La norme ISO/IEC 20000, également appelée ISO 20000, est la norme internationale de gestion des services informatiques (« IT Service Management » ou ITSM), développée conjointement par l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC).
L’ITSM consiste à fournir des services informatiques qui permettent à une organisation de répondre aux besoins de ses utilisateurs (employés et clients) et d’atteindre ses objectifs métier. La norme ISO 20000 définit les exigences, les bonnes pratiques, les points de référence et les conseils pour la planification, la conception, l’implantation, la maintenance et l’amélioration continue d’un système de gestion des services (« Service Management System » ou SMS).
Publiée pour la première fois en 2004, la norme ISO 20000 a été révisée en 2011 puis en 2018. La dernière révision est la plus récente et est appelée ISO 20000:2018.
La norme ISO 20000 a gagné en popularité ces dernières années parmi les fournisseurs de services informatiques et les organisations de tous les secteurs qui s’efforcent d’améliorer continuellement les performances globales de l’ITSM, de réduire les risques et de faire évoluer la qualité du service en intégrant une efficacité et une productivité accrues dans leurs processus de gestion des services.
Les offres IBM Infrastructure as a Service (IaaS) et IBM Platform as a Service (PaaS) disposent d’un processus de gestion des services conforme à la norme ISO 20000-1:2018.
Les certificats IBM ISO 20000 sont publiés et généralement disponibles. Les services suivants sont certifiés ISO 20000. Les services ci-dessous émettent des certificats ISO au moins une fois par an.
La norme ISO 20000-1 (ISO/IEC 20000-1:2018) est la norme principale et fournit la méthodologie pour développer, implanter, maintenir et améliorer en permanence leur système de gestion des services. (Les normes ISO 20000 et ISO 20000-1 sont parfois utilisées de manière interchangeable.) La norme ISO 20000-1 comprend des exigences et des spécifications applicables à l’ensemble du cycle de vie des services informatiques. Vous bénéficierez notamment de conseils sur :
- Évaluer les besoins en SMS dans le contexte de l’organisation
- Établir une structure de leadership pour l’élaboration, la maintenance et l’évolution d’un SMS
- Planifier et préparer le développement et l’amélioration du SMS, y compris la détermination des objectifs organisationnels, des risques et des opportunités
- Prise en charge du SMS une fois qu’il a été créé
- Exploitation, contrôle et maintenance des SMS
- Évaluation des performances d’un SMS, y compris le suivi et les audits internes
- Amélioration d’un SMS, y compris les actions correctives et les améliorations
Autres documents de référence pour l’ISO 20000
Des parties supplémentaires de l’ISO 20000, ou documents complémentaires, ont été ajoutées pour aider à expliquer les différents éléments de la manière de respecter ou d’appliquer la norme principale dans certaines circonstances.
Les comités ISO/IEC ajoutent, révisent et retirent ces parties selon les besoins. L’année de la version la plus récente est ajoutée au nom complet (comme dans la norme ISO/IEC 20000-5:2022). On trouve notamment :
ISO 20000-2 (ISO/CEI 20000-2:2019) offre des lignes directrices aux organisations sur l’application des systèmes de gestion des services basés sur l’ISO 20000-1. Le guide comprend des exemples et des suggestions pour l’interprétation et l’application de la norme primaire selon ISO 20000-1.
ISO 20000-3 (ISO/IEC 20000-3:2019), qui offre des orientations sur le champ d’application de la norme ISO 20000-1 pour aider les organisations à évaluer si la norme principale s’applique à leur situation. La norme ISO 20000-3 explique comment définir la portée d’un SMS et peut aider les organisations à planifier une évaluation de la conformité par un organisme de certification au regard de la norme ISO 20000-1.
Le document inclut des exemples de déclarations de périmètre pour un SMS, en utilisant divers exemples allant de scénarios de chaîne d’approvisionnement relativement simples à complexes.
ISO 20000-5 (ISO/IEC 20000-5:2022), qui fournit des orientations sur la mise en œuvre de systèmes de gestion des services conformes à la norme ISO 20000-1.
ISO 20000-6 (ISO/CEI 20000-6:2017), qui traite des exigences des organismes de certification qui vérifient si les SMS d’une organisation sont conformes à la norme ISO 20000-1. La norme ISO 20000-6 peut également être utilisée par les organismes d’accréditation qui évaluent les organismes de certification.
ISO 20000-10 (ISO/CEI 20000-10:2018), qui définit la taxonomie, les concepts et le vocabulaire des termes utilisés dans l’ISO 20000-1.
ISO 20000-11 (ISO/CEI 20000-11:2021), qui fournit des lignes directrices sur les corrélations entre l’ISO 20000-1 et le cadre des exigences défini dans la bibliothèque d’infrastructure informatique (ITIL), un cadre établi de bonnes pratiques pour la gestion et l’amélioration du support informatique et de la prestation de services. La norme ISO 20000-11 vise à :
- Aider les organisations qui se conforment déjà à l’ISO 20000-1, mais qui souhaitent utiliser ITIL pour améliorer leur SMS ;
- Aider les organisations utilisant ITIL à démontrer comment leurs SMS sont conformes à la norme ISO 20000-1 ; et
- Permettre aux auditeurs SMS de mieux comprendre l’utilisation d’ITIL comme support pour atteindre la conformité avec la norme ISO 20000-1.
ISO 20000-14 (ISO/CEI 20000-14:2023), qui se concentre principalement sur l’intégration et la gestion des services (SIAM) au sein d’un SMS, en fournissant des conseils aux organisations qui gèrent plusieurs fournisseurs de services au sein d’un SMS.
La norme ISO 20000-15 (ISO/CEI 20000-15:2024), qui traite de la manière dont les cadres des exigences, tels qu’Agile, et les principes de développement logiciel, tels que DevOps, peuvent être appliqués dans un système de gestion des services conforme à la norme ISO 20000-1.
La norme ISO 20000-16 (ISO/IEC 20000-16:2025), en cours de développement au moment de la rédaction du présent document, fournira des directives en matière de développement durable dans un SMS basé sur la norme ISO 20000-1.
Les organisations qui mettent en œuvre la norme ISO 20000 pour leur SMS peuvent décider de se soumettre à un processus de certification pour vérifier que les exigences de leur système de gestion des services sont conformes à la norme internationale.
Différents organismes de certification peuvent auditer les organisations qui cherchent à se conformer à la norme ISO 20000. Le processus de certification exige généralement des organisations qu’elles conservent une documentation détaillée sur les exigences et les processus de leur système de gestion des services et sur la manière dont elles respectent la norme.
La certification ISO 20000 peut être exigée pour d’autres certifications ou identifiants importants. Par exemple, les fournisseurs de services cloud qui souhaitent intégrer le ministère indien de l’Électronique et des Technologies de l’information (MiETY) doivent démontrer et maintenir leur conformité à la norme ISO 20000 et à d’autres normes de sécurité.
Une enquête ISO de 2022 a montré que la certification ISO 20000 était la huitième certification standard ISO la plus populaire dans le monde sur la base du nombre d’organisations certifiées. De nombreuses organisations demandent la certification ISO 20000 pour rassurer les clients sur leurs bonnes pratiques en matière d’ITSM.
Toutefois, l’ISO a clairement indiqué que la certification par une tierce partie n’est pas la seule raison de se conformer à la norme, et que les organisations peuvent tirer parti du cadre d’exigences et de lignes directrices de l’ISO 20000 pour la mise en œuvre, l’évaluation et l’amélioration continue du SMS, avec ou sans certification.
Encore une fois, l’ITSM consiste à fournir des services informatiques qui permettent à une organisation de répondre aux besoins de ses utilisateurs (employés et clients) et d’atteindre ses objectifs commerciaux. Les organisations ont utilisé la norme ISO 20000 pour aborder divers problèmes liés à l’ITSM, notamment :
- Gestion des relations commerciales
- Gestion des changements
- Gestion des niveaux de service
- Gestion de la capacité
- Gestion de la disponibilité
- Gestion des problèmes
- Gestion des incidents
- Gestion de la demande
- Gestion de la chaîne d'approvisionnement
ISO 20000 et ITIL sont similaires dans le sens où elles sont les principales sources de bonnes pratiques pour les systèmes de gestion des services informatiques. La norme internationale et ITIL couvrent toutes deux le cycle de vie d’un SMS. Ils sont souvent utilisés ensemble dans la planification, la mise en œuvre, la maintenance et l’amélioration continue de ces systèmes.
Alors que la norme ISO 20000 fournit une méthodologie générique pour les bonnes pratiques ITSM, l’ITIL détaille les pratiques spécifiques qui doivent être utilisées pour atteindre les objectifs décrits dans la méthodologie ISO 20000. Bien que la norme ISO 20000 ait été développée en tenant compte du cadre des exigences de l’ITIL, elle peut également être utilisée avec d’autres cadres de gestion des services informatiques, tels que le cadre des exigences COBIT ou le cadre des Opérations Microsoft.
ISO 20000 est une norme internationale créée pour s’appliquer aux organisations de toutes tailles, dans toutes les zones géographiques, quelle que soit la nature des services fournis. C’est pourquoi des organisations et des entreprises de tous les secteurs ont utilisé la norme ISO 20000 comme référence pour développer les SMS. Les utilisateurs et les cas d’utilisation incluent :
- Les organisations qui souhaitent démontrer leur capacité à concevoir, à maintenir et à améliorer leur fourniture de services
- Les organisations cherchant à auditer et à passer en revue les performances de leur SMS
- Clients à la recherche d’une assurance qualité pour les SMS d’une organisation
- Les clients qui recherchent une approche cohérente de la gestion des services informatiques de la part de tous ses fournisseurs, y compris dans le cadre d’une chaîne d’approvisionnement
- Consultants et conseillers pour les SMS
- Organisations effectuant des évaluations de conformité au regard de la norme ISO 20000
La norme ISO 20000 a été conçue en tenant compte d’autres normes internationales en raison de la nécessité d’une intégration avec les systèmes de gestion de la qualité et de la sécurité. Les normes liées à la norme ISO 20000 incluent :
ISO 9001 (ISO/CEI 9001), la norme internationale pour les systèmes de gestion de la qualité. Elle définit les exigences relatives à la création, à la mise en œuvre, à la maintenance et à l’amélioration continue d’un système de gestion de la qualité (QMS).
ISO 22301 (ISO/IEC 22301), la norme internationale pour les systèmes de gestion de la continuité des activités. Elle vise à aider les organisations à se protéger, à réduire les risques et à se remettre des incidents qui perturbent leurs services.
ISO 27001 (ISO/CEI 27001), la norme internationale pour les systèmes de gestion de la sécurité de l’information (ISMS). Elle définit les exigences auxquelles un ISMS doit répondre, aide les organisations à gérer les risques liés à la sécurité des données et les aide à mettre en œuvre les bonnes pratiques en matière de sécurité de l’information, de protection des données et de cybersécurité.