Aller au contenu principal
shapes shapes
Le retour d'expérience du mois

Nutriscore de la dette technique à la Banque Postale par Mikaël SYR

image hero
Mikaël SYR est Directeur du Programme Gestion de la Dette à la Banque Postale. Lors de la matinale Gestion de l’Obsolescence, il a présenté la mise en œuvre d’un indicateur de la dette technique, compréhensible par chacun, sous la forme d’un nutriscore. Mais la bonne idée ne s’arrête pas là ! En analysant les nutriscores des composants du SI, et en les corrélant avec l’impact business d’une défaillance de ce composant, la Banque Postale dispose désormais d’un outil d’aide à la décision pour prioriser les actions de remédiation.
 

Comment avez-vous pris en main la gestion de la dette technique ?

À la Banque Postale, la gestion de la dette SI dépasse la seule notion de l’obsolescence technique, il faut également prendre en compte la maintenabilité du système, la capacité à supporter des évolutions métier. L’absence de maîtrise du SI peut présenter un risque aussi important voir plus important que la seule notion d’obsolescence. La dette du SI se décline selon 3 formes :

- La dette fonctionnelle, qui s’applique à la fois aux progiciels et aux applications développées en interne, leur maintenabilité, et l’existence de compétences internes,
- La dette technique applicative, qui porte sur les langages, les frameworks de développement et d’intégration,
- La dette technique d’infrastructure qui s’intéresse aux diverses couches de middleware utilisées, aux OS et aux composants matériels.

 

Comment a germé l'idée de créer un Nutriscore ? 

Tout le monde parle d’obsolescence mais personne ne sait la rendre tangible. Par exemple, un smartphone peut être obsolète au sens OS, ou composant Wifi par exemple, mais continuer de fonctionner. Il était nécessaire de mesurer cette obsolescence et avec un indicateur qui puisse parler à tout le monde, acteurs Métiers comme acteurs IT. Parler de dette technique avec les Métiers était relativement difficile, et souvent trop technique. C’est pourquoi en 2021, la DSI a imaginé mettre en place un nutriscore de la dette, de façon à disposer d’un indicateur simple, visuel, et applicable de façon identique à l’ensemble des applications du SI. Ce nutriscore parle à tout le monde, depuis les équipes IT, jusqu’aux Directions Métiers et au Comité de Direction. Comme pour le secteur alimentaire, personne ne vous interdit de consommer un aliment avec un mauvais nutriscore, mais vous le faites en toute connaissance de cause, avec les risques éventuels que vous acceptez de prendre.


Comment ce nutriscore est-il calculé ? 

Nous commençons par évaluer chacune des 4 couches de l’application : partie fonctionnelle, composants applicatifs, middleware et infrastructure. Chaque couche est notée de D- à A+.

Sur les 3 couches basses, cette note est fortement liée aux informations détenues dans les référentiels d’entreprise, de façon à s’appuyer sur les données les plus fiables et les plus complètes décrivant les applications.

 
Sur la couche fonctionnelle, cette note est attribuée conjointement par les architectes référents et les responsables applicatifs. Elle est le résultat des réponses à un questionnaire en 10 points pour évaluer notamment la capacité à supporter de nouvelles fonctionnalités et le degré de difficulté pour le faire, la disponibilité du code source, la trajectoire d’évolution de l’application, le niveau de compétences et de connaissances internes…  
 

Après avoir attribué une note à chacune des 4 couches, le nutriscore est une moyenne pondérée de ces 4 notes. La pondération repose sur le niveau de fiabilité de la note d’une couche. Plus il y a de points de mesure pour la calculer, plus la pondération de cette couche est élevée. Ces pondérations sont remises à jour dès lors que le calcul d’une note de couche s’affine, et peut également s’indexer sur la quantité d’effort nécessaire pour remédier à un incident sur ce composant. L’objectif est que le nutriscore reflète bien l’état de santé de l’application.
 

Vu des Métiers, qu’est ce qui change lorsqu’on utilise une application notée A plutôt que D ?

 
Auparavant, chacun connaissait une application qui était obsolète sans pouvoir expliquer de manière factuelle les risques encourus en l’utilisant. Avec le nutriscore, on a pu rendre tangible et factuelles des choses qui ne l’étaient pa

On a souhaité aller un peu plus loin, déjà en expliquant aux métiers ce que recouvrait une application de nutriscore A, B, C ou D, et comment cette note allait influer sur la qualité du service.
Nous avons publié un tableau qui décrit précisément quels engagements de service correspondaient à chaque note.
Pour une application notée D, les engagements sont uniquement en mode Best Effort, sans garantie de faisabilité ni de délai.


 

Comment transformer le nutriscore en outil d’aide à la décision ?

Pour apporter davantage de sens business à ce nutriscore, la DSI a eu l’idée de corréler le nutriscore des applications avec leur sensibilité au risque business pour la Banque. Un diagramme classe les applications par rapport à 5 zones prenant en compte l’appétence au risque. Selon si nous parlons d’applications standard ou stratégique la tolérance au risque ne sera pas la même. Pour chaque groupe d’applications, un indicateur donne le nombre d’entre elles qui ont au moins une note D sur les 4 couches de leur nutriscore.

Cette visualisation permet de prioriser les actions de gestion de la dette en partant du haut à droite (dette et risque les plus importants) vers le bas à gauche (dette et risque les moins importants) du diagramme présentant un exemple fictif ci-dessous

 
Les applications situées dans la zone orange et la zone rouge sont considérées comme portant de la dette structurelle. Il s’agit de la dette mal ou pas gérée, qui s’est accumulée dans le temps et qui nécessitera sans doute une refonte totale de l’application, fonctionnelle et technique.
A l’inverse, les applications dans les couches vertes et jaunes sont considérées comme ayant de la dette usuelle qu’il faudra traiter au bon moment, conformément aux exigences règlementaires ou de sécurité

A travers cette cartographie, nous calculons un taux de dette, que nous pilotons. Une dette du SI maîtrisée se situe dans la zone des 10 à 15%.
Cette analyse de la dette est réactualisée mensuellement. Afin de manager la dette du SI, une gouvernance a été mise en place avec un budget sanctuarisé, associant aussi bien les MOE que les Métiers/MOA.

Autres articles sur le même thème

image
Le retour d'expérience du mois
Projet C'zam : l'outil ITSM de France Travail vers une vision ESM
Mag #18
Lire l'article
image
Le retour d'expérience du mois
KIABI invente le Middle Office en double couche !
Mag #15
Lire l'article
image
Le retour d'expérience du mois
De la sécurisation du SI à la sécurisation de tout un écosystème
Cyrille SALMON, CTO de DARVA
Mag #13
Lire l'article
image
Le retour d'expérience du mois
Gabriel HAUTREUX, Responsable du département Calcul Intensif du CINES, présente Adastra
Mag #12
Lire l'article