récompenses, personnes. L’IT traverse ces cinq branches : elle conditionne les processus (automatisation, circulation de l’information), influence la structure (qui peut accéder à quoi, centralisation ou décentralisation des données), et détermine les compétences nécessaires. COBIT offre une lecture de la maturité IT sur chacune de ces dimensions, notamment la capacité des personnes à utiliser les systèmes, la clarté des rôles IT dans l’organigramme, et la cohérence des processus IT avec les processus métier.

Dans une société de services RH externalisés de 120 personnes, si les consultants terrain utilisent chacun leur propre méthode de suivi client (Excel, e-mail, CRM mal adopté), le Star Model révèle un désalignement processus/personnes/outils. COBIT et ITIL offrent le cadre pour corriger la dimension IT de ce désalignement sans prétendre tout résoudre seuls.

Avec le cadre décisionnel (qualité des arbitrages et biais cognitifs)

La dimension décisionnelle qui intègre les travaux de Kahneman sur les biais cognitifs et l’analyse des circuits d’arbitrage, trouve dans COBIT un écho structurel direct. COBIT formalise qui a autorité pour quelles décisions IT, typiquement via un modèle RACI (Responsible, Accountable, Consulted, Informed). Cette clarification réduit mécaniquement deux biais fréquents en PME-ETI : le biais d’autorité (le dirigeant décide seul du choix d’ERP sans compétence technique ni cahier des charges formalisé) et la diffusion de responsabilité (en cas de panne ou de fuite de données, personne n’est clairement propriétaire du problème).

La qualité décisionnelle en matière IT n’est pas qu’une question de rationnel ; c’est aussi une question de structure de responsabilité. COBIT rend cette structure explicite, là où elle reste souvent implicite et donc incontrôlable.

Deux entreprises, deux maturités, deux approches

Les référentiels ne valent que par leur mise en contexte. Voici deux situations représentatives de ce qu’on rencontre fréquemment dans les PME-ETI françaises hors industrie.

Cas 1) Négoce en fournitures professionnelles, 85 salariés, maturité IT faible

Une société de négoce en équipements de protection individuelle (EPI) et consommables industriels, basée en région lyonnaise. Trois agences, une équipe commerciale itinérante de 18 personnes, un infogérant externe qui gère l’ERP, les postes de travail et la messagerie depuis sept ans. Le contrat avec l’infogérant tient en deux pages. Il n’existe pas de SLA formalisé, pas de procédure d’escalade documentée, pas de politique de sauvegarde vérifiée. Le dirigeant et le DAF prennent toutes les décisions IT au fil de l’eau, souvent sous pression d’incident.

Ce que le diagnostic révèle : un désalignement IT/stratégie (la croissance repose sur la réactivité commerciale, mais le CRM et l’ERP ne sont pas interconnectés), une dépendance critique à un prestataire unique sans clause de réversibilité, et une absence totale de traçabilité des accès aux données clients problématique au regard du RGPD et de NIS2.

Ce qui est adapté à ce stade :

La tentation serait de lancer un chantier ITIL complet. Ce serait une erreur. Le niveau socle s’impose :

  • Recontractualiser avec l’infogérant sur la base d’engagements de service minimaux mesurables : délai de traitement des incidents critiques, fréquence des sauvegardes, rapport mensuel d’activité.
  • Nommer un référent IT interne (souvent le DAF ou un responsable administratif motivé) avec un rôle clair : point de contact unique, remontée des incidents, validation des changements.
  • Conduire un recensement des applications critiques et de leurs dépendances, deux jours de travail avec l’infogérant, pas six mois de projet.
  • Introduire deux éléments COBIT ciblés : une politique de validation des investissements IT (même sommaire), et une cartographie des risques IT liés à l’activité commerciale.

L’objectif n’est pas la conformité COBIT ou la certification ITIL. C’est de passer d’une IT subie à une IT pilotée avec des responsabilités nommées et des engagements écrits.

Lien avec le diagnostic global : le Kernel a révélé que la différenciation de cette entreprise repose sur la disponibilité immédiate du stock et la réactivité de devis. Tant que l’ERP et le CRM ne dialoguent pas, cette promesse stratégique est fragilisée par l’IT, sans que personne ne soit en mesure de le mesurer. Le TOM hybride positionne cette interconnexion comme un chantier Build prioritaire ; ITIL structure ensuite son passage en Run stable.

Cas 2) Services de conseil en recrutement et évaluation RH, 130 salariés, maturité IT intermédiaire

Une ETI spécialisée dans le recrutement de cadres et l’évaluation psychométrique pour des clients grands comptes, implantée à Paris et Bordeaux. Elle dispose d’un responsable IT interne à mi-temps (partagé avec une mission de gestion de projets digitaux), d’un CRM bien adopté, d’une plateforme SaaS d’évaluation, et d’un intranet collaboratif. Des procédures existent, mais elles sont inégalement appliquées selon les équipes. Les incidents sont traités, mais sans traçabilité ni analyse des causes récurrentes. Les investissements IT sont soumis à validation DG, mais sans critères formalisés ni arbitrage structuré.

Ce que le diagnostic révèle : une maturité IT réelle mais fragile, les outils sont là, les usages partiellement en place, mais la gouvernance reste informelle. Le Star Model identifie un désalignement entre les processus IT (non documentés) et la montée en compétences des consultants sur les outils (formation inexistante, intégration des nouveaux entrants laissée à l’initiative des équipes). Le TOM hybride pointe un Run IT qui fonctionne à peu près mais sans indicateurs, et un Build IT (nouveaux outils d’IA pour l’analyse des profils) qui arrive sans socle opérationnel stabilisé.

Ce qui est adapté à ce stade :

Le niveau structuré s’applique ici avec discernement :

  • Déployer huit pratiques ITIL prioritaires : gestion des incidents (avec tickets, priorités et délais de traitement), gestion des changements (processus de validation avant tout déploiement d’outil nouveau), gestion des niveaux de service (SLA internes entre l’IT et les pôles métier), gestion des connaissances (documentation des procédures clés, accessible à tous).
  • Formaliser un comité IT trimestriel réunissant DG, directrice des opérations et responsable IT : revue des incidents, arbitrage des investissements, suivi des risques. Deux heures par trimestre, pas une structure permanente.
  • Intégrer quatre domaines COBIT ciblés : gouvernance de la valeur IT (les investissements sont-ils justifiés par des gains métier mesurables ?), gestion des risques IT (cartographie annuelle, deux scénarios prioritaires traités), gestion des fournisseurs (SLA contractuels avec les éditeurs SaaS critiques), et gestion de la sécurité de l’information (politique formalisée, audit annuel simplifié).

La maturité intermédiaire est souvent la plus risquée : suffisamment de structure pour croire que tout est sous contrôle, pas assez pour que ce contrôle soit réel. C’est là que les incidents graves surviennent, pas par manque d’outil, mais par manque de gouvernance explicite.

Lien avec le diagnostic global : le Kernel a identifié que la différenciation de cette ETI repose sur la qualité et la fiabilité de ses évaluations, ce qui implique une intégrité des données psychométriques et une confidentialité irréprochable. COBIT traduit cet impératif stratégique en exigences IT concrètes sur la sécurité et la traçabilité. ITIL garantit que les outils qui portent cette promesse sont opérés de façon cohérente par l’ensemble des consultants, quelle que soit l’agence.

Ces deux cas illustrent un principe central : la démarche COBIT/ITIL ne se choisit pas en fonction des référentiels eux-mêmes, mais en fonction de ce que le diagnostic stratégique, opérationnel et organisationnel a mis à jour. Le niveau d’ambition IT découle du niveau de maturité global et jamais l’inverse.

Comment intégrer ces référentiels sans se perdre

L’approche pragmatique pour une PME-ETI de 50 à 250 salariés n’est pas une implémentation intégrale de COBIT ou ITIL. C’est une sélection ciblée de pratiques à haute valeur selon la maturité constatée lors du diagnostic global et les enjeux prioritaires identifiés.

Trois niveaux d’ambition sont envisageables :

  • Niveau socle : cartographier les services IT critiques pour l’activité, définir des engagements de service basiques avec l’infogérant, nommer un référent IT interne responsable de la remontée des incidents. Suffisant pour 80 % des PME en dessous de 100 salariés, notamment en négoce ou services non-réglementés.
  • Niveau structuré : déployer 8 à 12 pratiques ITIL prioritaires (gestion des incidents, des changements, des niveaux de service, des actifs IT), compléter avec un cadre COBIT simplifié sur la gouvernance des investissements et la gestion des risques IT. Adapté aux ETI en phase de structuration, de croissance externe, ou soumises à NIS2.
  • Niveau gouverné : intégration dans le système de management global, reporting IT formalisé au COMEX, alignement NIS2 documenté, audit externe de maturité. Pertinent pour les ETI de plus de 150 salariés en secteur réglementé ou en préparation de cession ou de rapprochement capitalistique.

Le bon niveau n’est pas le plus élevé, c’est celui qui correspond à la maturité organisationnelle globale révélée par le diagnostic stratégique, opérationnel et organisationnel. Viser trop haut trop tôt est aussi coûteux qu’une absence totale de cadre.

En pratique : le bon moment pour introduire COBIT et ITIL

Dans une démarche de diagnostic séquencée, COBIT et ITIL interviennent après la phase de diagnostic stratégique et organisationnel, jamais avant. Introduire une gouvernance IT formalisée dans une organisation dont la stratégie n’est pas clarifiée ou dont les silos bloquent la coopération inter-fonctionnelle revient à poser du carrelage sur une dalle fissurée.

Le bon séquençage : Kernel → Star Model → TOM hybride → identification des contraintes et risques IT comme variables opérationnelles → sélection des pratiques COBIT/ITIL pertinentes au service du modèle cible.

La vraie question n’est donc pas « COBIT ou ITIL, oui ou non ? », c’est : votre organisation est-elle suffisamment mature, sur le plan stratégique et structurel, pour que l’introduction d’une gouvernance IT formalisée produise de la valeur plutôt que de la friction supplémentaire ?

 

 

Partager LinkedIn Bluesky Mastodon Medium Signal E-mail Copier le lien

Partager via Mastodon

Entrez l'adresse de votre instance :

Publications similaires :

COESOR | Étude de cas du Projet Cadre de l'ÉMERGENCEÉtude de cas du Projet Cadre de l’ÉMERGENCE COESOR | Étude de cas du Projet Cadre de l'ÉMERGENCEGuide ÉMERGENCE COESOR | Étude de cas du Projet Cadre de l'ÉMERGENCEPME/ETI : conduire le changement avec PRINCE2, Scrum et un Product Owner sénior COESOR | Étude de cas du Projet Cadre de l'ÉMERGENCEPME‑ETI : une famille française COESOR | Étude de cas du Projet Cadre de l'ÉMERGENCEConduire le changement en PME/ETI : pourquoi la structure ne suffit pas COESOR | Étude de cas du Projet Cadre de l'ÉMERGENCEDiagnostic 360° ÉMERGENCE et après ?
Jacky Malgras

(COESOR) Consultant Opérationnel en Développement des Organisations depuis plus de 20 ans et Concepteur du cadre de l'ÉMERGENCE - La Boussoles de Management “Construire de la valeur pour le client et faire preuve de courage.” 📧 Contactez-moi via mon site web ou linkedin 🌐 coesor.fr

Une seule inscription, une vue complète 360°

4 diagnostics, 1 test, une seule lecture.

Ce que les 3 diagnostics et le Test révèlent ensemble et que chacun ne peut pas dire seul. [Option à partir de 176€ H.T.]

Diagnostic Entreprise 360°
Restitution et Accompagnment

pour ceux qui ont déjà commencé le parcours.