CA-16 · ISO clásica · servicios TI

ISO 20000

La norme internationale de gestion des services informatiques. Pour les prestataires de services managés, les éditeurs SaaS B2B et les directions des systèmes d'information qui souhaitent formaliser leurs processus ITIL dans un système certifiable, auditable et reconnu par les donneurs d'ordre publics et privés.

NormeISO/IEC 20000-1:2018
Durée6-9 mois
ProfilMSP · SaaS B2B · DSI interne

ISO/IEC 20000-1:2018 est la seule norme internationale certifiable pour la gestion des services informatiques. Publiée par l'ISO conjointement avec l'IEC, elle traduit les bonnes pratiques d'ITIL v4 en exigences auditables : un catalogue de services avec des niveaux de service (SLA) documentés, une gestion structurée des incidents, des problèmes et des changements, ainsi qu'un cycle d'amélioration continue mesurable à l'aide d'indicateurs réels. Contrairement à la certification ITIL — qui est individuelle —, ISO 20000 certifie l'organisation et le périmètre du service qu'elle fournit, ce qui en fait une accréditation exigible dans les appels d'offres publics et les contrats avec les grands comptes.

La norme couvre l'intégralité du cycle de vie du service informatique : depuis la conception du catalogue et la gestion de la capacité et de la disponibilité, jusqu'à l'exploitation quotidienne (gestion des incidents, problèmes, demandes et accès), en passant par la transition et la gestion des changements. Elle impose d'établir des conventions de service internes (OLA) et externes (SLA ou contrats), de gérer les fournisseurs et sous-traitants, et de maintenir un programme d'audits internes et des revues de direction. Sa version en vigueur, publiée en 2018, a introduit un alignement explicite avec la structure de haut niveau (SHN) commune aux normes ISO, ce qui facilite l'intégration avec ISO 27001 (sécurité de l'information) et ISO 22301 (continuité d'activité).

Chez Summum, nous accompagnons la mise en œuvre depuis le diagnostic initial jusqu'à l'audit de certification auprès de l'organisme accrédité choisi par le client — AENOR, Bureau Veritas, SGS, Lloyd's Register ou autres. Nous sommes consultants, non certificateurs : notre mission s'achève lorsque l'auditeur externe délivre le certificat. Depuis 2007, nous accompagnons des mises en place de systèmes de management en Castille-et-León et aux Canaries, avec environ 200 certifications ISO accompagnées au total. Sur ISO 20000, notre point différenciant est que nous partons toujours des processus déjà en place chez le client — nous ne réinventons pas le service pour certifier, nous structurons ce qui fonctionne et corrigeons ce qui ne fonctionne pas.

Le processus ISO 20000.

Le processus · quatre étapes
01

Diagnostic de maturité ITSM

Nous évaluons l'état actuel face aux exigences d'ISO/IEC 20000-1:2018 : quels processus existent, lesquels sont documentés, lesquels disposent de métriques réelles et quels écarts critiques bloquent la certification. Nous livrons un rapport de gaps avec priorisation par risque de certification et une feuille de route réaliste. Sans hypothèses : nous regardons ce qui existe, pas ce qui devrait exister.

02

Conception du système et catalogue de services

Nous construisons le catalogue de services avec des SLA par niveau (basique, avancé, critique), les conventions de service internes (OLA) avec les équipes, et les procédures des processus ITSM obligatoires : gestion des incidents, problèmes, changements, configurations, demandes, capacité, disponibilité et continuité du service informatique. Nous adaptons le socle documentaire à l'outil déjà utilisé par le client (ServiceNow, Jira Service Management, Freshservice ou gestion manuelle).

03

Déploiement, formation et audit interne

Nous accompagnons la mise en service des processus nouveaux ou améliorés durant la période de rodage — généralement trois à six mois. Nous formons les responsables de processus et l'équipe technique aux exigences de la norme. Nous réalisons l'audit interne préalable à la certification avec un auditeur indépendant de l'équipe de déploiement, produisons le rapport de non-conformités et accompagnons leur clôture avant l'audit externe.

04

Audit de certification et suivi

Nous coordonnons l'audit de certification avec l'organisme accrédité retenu. Nous assistons en observateurs lors des journées d'audit, gérons les non-conformités détectées et appuyons la présentation des preuves. Après la certification, nous planifions les audits de surveillance annuels et le renouvellement triennal pour maintenir le certificat en cours de validité.

Ce qui est inclus

Ce qu'inclut ISO 20000.

Le détail opérationnel : ce que nous livrons dans le cadre du travail et ce que nous maintenons vivant ensuite.

  • Diagnostic et cartographie des écarts

    Rapport de gaps face à ISO/IEC 20000-1:2018 avec priorisation par risque de certification et feuille de route par phases.

  • Catalogue de services et SLA

    Catalogue formel avec description de chaque service, niveaux de service (temps de réponse, résolution, disponibilité) et indicateurs de suivi.

  • Procédures ITSM documentées

    Procédures pour les processus obligatoires : incidents, problèmes, changements, configuration, demandes, capacité, disponibilité et continuité du service informatique.

  • Politique du système de management

    Politique de gestion des services informatiques, objectifs mesurables, rôles et responsabilités (RACI) et programme d'audits internes.

  • Formation de l'équipe technique

    Sessions de formation en présentiel ou à distance pour l'équipe opérationnelle, les pilotes de processus et le responsable du système. Comprend une simulation d'audit.

  • Accompagnement à la certification

    Coordination avec l'organisme accrédité (AENOR, BV, SGS…), soutien lors des journées d'audit et gestion de la clôture des non-conformités jusqu'à la délivrance du certificat.

Questions fréquentes sur ISO 20000.

Quelle est la différence entre ISO 20000 et ITIL ?

ITIL est un référentiel de bonnes pratiques pour la gestion des services informatiques ; il décrit ce qu'il faut faire mais n'est pas certifiable ni auditable extérieurement. ISO/IEC 20000-1:2018 est une norme internationale certifiable : elle établit des exigences concrètes — pas seulement des recommandations — et permet à un organisme accrédité (tel qu'AENOR ou Bureau Veritas) d'auditer la conformité et de délivrer un certificat reconnu. Une entreprise peut mettre en œuvre ITIL sans chercher de certification formelle ; ISO 20000 oblige à démontrer la conformité devant des tiers. Les deux sont compatibles : la norme s'aligne sur la terminologie et les processus d'ITIL v4.

Quelles organisations se certifient ISO 20000 ?

Principalement les prestataires de services managés (MSP), les éditeurs de logiciels en mode SaaS qui fournissent un support technique à des clients B2B, les directions des systèmes d'information de grandes entreprises ou d'administrations qui gèrent des services internes en tant que produit, et les entreprises d'hébergement, de télécommunications ou d'intégration de systèmes. Elle s'applique également à toute entreprise souhaitant remporter des marchés publics exigeant de démontrer une capacité de gestion des services informatiques au moyen d'une norme certifiable.

Combien de temps faut-il pour obtenir la certification ISO 20000 ?

Dans la plupart des projets, entre six et neuf mois du diagnostic initial à l'audit de certification. Le délai dépend du point de départ : si l'entreprise dispose déjà de processus ITIL matures et d'outils de gestion des tickets actifs, le projet peut se situer dans la fourchette basse. En partant de zéro — sans procédures documentées ni métriques SLA —, la période de rodage préalable à l'audit est souvent prolongée afin d'accumuler suffisamment de preuves (minimum trois mois d'exploitation avec le système en place).

Summum délivre-t-il le certificat ISO 20000 ?

Non. Summum est un cabinet de conseil : nous accompagnons la conception, la mise en œuvre et la préparation jusqu'à l'audit. Le certificat est délivré par un organisme de certification accrédité par ENAC (Entité Nationale d'Accréditation) en Espagne : AENOR, Bureau Veritas, SGS, Lloyd's Register, entre autres. Cette séparation entre conseil et certification est le standard du secteur et garantit l'indépendance de l'audit.

ISO 20000 est-elle compatible avec ISO 27001 ou ISO 22301 ?

Oui, et en pratique il est courant d'intégrer les trois systèmes. ISO/IEC 20000-1:2018 suit la structure de haut niveau (SHN) commune à toutes les normes de système de management ISO modernes, ce qui permet de partager la politique, les objectifs, le cycle d'audits internes et la revue de direction avec ISO 27001 (sécurité de l'information) et ISO 22301 (continuité d'activité). L'intégration réduit la charge documentaire et les journées d'audit, et présente au client ou au pouvoir adjudicateur une image cohérente du prestataire informatique.