Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

Nouvelle certification : Protection des Renseignements Personnels

Avec l’explosion toujours croissante d’informations qui inondent le net, chaque entreprise devra planifier la gestion et la protection des renseignements personnels et des données. Non sans raison, beaucoup de nouvelles lois – tant dans l’UE qu’aux États-Unis et dans de nombreuses autres régions du monde sont en cours de mise en oeuvre en vue de réglementer ces deux sujets. Le Règlement Général sur la Protection des Données (GDPR) entrera en vigueur le 25 mai 2018. Il remplace le cadre de protection des données existant en vertu de la directive Européenne sur la protection des données.

GDPR - Protection des renseignements personnels

La protection des renseignements personnels avec le GDPR

Plus de données, moins de confidentialité et des règles strictes nécessitent des personnes formées et compétentes. Le GDPR exigera que les organisations désignent un Délégué à la Protection des Données (DPO). Les organisations qui requièrent un DPO comprennent les autorités publiques, les organisations dont les activités impliquent un suivi régulier et systématique des personnes concernées à grande échelle, ou des organisations qui traitent ce qu’on appelle actuellement des données personnelles sensibles à grande échelle.

«Les organisations subissent une pression croissante de deux côtés: les technologies augmentent les préoccupations en matière de protection de la vie privée, tandis qu’une réglementation de la sécurité plus stricte freine l’innovation. Il leur faut trouver le bon équilibre  entre ces deux contraintes »

Il reste peu de temps avant que le Règlement général sur la protection des données (plus connu sous son acronyme anglais de GDPR) devienne une réalité.

Cette nouvelle réglementation concerne l’ensemble des entreprises et acteurs du marché qui gèrent, stockent et déplacent les données dans le Cloud. Aucun acteur ne pourra s’en affranchir.

Aujourd’hui, certaines organisations ont déjà mis en place des solutions pour y répondre. Malheureusement, elles sont encore trop nombreuses à ne pas être en conformité à la future règlementation.

Elément important : la vie des données. Sont-elles protégées dans la durée ? Qui risque d’y avoir accès, qui pourra être concerné par leur collecte ?

Obligation de recruter un DPO

Toute entreprise collectant un certain niveau et une certaine quantité de données va devoir embaucher un Délégué à la Protection des Données (DPO), responsable de la gestion de ces données. Celui-ci devra s’assurer que l’entreprise est en mesure de répondre à tout un faisceau de contraintes et d’obligations. Selon l’IAPP, cela représente la création de 75.000 postes nouveaux dans le monde.

Êtes-vous intéressé sur la façon d’obtenir une certification pour devenir DPO ? AB Consulting peut vous aider avec son approche et son programme s’appuyant sur les certifications Privacy and Data Protection d’EXIN. Les formations certifiantes DPP Foundation sont déjà programmées. N’attendez pas qu’il soit trop tard.

Vous voulez en savoir plus ? Envoyez-nous un message ou appelez-nous directement pour échanger.

La version Française du Guide de mise en oeuvre COBIT 5 est disponible

Ca y est enfin!! Le guide « COBIT 5 Mise en oeuvre » est désormais disponible en Français. De longues semaines d’investissement personnel de l’équipe de traduction auront été nécessaires. Il n’est jamais simple de traduire un guide de bonnes pratiques ou de mise en oeuvre. L’Anglais est une langue typiquement orientée « business » et donc assez rigoureuse. A l’opposé, le Français est une langue plus orientée vers la littérature ou la diplomatie et dans laquelle, soit les termes anglais n’ont pas d’équivalent ou, pire encore, sont le plus souvent traduits par des termes erronés (les fameux faux-amis sur lesquels tous les élèves ont trébuché pendant leur parcours scolaire).

COBIT 5 Mise en Oeuvre

Bon, en ce qui concerne cette publication, l’honnêteté nous impose d’admettre que ce n’est pas réellement une version Française. C’est plutôt une version Québécoise, car réalisée par l’équipe du chapitre (tiens, encore un mot qui n’a pas d’équivalent direct en Français) ISACA de Québec, avec seulement deux contributions externes, l’une d’un expert en Gouvernance de Montréal (toujours au Québec) et l’autre de votre serviteur, seul Français (encore que résident en Côte d’Ivoire) à avoir participé à la préparation de cette version Française.

Les raisons d’une absence totale de la France

Mais pourquoi donc une version Française dans laquelle aucun Français (de France) ne s’implique? La question mérite d’être posée. Les réponses sont multiples et malheureusement assez désespérantes:

  • Une incompréhension totale, en France de ce que sont la Gouvernance et le Management, et donc un intérêt très faible pour le sujet,
  • Une mauvaise interprétation de la notion de création de valeur, comprise uniquement comme une valeur financière et focalisée majoritairement sur une réduction des coûts,
  • Un contexte légal basé sur un modèle hérité à la fois de systèmes monarchiques et « communistes » qui conduit irrémédiablement à la destruction de valeur au lieu de la création, qui ne favorise pas l’adoption du cadre COBIT,
  • Des structures organisationnelles et gouvernementales ne permettant pas de séparer la gouvernance du management,
  • Une culture, une éthique et des comportements inadéquats (particulièrement visibles en France en cette période électorale),
  • Une gouvernance et une gestion anarchique de l’information conduisant à des excès et induisant des conséquences catastrophiques,
  • Une technologie mal utilisée et mal exploitée pour la création de valeur et laissée entre les mains de techniciens et d’ingénieurs,
  • Un modèle éducatif et une gestion de la formation continue déconnectés des réalités et des besoins des organisations.

Nous reviendrons plus en détail sur ces raisons avec un autre article dans les prochains jours. Cependant les lecteurs connaissant COBIT® 5 auront reconnu là des faiblesses au niveau des facilitateurs (en Anglais on les nomme « enablers » ce qui est beaucoup plus fort que  facilitateur mais n’a pas de traduction littérale) d’une bonne gouvernance et d’un management efficaces qui manquent cruellement à la France.

A cela, il faut bien rajouter, mais peut-on encore leur en vouloir après ce que nous venons de dire, une absence totale de volonté de l’AFAI (chapitre Français de l’ISACA) de s’investir de quelque façon que ce soit dans la promotion de COBIT® 5 qui n’assure pas, aujourd’hui, compte tenu du modèle économique imposé par ISACA HQ, un bénéfice suffisant pour les membres Français. Or, en France, il est d’usage que la création de valeur s’évalue au niveau personnel et non au niveau d’une organisation. En d’autres termes, si je participe à ces travaux, qu’est-ce que j’y gagne personnellement?

Le marché pour une version Française des bonnes pratiques

La Francophonie compte aujourd’hui un peu moins de 280 millions de personnes dans le monde, réparties de la façon suivante (source: organisation internationale de la Francophonie)

  • environ 8% en Amérique du Nord (majoritairement au Canada)
  • 37% en Europe (majoritairement en France)
  • près de 54% en Afrique (où la culture et les institutions sont calquées sur la France, héritage de la colonisation)
  • autour de 1% dans le reste du monde.

Qu’est-ce qui fait la différence entre le Canada (ou plus précisément le Québec) et les pays francophones européens et africains? J’apporterai deux réponses:

  • La culture nord-américaine fortement ancrée au Canada, intégrant les bonnes pratiques de Gouvernance et de Management largement répandues dans cette partie du monde,
  • Des lois imposant l’usage de modèles intégralement francisés dans les organisations Québécoises, ce qui n’est pas le cas en Europe, ni en Afrique francophone.

Il est donc clair que l’environnement légal favorise l’adoption des bonnes pratiques décrites par COBIT 5 au Canada et qu’au contraire l’environnement local défavorise et décourage les bonnes pratiques basées sur COBIT 5 en Europe et en Afrique Francophones.

Il apparaît ainsi clairement que le marché pour une traduction Française du cadre COBIT 5 et de son guide de mise en oeuvre se situe majoritairement en Amérique du Nord. C’est donc fort logiquement que ce sont les Québécois qui font l’effort. Malheureusement, cela décourage encore un peu plus les Français d’adopter COBIT 5 et de s’appuyer sur le guide de mise en oeuvre pour lancer des initiatives d’amélioration de la Gouvernance et du Management car ils voient ces pratiques comme étant issues de la culture Américaine. De plus ils considèrent que le Québécois n’est pas le Français tel qu’il est parlé en Europe et en Afrique. Et ce n’est pas faux…

 COBIT 5 Mise en Oeuvre – Juste une référence indispensable

La publication de la version française du guide de mise en oeuvre vient complèter le référentiel et le modèle de référence des processus COBIT 5 déjà traduits par la même équipe qu’il convient de féliciter pour leur excellent travail.

Toutefois, il faut bien rappeler que ce guide ne décrit pas la mise en oeuvre du cadre de gouvernance et de management COBIT 5 mais la mise en oeuvre des sept facilitateurs soutenant la gouvernance et management de l’information dans l’Entreprise. Il s’agit en fait de la méthodologie extrêmement efficace et efficiente de gestion d’un programme de mise en oeuvre ou d’amélioration continue, décrite par COBIT et basée sur trois composants hérités des normes et bonnes pratiques du marché :

  1. l’amélioration continue en sept étapes (similaire à ITIL)
  2. la facilitation du changement (héritée des bonnes pratiques de Change Management)
  3. la gestion de programme et de projets (issue de PRINCE2, PMBok et M_o_P)

Gageons que la version Française du guide de mise en oeuvre sera une aide efficace pour les utilisateurs francophones et sera un réel succès.

Combiner PRINCE2 et PMP pour des projets réussis

PRINCE2 et PMP présentent des perspectives très différentes en matière gestion de projet. Cependant la combinaison des deux fournit un outil puissant pour les organisations garantissant la réussite des projets. Dans cet article, nous décrivons les différences et les similitudes entre les deux approches de gestion de projet les plus reconnues au niveau mondial. Nous discuterons également des avantages à tirer de l’utilisation combinée de ces deux approches complémentaires pour la gestion de vos projets.

Combiner PRINCE2 et PMP

PMP versus PRINCE2

Le guide PMBOK® (Project Management Book of Knowledge) et PRINCE2® (Project IN Controlled Environment) abordent la gestion de projets sous des perspectives très différentes.

PMBOK se positionne du point de vue du Chef de Projet. Il lui fournit tout ce que qu’il doit connaître et comprendre dans son rôle de Gestionnaire du Projet.

PRINCE2, à l’inverse, adopte le point de vue organisationnel et vise à atteindre les objectifs de l’Organisation, en définissant les rôles et les responsabilités des différentes parties prenantes dans le processus d’exécution d’un projet.

PRINCE2 est donc une méthode générique de Gestion de Projet qui couvre l’ensemble des rôles et responsabilités impliqués dans la Direction et le Management du Projet. PRINCE2 s’appuie sur 7 principes soutenus par 7 thèmes et 7 processus. PMBOK, à l’inverse, est un cadre de bonnes pratiques à appliquer par le Chef de Projet lui-même. La combinaison des deux fournit donc un outil puissant pour les Organisations, leur permettant de réussir leurs projets de bout en bout.

Les Organisations me demandent souvent s’il serait préférable pour elles d’utiliser PMBOK ou PRINCE2 et quelle approche serait la meilleure dans leur cas. Je leur réponds généralement qu’elles me posent la mauvaise question et que je ne peux pas y répondre.

En effet, PMBOK et PRINCE2 ont des objectifs très différents. En fonction des problèmes auxquels l’Organisation doit faire face, ils peuvent travailler efficacement ensemble ou en tandem avec d’autres approches de gestion de projet, telles que Agile ou des approches basées sur des normes (ISO 21500 par exemple), ou encore séparément.

Un gestionnaire de projet PRINCE2 a besoin d’un ensemble de connaissances à utiliser afin d’être compétent et PMBOK répond à cette attente. D’un autre côté, le Guide PMBOK nécessite une méthode que l’équipe de gestion de projet puisse adopter, et cette méthode peut être PRINCE2.

Les différences clés entre les deux approches

PMBOK, s’appuie sur un patrimoine de connaissances remontant à 1987. Il fournit une base de connaissances destinée au gestionnaire de projet. PRINCE2, pour sa part, s’appuie sur une première version (PRINCE) publiée en 1990 mettant spécifiquement l’accent sur les projets  IT. C’est en 1996 qu’a été publiée la version 2 (PRINCE2), laquelle a été mise à jour de façon importante en 2009. PRINCE2 fournit des processus de bout en bout pour gérer tout type de projet au sein d’une organisation. 

PMBOK est un guide maintenu par le PMI® (Project Management Institute). Les qualifications associées portent le nom de PMP®. Il fournit des conseils sur tout ce qu’un chef de projet devrait faire, ainsi que certains outils et techniques spécifiques pour le faire. Il ne comprend pas de rôles et de responsabilités définis, ni la description des produits ni l’ordre des activités dans les processus. Il se limite exclusivement au rôle du Chef de Projet.

A l’inverse, PRINCE2 est une méthode claire avec des rôles, des responsabilités, des principes et des processus, permettant de gérer un projet de bout en bout grâce à une équipe complète. Dans certains pays, voire dans certaines Organisations internationales, il est obligatoire pour un gestionnaire de projets d’être certifié PRINCE2. La certification PRINCE2 garantit que la personne possède la connaissance de la méthode (certification Foundation) et qu’elle sait l’appliquer (certification Practitioner). 

Qu’est-ce qui caractérise PRINCE2?

Prince2-manualPRINCE2 met fortement l’accent sur l’avant-projet et la phase de démarrage du projet. Il se focalise sur les produits du projet, et cherche à s’assurer qu’il y a une justification business qui demeure valide tout au long du projet. Si la justification disparaît, à tout moment, le projet prendra fin. D’autre part, bien que les phases PMBOK comportent des aspects de surveillance et de contrôle, l’accent est moins mis sur la justification initiale pour l’entreprise.

Lors de la planification, PRINCE2 adopte l’approche par décomposition du produit, tandis que PMBOK adopte une approche par répartition des activités. D’un côté, on s’assure que tous les produits nécessaires sont prévus et de l’autre, on s’assure que tout le travail nécessaire est planifié.

Qu’est-ce qui caractérise PMBOK?

PMBOK-manualLe PMBOK est un guide de bonnes pratiques plutôt qu’une méthodologie. Il est donc possible d’utiliser différentes méthodologies et outils en conjonction avec PMBOK. PMBOK est très large et couvre beaucoup plus de domaines de connaissance de gestion de projet que PRINCE2. PRINCE2 fournit un ensemble de principes de base, les divise en thèmes qui expliquent pourquoi il est important de faire les choses et comment vous allez les faire, puis définit des liens vers les processus. Mais il ne va pas dans le détail de tous les outils et des techniques qu’un gestionnaire de projet doit utiliser. PRINCE2 est plus réduit en termes de périmètre (seulement 7 processus), mais plus profond sur chacun des aspects. PMBOK, au contraire, couvre 47 processus, chacun ayant des intrants, des outils, des techniques et des extrants. Ces processus sont divisés en dix domaines: l’intégration, la portée, le temps, le coût, la qualité, les ressources humaines, les risques, la communication, l’approvisionnement et les parties prenantes.

Différences clés entre les deux approches

PRINCE2 et PMP ont des différences importantes de terminologie et il est utile d’en avoir une vue d’ensemble. Par exemple, les termes «assurance qualité» et «contrôle qualité» ont des définitions très différentes dans chacune des approches, même si PMBOK et PRINCE2 considèrent tous deux que l’examen des résultats, tels que les produits livrables, à l’intérieur du projet fait toujours partie du contrôle qualité, et l’examen des processus par quelqu’un externe au projet est toujours du ressort de l’assurance qualité.

Prince2-Pmbok-vocabulaire
Différences entre les deux approches au niveau de la Qualité

 Le PMBOK a des «Commanditaires de projet» tandis que PRINCE2 a un «Exécutif». Le PMBOK parle de «Phases» tandis que PRINCE2 définit les «Séquences de Management». Le PMBOK a un «Enoncé du Contenu du Projet», tandis que PRINCE2 s’appuie sur la «Description de Produit du Projet» correspondant à son principe de focalisation sur le produit.

Prince2-Pmbok-vocabulaire-2
Quelques exemples de différences dans le vocabulaire

En raison de son origine dans le domaine public, PRINCE2 ne gère pas les achats alors que le PMBOK le fait. PRINCE2 considère que lorsque des connaissances spécialisées telles que la connaissance d’approvisionnement sont nécessaires, cela ne relève pas du domaine du gestionnaire de projet. La compétence du gestionnaire de projet sera seulement d’aller chercher un soutien spécialisé auprès d’autres ministères, comme dans le cas de  l’approvisionnement, lorsque cela s’avèrera nécessaire. PRINCE2 dit qui doit être impliqué, quand ils doivent être impliqués, ce qu’ils doivent faire et pourquoi ils doivent le faire. Il suppose que le chef de projet possède les compétences nécessaires pour gérer le projet. PMBOK, au contraire, se concentre sur ces compétences et fournit la compréhension et les connaissances nécessaires pour les soutenir.

PRINCE2 et PMP : la synergie gagnante

Bien que PMBOK et PRINCE2 abordent la gestion de projets à partir de deux perspectives différentes, ils s’intègrent et se complètent parfaitement. Ce sont les deux approches de gestion de projet les mieux reconnues au niveau mondial et la combinaison des deux couvre intégralement le périmètre de toute Organisation.

Les Entreprises multinationales en cours de fusion et d’acquisition peuvent largement bénéficier d’une combinaison de PMBOK et de PRINCE2. Dans la pratique, les grandes Organisations ont souvent une expérience et une pratique fragmentaires, à la fois du PMBOK et de PRINCE2. En combinant les deux et en créant une approche intégrée pour développer des processus communs et cohérents, elles garantiront le succès de leurs futurs projets.

Comment gérer l’agilité avec les deux approches

À mesure que les Organisations envisagent d’utiliser PMBOK® et PRINCE2®, beaucoup évaluent également comment ces méthodologies / cadres s’intègrent à l’approche Agile de plus en plus populaire dans le monde de l’Entreprise. En juin 2015, AXELOS, propriétaire de PRINCE2®, a publié PRINCE2 Agile™ afin d’offrir aux Organisations le meilleur des deux mondes. En fait, beaucoup de techniques dites « Agile » s’accordent très bien avec PRINCE2 car il n’a jamais été stipulé qu’il n’y a qu’une seule façon de livrer un produit.

Agile est d’abord apparu comme une approche spécifique au développement de logiciels, mais les organisations utilisent également le terme Agile pour signifier qu’elles recherchent l’agilité et la capacité de changer l’environnement de chaque projet. En effet, de nombreuses organisations ont utilisé des techniques Agiles avant que le manifeste Agile ne les formalise. Par exemple, de nombreuses organisations utilisaient des prototypes et des tests rapides comme moyen de développer des produits dans les années 80 et 90, avant même que le manifeste Agile ne soit publié.

Les organisations qui doivent considérer l’intégration de PRINCE2 avec Agile (ou PRINCE2 Agile) peuvent faire face au défi d’inclure PMBOK dans leur périmètre qui peut aussi leur être très utile. Agile est une approche de livraison de produits. Donc, en tant que tel, c’est un plug-in spécialisé pour la «Gestion de la Livraison des Produits» de PRINCE2, de la même manière que les approches spécialisées utilisées dans d’autres segments de l’industrie peuvent également intégrer leur approche de développement de produit spécifique. PRINCE2 ne spécifie pas l’approche de livraison du produit car il traite des besoins génériques de la gestion du projet plutôt que des exigences spécifiques de chaque domaine spécialiste. A contrario, PMBOK fournit une base de connaissances utilisable par les deux approches.

Vous souhaitez en savoir plus? N’hésitez pas à nous adresser vos commentaires et vos questions. Un de nos experts en gestion de projets vous répondra.

GDPR – Etat des lieux alarmant

GDPR – Les DSI face à leurs responsabilités

Alors que la nouvelle réglementation européenne sur la protection des données personnelles (GDPR) va entrer en vigueur le 25 Mai 2018, et donc à moins de 18 mois de son application, TREND Micro a réalisé une enquête  extrêmement révélatrice auprès des DSI Français. L’état des lieux est pour le moins alarmant concernant la sécurité des informations dans les Entreprises Françaises.

GDPR - Les DSI face à leurs responsabilités

Et vous? Serez-vous prêts pour cette échéance importante? N’hésitez pas à nous adresser vos commentaires et vos questions. Un de nos experts en protection des données personnelles vous répondra.

 

GDPR – Exigences de protection des données

GDPR – Exigences de la réglementation

Dans notre précédent article GDPR et la protection des données en Afrique. Nous avions évoqué la Réglementation Générale de Protection des Données adoptée par l’Union Européenne et quelles en seraient les impacts sur les économies des pays Africains. Dans ce nouvel article, nous allons voir, plus en détail, quelles sont les principales exigences de la réglementation. 

GDPR le contenu de la réglementation sur la protection des données

La mise en conformité à la GDPR peut, au premier abord, apparaître comme un fardeau. Cela ne l’est pas. C’est  un moyen de protéger chacun d’entre nous, car nous sommes tous l’objet de données, l’exploitant ou encore le vérificateur de données. La GDPR se concentre sur les données personnelles. Mais c’est une occasion idéale pour investir dans la protection de toutes vos données. Tout cela sera finalement très utile car ce sont vos données qui sont la source de votre activité économique.

Pourquoi protéger les données de l’Entreprise?

Vous pensez ne pas être concernés car vous produisez des crayons et vous pensez que l’informatique est secondaire dans votre activité. Pensez un seul instant aux données qui vous sont propres pour produire vos crayons. Il y a les spécifications, la propriété intellectuelle, les données sur vos fournisseurs, les informations sur commandes, les clients, les services financiers, les coordonnées bancaires de vos clients et de vos fournisseurs, les informations personnelles de vos employés, les configurations de sécurité que vous avez mises en place… Toutes ces informations sont vitales pour votre activité. Que se passerait-il si vous les perdiez ou si elles arrivaient entre les mains de votre concurrent?

Commençons donc par le début. Nous devons assurer une bonne protection des données. Ce n’est pas seulement parce que la GDPR l’exige et que nous devons nous aligner sur les exigences de l’UE. C’est simplement un pré-requis indispensable à la bonne gestion d’une Entreprise. Tout bon régime de protection des données commence par une stratégie. Celle-ci précise les obligations de l’Entreprise vis à vis des données et les résultats escomptés. La stratégie définit également les moyens à mettre en oeuvre pour protéger ces informations.

Comment nous y prendre?

Les Entreprises ont deux sources d’inspiration pour baliser leur chemin.

Le premier est la GDPR elle-même parce qu’elle énonce les obligations que les entreprises doivent appliquer à leur système d’information. Le second est l’utilisation de référentiels tels que COBIT 5 ou de normes telles que ISO 27001. COBIT 5 et ISO 27001 nous fournissent le cadre sur la base duquel évaluer comment vous allez atteindre ces résultats et les bénéfices attendus. En combinant liste complète des exigences de la GDPR et l’utilisation de COBIT 5, les entreprises seront donc en mesure de répondre aux exigences de conformité de GDPR de façon transparente.

Les principales exigences de la GDPR

Avant d’aborder comment nous y prendre, examinons un peu plus en détail les exigences de la réglementation

1. Même si votre entreprise n’est pas dans l’UE, la réglementation s’applique

Les organisations non situées dans un état européen mais qui font des affaires avec l’UE et utilisent les données personnelles des ressortissants de l’UE doivent se préparer à se conformer à la réglementation. Ceux qui fournissent des produits ou des services à des clients dans l’UE ou qui traitent ou manipulent leurs données peuvent avoir à faire face à des poursuites de l’UE si un incident de sécurité est signalé.

C’est notamment le cas de toute banque Africaine qui reçoit de l’argent depuis un compte situé en Europe. C’est la même chose si elle effectue un transfert vers un compte bancaire Européen. Cette banque Africaine aura alors en sa possession les données bancaires du citoyen ou de l’Entreprise européenne avec laquelle s’effectue la transaction. Ces informations doivent donc être protégées en respectant les exigences de la GDPR. Toute transaction commerciale impliquant une organisation Africaine et un Organisation Européenne est donc concernée.

2. La définition des données personnelles est élargie

La confidentialité des données concerne désormais d’autres facteurs susceptibles d’être utilisés pour identifier un individu. Il s’agit par exemple de son identité génétique, psychique, économique, culturelle ou sociale. Les entreprises sont incitées à prendre des mesures afin de réduire la quantité d’informations personnelles qu’ils stockent, et à veiller à ce qu’elles ne stockent pas les informations plus longtemps que strictement nécessaire.

3. Un consentement est requis pour traiter les données relatives aux enfants

Le consentement des parents sera nécessaire pour le traitement des données personnelles des enfants de moins de 16 ans. Chaque État membre de l’UE peut abaisser à 13 ans l’âge nécessitant le consentement parental. Bien entendu des traces doivent permettre la vérification au travers d’audits.

4. Les modifications apportées aux règles d’obtention du consentement valide

Un document de consentement au traitement des données personnelles doit être exprimé en termes simples et non ambigus. Le consentement ne se présume pas. Le silence ou l’absence de réponse ne constitue pas un consentement. Un consentement clair et positif au traitement des données privées doit être fourni, de façon formelle et auditable.

Imaginons que vous utilisez le mailing internet pour contacter vos clients. Chacun d’eux doit avoir fourni un consentement clair et positif à être présent dans votre liste d’adresses. Cela signifie que citoyen d’un état Européen qui recevrait un email provenant d’une société, en Afrique par exemple, et qui n’aurait pas donné explicitement son consentement pour être contacté par mail serait en droit de poursuivre ladite Société, laquelle serait du coup passible d’une lourde amende pour non respect de la GDPR.

5. La nomination d’un Directeur de la Protection des Données (DPO) est obligatoire pour certaines entreprises

L’article 35 de la GDPR stipule que des Directeurs de la Protection des Données (DPO – Data Protection Officer) doivent être nommés dans toutes les administrations. En outre, un DPO sera nécessaire lorsque les activités de base de l’Organisation impliquent « un suivi régulier et systématique de grandes quantités de données personnelles » ou lorsque l’entité effectue le traitement à grande échelle de « catégories particulières de données à caractère personnel ». Cela fait donc référence aux sociétés de service informatique qui opèrent le système d’information de leurs clients.

Les entreprises dont l’activité principale n’est pas le traitement de données sont exemptées de cette obligation.

La GDPR ne précise pas les diplômes et certifications professionnelles requis pour les Directeurs de  la Protection des Données, mais stipulent néanmoins qu’ils doivent avoir  «une connaissance approfondie du droit et des pratiques de protection des données. »

6. Evaluations obligatoires d’impacts des risques sur la protection des données

Une approche basée sur les risques doit être adoptée avant d’entreprendre des activités de traitement de données sensibles. Des rôles de vérificateurs de données seront nécessaires pour effectuer des évaluations d’impact, analyser et minimiser ces risques pour les personnes concernées dès lors que des risques de violation de la vie privée sont élevés.

Ce sera notamment le cas lorsqu’une Entreprise Européenne entrera en relation d’affaires avec une Entreprise d’un pays dont la législation est plus tolérante.

7. Exigences nouvelles en matière de notification de violations des données

Les vérificateurs de données seront tenus de signaler les violations de confidentialité constatées à leur autorité de protection des données, à moins que celles-ci ne représentent qu’un risque faible pour les droits et libertés des personnes concernées. L’information doit être transmise dans les 72 heures suivant la constatation de la violation de confidentialité par les vérificateurs. Des dérogations pourront exister en cas de circonstances exceptionnelles, qui devront être justifiées.

Lorsque le risque pour les individus est élevé, les personnes concernées doivent être informées. Toutefois, aucun délai n’est spécifié par la règlementation.

Des audits réguliers de la chaîne d’information et des vérifications seront requis pour assurer que le nouveau régime de sécurité est bien adapté à l’usage.

8. Le droit à l’oubli

Tout individu a le « droit à l’oubli ». La GDPR prévoit des lignes directrices claires sur les circonstances dans lesquelles le droit peut être exercé.

9. Le transfert international de données

Étant donné que la règlementation est également applicable aux Entreprises qui utilisent et transforment les données, les organisations doivent être conscientes du risque de transfert de données vers des pays ne faisant pas partie de l’UE.

10. Responsabilités en matière de traitement de données

Les Entreprise exploitant des données auront des obligations et des responsabilités juridiques directes. Cela signifie que les exploitants peuvent être tenus responsables des violations de données. Les arrangements contractuels devront donc être mis à jour en précisant les responsabilités et les obligations de chacune des parties. Il s’agit là d’une exigence impérative dans les futurs accords.

Les Parties devront documenter leurs responsabilités sur les données encore plus clairement, et les niveaux de risque accrus peuvent clairement influer sur le coût des services.

11. La portabilité des données

La portabilité des données permettra à un utilisateur de demander une copie de ses données personnelles dans un format utilisable et par voie électronique transmissible à un autre système de traitement.

12. Protection par la conception

La GDPR exige que les systèmes et les processus prennent en compte le respect des principes de protection des données. L’essence de la protection par la conception est que la vie privée dans un service ou un produit est pris en compte non seulement au moment de la livraison, mais aussi dès l’origines de la création du concept de produit.

Il y a aussi une exigence que les vérificateurs ne doivent recueillir que les données strictement nécessaires à la réalisation de leurs objectifs spécifiques et les détruire  dès qu’elle ne sont plus nécessaires.

13. Un guichet unique

Un nouveau guichet unique Européen est créé pour les entreprises. Cela signifie que les entreprises ne devront faire face à une autorité de surveillance unique pour l’ensemble de l’Europe et non pas au sein de chaque état. Ceci rend plus simple et moins coûteux pour les entreprises de faire des affaires dans l’UE. Cela aura également un impact positif pour les fournisseurs de services Internet ayant des bureaux dans plusieurs pays de l’UE.

Et pour se mettre en conformité, comment fait-on?

Dans notre prochain article, nous verrons comment nous appuyer sur COBIT 5 et ISO 27001 pour implémenter l’ensemble des mesures nécessaires à la conformité requise par la GDPR.

Vous avez des questions sur le contenu de la réglementation, son interprétation ou ses conséquences pratiques? N’hésitez pas à nous poster un commentaire et un de nos experts en protection des données personnelles vous répondra.

GDPR et protection des données en Afrique

Les exigences et les conséquences du GDPR

La règlementation générale sur la protection des données (GDPR: General Data Protection Régulation) est applicable à partir du 25 mai 2018. Elle deviendra donc, de fait, une loi applicable dans chacun des pays de la Communauté Européenne à cette date. Encore une réglementation européenne de plus, pensez-vous? Non, pas exactement. Il s’agit là d’une réglementation majeure qui va impacter profondément les économies des pays Européens. Mais elle va également impacter celles des pays qui ont des liens commerciaux forts avec l’Europe. Les pays d’Afrique sont au premier plan des pays qui vont subir de plein fouet cette nouvelle réglementation. Alors de quoi s’agit-il? Faut-il s’inquiéter? Comment s’y préparer pour réduire les risques pour nos économies? Nous allons essayer de vous apporter quelques ébauches de réponses.

COBIT, GDPR et la protection des données

 GDPR – Ca veut dire quoi?

GDPR signifie Réglementation Générale sur la Protection des Données. Il s’agit d’une réglementation Européenne (99 articles décrits sur 88 pages) qui entrera en vigueur le 25 Mai 2018. A compter de cette date, elle s’impose à toutes les Entreprises de l’ensemble des états de la Communauté Européenne. L’objectif de cette réglementation est d’assurer la protection des données personnelles de l’ensemble des citoyens, notamment face aux risques de cybersécurité qui augmentent chaque jour.

La négligence, l’imprudence ou la simple malchance ne constitueront pas une excuse en vertu de la loi renforcée. Les entreprises qui seront en violation avec la loi devront faire face à une augmentation des peines importantes. A moins, bien sûr, qu’elles ne puissent démontrer que la protection des données qu’elles utilisent – la confidentialité et la sécurité – était manifestement au niveau de qualité exigé par le GDPR. Ceci a notamment pour objectif de nous assurer que nous, en tant qu’individus, disposons de privilèges plus étendus sur nos données personnelles, y compris le droit à l’oubli.

Quels sont les enjeux?

Le GDPR est fondamentalement une excellente chose. Il est moralement juste et chacun d’entre nous devrait y adhérer sans réserve. Il y a de bonnes raisons commerciales également à le respecter :

  • le respect du GDPR signifie que nous sommes alignés avec la réglementation Européenne en la matière et que nous pouvons donc avoir des activités commerciales avec des Entreprises dans tous les pays Européens,
  • c’est l’occasion de mieux protéger nos données contre les risques en matière de cybersécurité,
  • c’est aussi la meilleure façon d’assurer que nous sommes alignés avec la réglementation en vigueur en Amérique du Nord et que les risques de cybersécurité ne seront pas un frein à nos échanges avec les USA et le Canada.

Mais, malheureusement, il y a aussi des coûts associés :

  • la mise en oeuvre des obligations prévues par la réglementation,
  • les problèmes de réputation et les aspects stratégiques,
  • les coûts opérationnels et les coûts de conformité,
  • et enfin la mise à niveau, en termes de formation et de sensibilisation, de l’ensemble du personnel des Entreprises, depuis le Président du Conseil d’Administration jusqu’au gardien, car les individus sont les premiers remparts en matière de sécurité des données.

Tous ces coûts risquent fort d’être extrêmement importants. Et ce surtout en Afrique où le sujet n’intéresse, pour l’instant, pas grand monde et où le niveau de sécurité de l’information dans les Entreprises est proche de zéro. Combien d’Entreprises, par exemple, sont aujourd’hui, en Afrique, certifiées sur la base de la norme ISO 27001? L’étude annuelle réalisée début 2016 par l’ISO montre seulement 129 entreprises certifiées ISO 27001 en Afrique. Parmi celles-ci, seulement 2 sont en Afrique Francophone subsaharienne (1 en Côte d’Ivoire et 1 au Sénégal). Ce chiffre est à comparer avec les plus de 12.000 organisations certifiées en Asie…

Les exigences du GDPR en matière de protection des données

L’ICO (Information Commissioner’s Office), organisation indépendante créée au Royaume Uni en vue  superviser les droits sur l’information dans l’intérêt public, donne une explication détaillée et compréhensible des principaux aspects de cette règlementation.

Quelques points clés issus du contenu de la réglementation sont particulièrement importants pour les économies Africaines :

Fournisseurs et partenaires d’affaires sont inclus dans le périmètre

Les fournisseurs et les partenaires d’affaires doivent être inclus dans le périmètre de la gestion de la protection des données. Cela signifie qu’une Entreprise Européenne ne pourra transmettre des données (bancaires ou commerciales par exemple) à un fournisseur ou un partenaire d’affaires situé sur le continent Africain que si et seulement si ce fournisseur ou ce partenaire d’affaires peut apporter la preuve (au travers d’un audit ou d’une certification par exemple) qu’il sécurise ses informations à un niveau au minimum égal à ce qu’exige la réglementation Européenne.

Compréhension des vulnérabilité et menaces

Comprendre les vulnérabilités, les menaces et l’efficacité de votre maintenance corrective sont essentiels. Cela signifie, en clair, qu’il est indispensable que toutes les menaces, toutes les vulnérabilités et la maintenance corrective des logiciels que vous utilisez soient connues, comprises, évaluées et contrôlées. En Afrique, les Entreprises sont majoritairement des PMEs. Les budgets et les compétences nécessaires vont bien au-delà de leurs moyens. Par contre, cela rentre typiquement dans le périmètre des obligations d’un éditeur de logiciel. Cela signifie donc, entre autres, qu’il ne sera pas possible, sauf à démontrer que l’obligation est bien respectée grâce à des certifications internationales ou des audits, de s’appuyer sur des applications spécifiques, développées en interne par les Entreprises. Impossible également de s’appuyer sur du logiciel libre, largement répandu dans les Entreprises Africaines. Dans ce cas, il sera impossible d’apporter la preuve du respect de l’exigence dans le cadre d’un audit.

Sécurisation adéquate des données des clients

Les données des clients doivent être considérées parmi les « biens » les plus précieux de l’Entreprise. Elles doivent donc être protégées comme telles et  bénéficier d’un niveau de sécurité maximum. Des audits et/ou des certifications d’entreprises sur des normes internationales devront permettre de démontrer que le niveau adéquat de protection est bien appliqué aux données des clients (informations personnelles, informations bancaires, informations médicales par exemple), y compris lorsqu’elles transitent ou sont manipulées au sein d’une Entreprise Africaine, partenaire d’affaires, client ou fournisseur d’une Entreprise Européenne.

Protection efficace contre les faiblesses humaines

Une protection efficace est exigée contre des fuites de données involontaires, provoquées par l’entreprise et son personnel, notamment via les médias sociaux. Cela implique une formation de l’ensemble du personnel des Entreprises Africaines, allant du Président au gardien, sur la sécurité de l’information et la mise en oeuvre de moyens de contrôle, notamment sur la fuite d’informations via les réseaux sociaux. Cela risque de s’avérer quasi-impossible dans des pays où le moyen privilégié de communication est Facebook. Facebook constitue généralement, dans les pays d’Afrique subsaharienne, le support institutionnel pour la communication d’Entreprise.

De plus les législations locales des pays Africains n’autorisent pas ces pratiques de contrôle pour les Entreprises. Cela nécessite donc des changements culturels et législatifs qui prendront beaucoup de temps. Or le temps est compté puisque la réglementation s’applique à compter du 25 Mai 2018. De plus ces évolutions risquent fort de rencontrer une opposition farouche des populations. Elles considèreront cela, sans aucun doute, comme une entrave à leurs libertés.

Et si une Entreprise n’est pas conforme au GDPR?

L’article 83 du GDPR stipule que toute Entreprise Européenne non conforme à la réglementation sera soumise à une amende égale à la plus élevée des deux montants : 20.000.000 Euros ou 4% de son chiffre d’affaire annuel.

Il est clair qu’aucune organisation en Europe n’acceptera de courir un tel risque avec un partenaire d’affaires ou un fournisseur qui ne serait pas aligné sur les exigences de cette réglementation.

GDPR - Impacts

Les conséquences pour les économies des pays Africains

Les conséquences pour les économies Africaines sont donc claires. Elles doivent s’adapter pour permettre à leurs Entreprises de faire du business avec l’Europe, qui constitue un de leurs plus gros marchés. A défaut, elles seront dans de très grandes difficultés. Le temps presse car cette réglementation entre en vigueur le 25 Mai 2018. Inutile d’envisager de rediriger les marchés vers l’Asie ou l’Amérique du Nord. Des réglementations similaires, tout aussi contraignantes, y sont déjà appliquées ou en voie de l’être. Il faut donc transformer, dans un délai de 18 mois, les Entreprises pour les rendre conformes aux obligations réglementaires.

Dans notre prochain article, nous vous donnerons quelques pistes pour réussir cette transformation dans les délais en vous appuyant sur des référentiels de Gouvernance et de Management de la Sécurité de l’Information tels que COBIT ou ISO 27001 en vue d’une meilleure protection des données.

N’hésitez pas à nous communiquer vos commentaires et vos questions. Nos experts se feront un plaisir de vous répondre.

PRINCE2 – Elaborer le projet

Elaborer un projet PRINCE2

Un projet démarre toujours par une idée qu’il va falloir ensuite concrétiser sous la forme d’un produit. Le processus Elaborer le projet évalue la viabilité et la justification d’un tel projet. Hélas, bien souvent, on a des idées irréalistes ou ne conduisant nulle part. Il est possible aussi que l’idée soit belle mais pas vraiment justifiée vis à vis de la stratégie de l’entreprise. Le premier processus de PRINCE2 va donc devoir s’assurer que les produits préalables à l’initialisation du projet sont bien en place et répondre à la question fondamentale : le projet est-il viable et justifié?

PRINCE2 - Processus Elaborer le Projet

Le projet est-il viable et justifié?

C’est la question à laquelle doit répondre le premier processus de PRINCE2 : Elaborer le projet. L’objectif de ce processus est de s’assurer qu’il existe une justification continue pour l’entreprise, que le périmètre du projet est confirmé et qu’une approche du projet a été approuvée. Il est conçu afin d’assurer les principales parties prenantes de l’Entreprise que le projet est raisonnable et créera bien la valeur attendue conformément à la stratégie de l’Entreprise.

L’élément déclencheur de cette étape est le mandat du projet. Il s’agit d’un document fourni par la direction (d’entreprise / de programme) pour décrire les objectifs et les raison du projet. Il pourra, de plus, fournir une estimation de haut niveau du coût et du temps. Le processus Elaborer le projet est exécuté une seule fois sur chaque projet. Il est focalisé sur l’obtention d’une approbation, obligatoire pour initialiser le projet. Cette autorisation déclenchera l’exécution du processus Diriger le projetqui sera donc le deuxième processus de PRINCE2.

L’objectif du processus Elaborer le projet

Rien ne doit être entrepris avant que les informations nécessaires à la prise de décisions rationnelles n’aient été définies. Il faut aussi avant d’aller plus loin doter les principaux rôles et responsabilités des ressources adéquates. Rien ne peut être démarré non plus sans que les bases nécessaires à une planification détaillée soient disponibles.

L’objectif du processus Elaborer le projet vise à éviter l’initialisation de projets mal conçus et n’approuver que des projets viables. C’est donc un processus « léger » qui effectue seulement les vérifications minimum nécessaires pour déterminer si l’initialisation du projet se justifie.

Le contexte

PRINCE2 utilise le Mandat de Projet pour déclencher le projet. Ce mandat est généré par par l’autorité responsable ayant commandité le projet. Il s’agit généralement de la Direction de l’Entreprise ou de la Direction de Programme. Par Mandat de projet, il faut entendre toutes les informations disponibles et utiles pour déclencher le projet. Il peut s’agir d’une étude de faisabilité ou encore d’une demande proposition client ou fournisseur par exemple. Le Mandat de projet doit établir les termes de référence du projet. Il doit également contenir suffisamment d’informations pour permettre d’identifier le candidat au rôle d’Exécutif du Comité de Pilotage du projet. Il sera ensuite affiné pendant l’exécution du processus Elaborer le projet pour aboutir à l’Exposé de Projet.

Le Comité de Pilotage devra disposer de suffisamment d’informations pour décider si, oui ou non, il peut autoriser l’initialisation du projet. C’est la raison d’être de l’Exposé de projet.

La préparation de l’ébauche du Cas d’affaire et de l’Exposé de projet exigent une interaction et des consultations régulières entre le Chef de Projet, les membres du Comité de pilotage et les autres parties concernées. Plus les exigences seront définies de façon précise et plus on économisera de temps lors de la réalisation du projet. Cela permettra également de réduire les incidences, exceptions et replanifications. Cette phase est donc absolument cruciale pour la réussite du projet.

PRINCE2 - Workshop Elaborer le Projet

Les activités du processus

Les activités du processus Elaborer le projet se répartissent entre la Direction de l’Entreprise, l’Exécutif et le Chef de projet.

Nommer l’Exécutif et le Chef de projet

Pour avancer le projet a besoin d’un décideur disposant le l’autorité appropriée. Pour ce faire, la première activité de projet est la nomination à la fois d’un Exécutif qui sera responsable de la justification continue sur le projet et de représenter les intérêts des partie prenantes de l’entreprise sur le Comité de pilotage du projet, et d’un Chef de projet à qui l’exécutif délèguera la gestion quotidienne du projet.

Recueillir les Retours d’expérience

Il est important de tirer enseignements, en termes de faiblesses et de points forts, d’autres projets menés par le passé. Ces Retours d’expérience peuvent influencer la composition de l’équipe de projet et la préparation de l’ébauche de cas d’affaire. Il sera ensuite nécessaire de tenir un registre des retours d’expérience tout au long du projet, afin de faciliter la réussite du projet et de pouvoir en tirer des leçons pour l’avenir.

Composer et nommer l’équipe de projet

La réussite d’un projet passe par la nomination de personnes compétentes et justifiant de l’autorité, des responsabilités et des connaissances nécessaires pour pouvoir prendre les décisions opportunes. L’équipe de projet doit refléter les intérêts de toutes les parties concernées. Ceci inclut bien évidemment  l’Entreprise, les utilisateurs et les fournisseurs.

Afin d’assurer que chaque rôle de l’équipe de gestion de projet est rempli de manière appropriée et que chacun sait qui est responsable pour chaque rôle, il est important de définir des descriptions de rôles pour l’équipe de gestion de projet .Ceci est principalement de la responsabilité du Chef de projet. Par contre, la nomination des personnes sur chacun des rôles est de la responsabilité de l’Exécutif.

Préparer l’ébauche de Cas d’Affaire

Le Cas d’affaire est un élément crucial du projet vu qu’il détermine sa viabilité. L’exécutif est chargé de la création de l’ébauche du cas d’affaire qui explique pourquoi le projet est nécessaire ou utile. Pour sa création, on s’appuiera sur le mandat du projet et le journal des retours d’expériences. Après avoir développé l’ébauche du cas d’affaire, une Description du Produit du projet est écrite par le Chef de projet. Elle formalise les attentes des utilisateurs sur ce qui doit être livré par le projet. Dès que possible, les critères d’acceptation du projet sont documentés. Il s’agit là des caractéristiques mesurables du produit projet acceptables pour le client.

Définir l’approche du projet et préparer l’Exposé de projet

Il est de la responsabilité du Chef de projet de créer l’approche du projet et l’Exposé de projet, puis de les soumettre au Comité de pilotage en vue de leur approbation. L’approche du projet décrit la manière dont le projet sera abordé. La solution doit-elle être développée en interne ou externalisée? La solution sera-t-elle une modification d’un produit existant? Sera-t-elle développée à partir de zéro? La solution sera-t-elle basée sur un produit du commerce ou conçue sur mesure?

L’Exposé de projet doit contenir des informations détaillés dans le but de prendre connaissance des contraintes et des exigences pertinentes pour le projet, incluant le cas d’affaires (fourni par l’exécutif), la description du Produit du projet (créée par le chef de projet, avec la participation de l’utilisateur principal) et l’approche projet (avec la participation du fournisseur principal).

Planifier la Séquence d’Initialisation

Le processus d’initialisation du projet nécessite du temps et des ressources. Avant que le projet ne puisse être initialisé, le Chef de projet doit donc préparer un plan de la séquence d’Initialisation. Ce plan, accompagné de l’Exposé du Projet et de l’Ebauche de Cas d’Affaire sera soumis au Comité de Pilotage. Celui-ci devra alors l’approuver dans le cadre du processus Diriger le Projet. Ce n’est qu’à partir de ce moment que projet pourra réellement commencer.

Formation accréditée

Vous voulez en savoir plus?

Bien sûr cet article n’a pas vocation à être un cours exhaustif sur le processus Elaborer le Projet. Ce sujet, comme tout le contenu de la méthodologie PRINCE2 sont décrits dans le manuel « Réussir le Management de Projet avec PRINCE2 » (Ed. TSO).

Nous vous invitons également à lire nos articles précédents relatifs aux thèmes Cas d’affaire et Organisation en particulier. Pour mieux comprendre les processus de PRINCE2, vous pouvez également lire sur ce même blog 7 processus pour un projet PRINCE2.

Pour vous familiariser avec PRINCE2, nous vous invitons également à suivre une formation accréditée par AXELOS durant laquelle, sur 5 jours vous apprendrez le contenu de la méthode ainsi que l’utilisation pratique de PRINCE2 au travers d’études de cas. AB Consulting, ATO d’AXELOS, organise régulièrement des sessions de formation PRINCE2 Bootcamp de 5 jours vous permettant d’obtenir les qualifications PRINCE2 Foundation et PRINCE2 Practitioner et de faire reconnaître votre compétence en matière de Gestion de projet.

N’hésitez pas à nous laisser vos commentaires sur cet article et à nous apporter vos témoignages sur votre expérience de PRINCE2. Vous pouvez également interroger nos experts sur toute question pratique d’application de la méthodologie PRINCE2.

Etes-vous plutôt agile ou classique?

AGILE ou traditionnelle, quelle approche choisir?

L’approche agile vous semble peut-être nouvelle ou au contraire, peut-être êtes vous un ou une adepte des méthodes agiles? Quoi qu’il en soit, il est important de partir sur de bonnes bases. Déjà quand nous parlons d’agile à quoi faisons-nous référence? Ce blog étant spécialisé dans la gouvernance, le management et la sécurité, vous comprenez bien sûr que nous faisons référence à l’agilité dans la gestion de projets. Avant de démarrer il faut comprendre que le terme « Méthode » est trop limitatif pour aborder ce mode de gestion de projet. Le terme approprié serait plutôt « Approche Agile » car il s’agit plus d’une philosophie que d’une méthodologie.

Approche agile

Cette approche, donc, est devenue au cours de ces dernières années, très populaire dans les entreprises. Elle est conçue de sorte à apporter de nombreux avantages mais requiert une discipline stricte pour produire la valeur promise. Chaque étape est importante et indispensable. Nous allons vous montrer, au travers de cet article, les avantages de cette approche déjà très populaire. Il vous appartient ensuite de décider si elle est pertinente pour vous.

Agile, de quoi s’agit-il?

Né aux Etats-Unis, le mouvement agile est apparu en 2001, lorsque 17 experts se sont alliés pour mettre au point une nouvelle façon de développer des logiciels, visant à réduire le taux d’échec important des projets informatiques. C’est d’ailleurs à cette occasion que le terme Agile est apparu pour  qualifier cette nouvelle approche. Ce rassemblement a donné naissance à un manifeste définissant quatre axes de valorisation pour les projets :

  • Les individus et leurs interactions avant les processus et les outils
  • Des fonctionnalités opérationnelles avant la documentation
  • Collaboration avec le client plutôt que contractualisation des relations
  • Acceptation du changement plutôt que conformité aux plans

L’approche agile est une approche de gestion de projet défiant les approches classiques. La notion même de « Gestion de projet » est remplacée au profit de « Gestion de produit » de façon à mieux se focaliser sur le produit plutôt que sur le projet. L’objectif de tout projet est de livrer un produit. Dans une approche dite « classique », on attend généralement du client une expression détaillée et validée du besoin. Cette expression de besoin validée en début de réalisation laisse peu place au changement. La réalisation prend le temps qu’il faut et rendez-vous est repris avec le client pour la recette. Cet effet tunnel peut être mauvais et très conflictuel.

On remarque fréquemment un déphasage entre le besoin initial et l’application réalisée. On se rapporte alors aux spécifications validées et au contrat. La majorité des projets se terminent très mal au risque d’affecter la relation avec le client. De plus, il peut arriver que certaines fonctionnalités demandées soient inutiles à l’usage. D’autres, découvertes en cours de route, auraient pu donner plus de valeur au produit.

En quoi consiste réellement l’approche agile?

En 1994, une enquête réalisée par le «  Standish Group » a démontré que 31% des projets informatiques sont stoppé en cours d’exécution, 52% n’aboutisse pas et ne respectent pas les délais et le budget imposés proposant souvent moins de fonctionnalités qui étaient prévus. Et pour finir, seuls 16% des projets sont synonyme de réussite. La même enquête de nouveau menée en 2008 indique un taux de réussite de 35%. Cela représente une nette progression mais reste insuffisant.

Parmi les principales causes d’échec relevées on peut citer :

  • Manque d’implication des utilisateurs finaux : 12,8 %.
  • Changements de spécifications en cours de projet : 11,8 %.

L’approche Agile propose de réduire complètement les conséquences de cet effet tunnel en donnant davantage de visibilité, en impliquant le client du début à la fin du projet et en adoptant un processus itératif et incrémental. Elle considère que le besoin ne peut être figé et propose au contraire de s’adapter aux changements de ce dernier. Mais cela ne peut pas se faire sans un minimum de règles.

Comment est-ce que cela fonctionne?

Le principe de base des méthodes « Classiques » est qu’il peut être contre-productif. C’est-à-dire qu’avant de développer un produit, il faut le planifier et en spécifier les moindres détails. En effet, prévoir tous les aspects de la production entraîne dans la plupart des cas des frustrations et pertes de temps car les imprévus surviennent très souvent pendant la réalisation. C’est cette approche prédictive et séquentielle de type waterfall ou cycle en V que les tenants des méthodes « Agile » veulent casser.

Ainsi, le mieux serait de procéder par étapes c’est-à-dire se fixer des objectifs à court terme et commencer le développement sans perdre de temps. Une fois l’objectif atteint, on passe à la phase suivante et ainsi de suite jusqu’à atteindre le but recherché. Concernant le niveau de développement de logiciel, il appartient au client de transmettre à l’équipe de développeurs sa vision du produit avec les fonctionnalités qui l’accompagnent. Cela permet ainsi d’avoir un échange direct avec l’équipe et et de définir ensemble le coût de chacune des fonctionnalités pour aboutir à un budget final approximatif. L’équipe devra choisir ensuite une partie des exigences du client à exécuter dans un court délai appelé « itération ».

Itération agile

Le principe des itérations

Dans chaque itération se trouvent les travaux de conception, les techniques de développement et les spécifications fonctionnelles. Au terme de chaque itération, le produit semi-fini mais utilisable, est montré au client. Il peut donc se rendre compte par lui-même du travail réalisé dans un temps très court. Quant à l’utilisateur final, il peut déjà se projeter dans l’usage du produit. Cela lui permet de transmettre des feedbacks importants pour les prochaines itérations. Cette transparence est un grand avantage pour solidifier la relation de confiance et de collaboration entre le client et le fournisseur. Cela permet ainsi d’économiser son budget et de récolter rapidement un premier retour sur investissement. Le client a aussi la possibilité de changer en cours de route la priorité des fonctionnalités qui n’ont pas encore été développés (prochaines itérations).

Cette souplesse ainsi offerte est donc un véritable atout pour le client. Encore une fois, on pense plus « Produit » que « Projet » d’où le terme approprié ici est « gestion de produit » remplaçant celui de « gestion de projet ».

Les différentes méthodes agiles

Il existe plusieurs types de méthodes Agiles, se différenciant par leur capacité d’adaptabilité à certains projets. Parmi ces méthodes nous retrouvons la méthode RAD qui implique par exemple la présence d’une tierce personne pour résoudre les problèmes et les incompréhensions. La méthode SCRUM, la méthode FDD et la méthode DSDM sont quant à elles basée sur l’organisation de plusieurs mais courtes réunions permettant de d’approuver chaque étape, contrôler les avancées et développer une bonne relation de confiance entre les intervenants en la rendant plus interactive.

Loin d’être une simple méthodologie, l’approche Agile définit un état d’esprit impactant l’ensemble des entreprises souhaitant s’y conformer. Cette démarche, à la fois longue et difficile à mettre en œuvre, en vaut largement la peine. Elle permet, en effet, d’obtenir des résultats très satisfaisants. Il est donc primordial d’en maitriser chaque partie afin de faire accepter ce changement tant au sein de l’entreprise qu’auprès du client.

Les évolutions récentes

La plupart des méthodes « agile » de gestion de projet sont ciblées sur les projets de développement de logiciel. Est-ce à dire qu’on ne peut utiliser Agile que pour l’informatique? A l’heure où la mondialisation exige des Entreprises qu’elles soient toujours plus agiles pour se repositionner sur le marché grâce à des innovations constantes, ne pourrait-on pas imaginer créer des produits non logiciels de façon agile?

La réponse est bien sûr positive. Les méthodes de gestion de projet traditionnelles se sont récemment enrichies d’une version agile. L’agilité n’entame en rien la nécessité d’utiliser une méthode éprouvée. Aussi, récemment les principaux éditeurs ont publié des versions « agile » de leur méthode traditionnelle :

  • AXELOS, éditeur de PRINCE2, vient de publier PRINCE2 Agile qui à donné naissance à la certification PRINCE2 Agile Practitioner,
  • PMI a créé récemment la certification PMP-ACP (PMP Agile Certified Practitioner).

Alors au final vous êtes plutôt Agile ou Classique?

Les méthodes Agiles pourront être utilisées pour de gros projets car elles proposent une adaptabilité, une meilleure visibilité et gestion des risques. Elles pourraient tout aussi bien être utilisées pour les projets où il n’y pas de documentation détaillée. Le client peut alors suivre la progression du projet et l’adapter au fur et à mesure selon ses besoins.

.Par contre, les méthodes Traditionnelles seront plus adaptées si vous avez une idée précise de votre projet avec un cahier des charges et planning très détaillé où vous avez anticipé tous les risques envisageables. Nous essaierons prochainement de vous orienter entre l’approche Traditionnelle ou l’approche Agile selon les types de projets. Notre prochain article proposera une étude comparative des approches et méthodes « agile » pour vous aider à faire un choix raisonné.

Bien sûr, nous vous invitons à réagir et à nous communiquer vos commentaires.

CISA 12 trucs utiles pour l’examen

Les 12 astuces pour réussir votre CISA

Ca y est vous vous êtes décidé à passer l’examen pour obtenir la certification CISA? Vous savez pourtant que le taux de réussite à l’examen n’est pas très haut alors que le tarif, lui, est plutôt élevé. Malgré cela, l’attrait de cette certification qui figure parmi les plus recherchées par les Entreprises et parmi les 6 certifications les plus rémunératrices vous a convaincu. Bienvenue au club!!! Maintenant vous voilà pris au piège. De plus vous êtes condamné à réussir l’examen pour ne pas perdre vos frais d’inscriptions. Nous allons essayer de vous aider avec quelques conseils pratiques.

CISA - 12 Astuces indispensables

Pourquoi tenter le CISA?

Le monde de l’audit des systèmes d’information s’est développé à une vitesse vertigineuse ces dernières années. Par conséquent la demande pour les auditeurs des SI et des professionnels de la sécurité a explosé. Récemment, le champ d’application pour les professionnels certifiés CISA s’est élargi, encourageant un plus grand nombre de professionnels de la sécurité à passer l’examen CISA. Il en résulte donc une demande en forte hausse pour les détenteurs de certification CISA au cours des dernières années.

La plupart des Banques Centrales et des instituts financiers à travers le monde ont commencé à embaucher des professionnels certifiés CISA pour réaliser des audits de sécurité efficaces. Cela s’accompagne d’une hausse des salaires correspondant. Les salaires des titulaires du CISA se situent parmi les plus élevés dans le domaine de la sécurité. C’est également vrai sur l’ensemble du secteur de l’informatique en général.

Aujourd’hui, plus de 125.000 professionnels dans le monde ont réussi cette certification et parmi eux, près de 3.000 sont membres d’un comité de direction (DG, DAF ou équivalent). Le CISA est exigé comme pré-requis pour être embauché par les plus grands cabinets d’audit internationaux. Peut-être sont-ce ces raisons qui ont influencé votre décision? Par contre, inutile de vous leurrer, votre probabilité de réussite à l’examen, sans préparation préalable, reste extrêmement faible.

Qu’est-ce qui rend l’examen et la certification si difficiles?

L’examen CISA est connu pour être difficile et, de ce fait, présentant un taux de réussite assez faible. L’ISACA, organisme qui administre l’examen, a cessé de publier des informations sur les taux de réussite au cours des dernières années. Toutefois, les retours des candidats, après réception de leurs résultats, laissent apparaître un taux global de réussite d’environ 40 à 50%. Ce taux dépend également des régions du monde.

La question revient souvent : pourquoi l’examen du CISA est-il aussi coriace? Voici quelques éléments de réponse:

  1. Le CISA est encore aujourd’hui un examen écrit. Il comporte 150 questions, souvent basées sur un mini-scénario. Contrairement à la plupart des examens de certification spécifiques d’autres fournisseurs (ITIL, PRINCE2, DEVOPS, ISO 27001, etc.) la nature même du CISA fait que les candidats avec peu ou pas d’expérience sont rapidement mis en difficulté.
  2. Aucun pré-requis explicite n’est exigé par l’ISACA pour passer l’examen. Cela signifie que de nombreux candidats « occasionnels » issus d’une grande variété de milieux (informaticiens, comptables, auditeurs, professionnels de la sécurité et bien d’autres encore) s’inscrivent à l’examen, créant de ce fait une concurrence artificielle.
  3. La formulation des questions est souvent ambiguë et subjective. De nombreux candidats se plaignent des exemples de questions proposés par ISACA. Ils les trouvent trop vagues et pas toujours pertinents comparativement à l’examen écrit réel. C’est là une caractéristique de l’ISACA. Il faut se mettre dans le mode de raisonnement des auteurs de l’examen.
  4. L’accent est souvent mis sur l’apprentissage par cœur et la mémorisation. Une remarque récurrente des candidats porte sur ce point. Les questions d’examen CISA requièrent la connaissance parfaite du vocabulaire spécifique en matière de sécurité du SI.

Pourquoi un taux d’échec aussi important?

L’examen est bien moins difficile que cela n’est habituellement perçu. Pourtant des milliers de candidats échouent à leur première tentative. Les experts identifient tout un ensemble de raisons.

  • Les candidats ayant une formation technique ou technologique se heurtent souvent aux concepts de gouvernance et d’audit. Bien que le savoir-faire technique soit important, la capacité à auditer et gérer les processus de sécurité est absolument fondamentale pour le CISA.
  • A l’opposé, les candidats issus du monde de l’audit et de la comptabilité ont du mal avec les aspects techniques de l’examen. Les étudiants issus de ces domaines devraient mieux comprendre les concepts et les objectifs de base du programme d’étude.
  • Beaucoup de candidats expérimentés s’obstinent à utiliser leur propre approche pour aborder les questions et les scénarios difficiles de l’examen, refusant l’approche standard prescrite par l’ISACA.

Alors, comment se prépare-t-on à l’examen CISA?

Passons maintenant aux conseils pratiques. Voici les points les plus importants à garder à l’esprit avant de commencer votre préparation à l’examen CISA.

1. Etudier religieusement le CISA Review Manual

Manuel de préparation au CISAISACA propose le CISA Review Manual (CRM) qui sert de guide unique et complet pour l’examen. C’est l’ouvrage de référence conçu pour guider les candidats au CISA, Il fournit tous les détails relatifs à l’examen ainsi que la définition des rôles et des responsabilités d’un auditeur des systèmes d’information. Globalement, ce manuel est le meilleur guide d’auto-apprentissage pour les aspirants CISA. Il est recommandé de le lire de façon exhaustive au moins deux fois avant de se présenter à l’examen. A noter toutefois sa taille (plus de 500 pages) et sa présentation pour le moins austère. Si vous êtes un amateur de bandes dessinées, vous vous êtes clairement trompé de rayon! Ce manuel existe dans plusieurs langues dont l’Anglais et le Français.

2. Pratiquer intensivement les question de la base de données de préparation

Pratiquer les questions de révision est absolument obligatoire si vous voulez réussir l’examen. La base de données des questions d’examen proposée par ISACA est une ressource en ligne interactive et complète de 1000 questions pratiques avec les réponses et les explications. L’accès pendant 12 mois à la base de données est disponible au prix de 185 $ (pour les membres) et 225 $ (pour les non-membres). Attention cependant, il n’existe pas de version en Français.

Les futurs candidats peuvent utiliser les questions et les réponses de l’échantillon pour mieux comprendre les concepts et les sujets difficiles afin d’améliorer le niveau de leur préparation. Ces questions et réponses d’examen sont conçus pour offrir une vue d’ensemble de l’examen CISA. La base de données  de questions et réponses est mise à jour en alignement avec l’évolution du monde de l’audit de sécurité.

 3. Pensez comme le ferait un auditeur ou un comptable

La nature même de l’examen exige que vous pensiez comme un auditeur informatique ou même un comptable. Ne réfléchissez pas comme un candidat à un examen. La raison? Parce que l’accent est mis sur les applications du monde réel, vous devez mettre en avant vos aptitudes à prendre les bonnes décisions sur la base de scénarios. Face à des problèmes hypothétiques, vous devez apprendre à gérer, évaluer et prioriser des tâches multiples en vue de créer un bénéfice.

4. Utilisez au mieux les ressources gratuites de l’ISACA

Le site Web de l’ISACA offre une diversité de ressources libres de droit, utiles pour préparer le passage de l’examen. En voici quelques unes avec les liens pour y accéder.

5. Mettez les blogs et articles relatifs au CISA sur votre liste de lectures

Les candidats peuvent également tirer profit d’autres blogs et d’un grand nombre d’articles disponibles en ligne. Ils peuvent aider les candidats à mieux aborder les questions des domaines de connaissances récemment mises à jour. Certains blogs tenus par des contributeurs réguliers constituent également un ensemble de ressources à ne pas négliger. Parmi ceux-ci citons les blogs de l’ISACA et celui de Risk3sixty.

Si vous trouvez un site particulièrement intéressant pour les candidats, vous pouvez le partager en nous adressant un commentaire que nous publierons avec grand plaisir.

6. Une expérience pratique de l’audit est importante

Pour réussir votre certification CISA, une expérience pratique dans le domaine de la Sécurité IT est un plus extrêmement utile. Bien que similaires à des audits financiers ou des actifs, les audits IT ont une portée très différente. Ils traitent principalement des informations. Un candidat au CISA doit avoir une idée précise des processus business. Il doit, de plus, être familier avec la définition du périmètre, la planification de la vérification et les rapports d’audit.

Une simple expérience des processus de Sécurité de l’Information sera une aide importante. Dans la mesure du possible, rapprochez-vous des professionnels de l’audit informatique ou du département sécurité de l’information dans votre organisation actuelle. Profitez-en pour vous familiariser avec les rôles, les responsabilités et les activités quotidiennes concernées par le CISA. N’oubliez pas également de vous informer sur les autres activités en matière de sécurité.

7. Planifiez sérieusement votre préparation

La gestion de votre temps d’apprentissage et une bonne répartition du temps par domaine sont essentielles pour réussir l’examen. Si vous êtes un professionnel du domaine, prévoyez de démarrer votre préparation 3 à 5 mois avant l’examen. Prévoyez de consacrer au moins 1 à 2 heures d’étude sur une base régulière (quotidiennement ou 3 fois par semaine).

En outre, nous vous recommandons d’adapter votre préparation en fonction de votre parcours professionnel et de votre niveau d’expérience:

  •  Auditeur IT avec beaucoup d’expérience : 30 à 45 jours de préparation en vous appuyant sur le manuel de préparation au CISA et les questions d’examen avec réponses et explications. Prévoyez de revoir la totalité des domaines.
  • Professionnel de l’audit avec un peu d’expérience : prévoyez au moins 90 jours de préparation en vous appuyant sur le manuel de préparation au CISA et les questions d’examen avec réponses et explications. Mettez l’accent sur les domaines relatifs à la technologie.
  • Candidat sans réelle expérience des domaines couverts par le CISA : prévoyez au minimum 180 jours de préparation en vous appuyant sur l’ensemble des ressources disponibles. Ne négligez aucun des domaines.

Nos formateurs expérimentés sur le CISA vous conseillent de décomposer votre temps de préparation de la façon suivante :

  • 35 à 45% sur le manuel,
  • 15 à 20% sur le coaching,
  • et enfin 35 à 40% sur les examens de simulation et des tests pratiques.

8. Soyez adaptable, gardez l’esprit ouvert

Dans le cadre du CISA, si je devais vous donner un seul conseil, ce serait de désapprendre ce que vous avez appris. C’est presque aussi important que l’apprentissage du contenu même des concepts à retenir pour l’examen. L’industrie informatique est dynamique et en constante évolution. Par conséquent, il en va de même des principes et des techniques d’audit des systèmes d’information.

Lors de la préparation et lors du passage de l’examen, il est vital de garder un esprit ouvert, réceptif aux idées nouvelles et novatrices, et une position neutre sur des développements qui semblent aller à l’encontre de la norme établie. Le manuel CISA est maintenu à jour avec tous ces changements. Par conséquent, l’étude approfondie du manuel constitue une première étape incontournable de votre préparation.

9. Apprenez à gérer votre temps à l’examen

Comme dans le cas des autres examens, la réussite au CISA est également dépendante de la façon et de l’efficacité à gérer votre temps. Un commentaire courant  des candidats ayant échoué à l’examen porte un manque de temps pour terminer l’ensemble des questions. Cela traduit une mauvaise gestion du temps pour répondre à toutes les questions.. En examinant les documents de questions des années précédentes et les examens blancs, vous devez concevoir une stratégie de passage avec des estimations sur la quantité de temps à passer par question et par domaine, de façon à pouvoir répondre à la totalité des questions.

Après tout, ce qu’on attend d’un certifié CISA c’est bien d’être capable de prendre des décisions rapides, pragmatiques et efficaces. La gestion de votre temps à l’examen pour maximiser votre score constitue la première pierre de l’édifice.

CISA - Astuce pro

 10. Participez à des groupes de discussion et des forums

Les candidats peuvent se joindre à des groupes de discussion et des forums pour interagir avec d’autres candidats et certifiés. Il existe plusieurs forums de discussion sur la certification CISA sur le web. Ces plates-formes peuvent vous apporter des connaissances à la fois théoriques et pratiques sur l’audit du SI. Elles contribuent à améliorer la compréhension des concepts et leur application dans le monde réel.

11. Suivez un atelier de préparation à l’examen CISA

Un certain nombre d’organismes de formation accrédités proposent des ateliers de préparation au CISA sous forme de sessions en présentiel ou de cours en ligne. L’inscription et la participation à un cours de formation bien structuré et complet est fortement recommandée. Une session de formation se compose de présentations par des experts et de discussions en classe. L’interaction avec des professionnels de la sécurité expérimentés, venant de diverses parties du monde, constitue un atout exceptionnel pour vous mener à la réussite.

En tant que leader de la formation professionnelle certifiante dans les domaines de la Gouvernance, du Management et de la  Sécurité en Afrique, AB Consulting vous propose des sessions de préparation au CISA en présentiel, alignées avec les exigences de l’examen. Elles sont toujours animées par des professionnels internationalement reconnus. Pour en savoir plus, visitez la page CISA – Atelier de préparation sur le site de AB Consulting.

L’ISACA propose également des cours de révision pour les candidats qui se sont inscrits à l’examen. Si vous trouvez l’apprentissage individuel difficile compte tenu de vos contraintes professionnelles et personnelles, vous pouvez participer à une session de révision proposée par un des chapitres de l’ISACA. Pour plus d’informations, visitez le site web de l’ISACA.

 12. Adaptez votre raisonnement au mode de pensée de l’ISACA

En particulier pour les candidats qui passent l’examen CISA dans une langue autre que leur langue maternelle, certaines questions peuvent être déroutantes. Les QCM à composition non limitée et l’étude de cas présentent généralement des choix subjectifs. Ils font appel à un raisonnement verbal pour en déduire les attentes et arriver au bon ensemble de réponses. Si vous sentez que vos compétences en raisonnement verbal ne sont pas tout à fait à la hauteur, vous gagnerez sans aucun doute à suivre un atelier de préparation à l’examen.

CISA - Astuce Pro

En conclusion

Bien qu’il s’agisse d’un examen difficile, grâce à une bonne planification, un travail acharné et de bons conseils, la réussite à la première tentative est tout à fait possible. Si vous suivez les conseils présentés dans cet article et concevez un plan de préparation adapté à vos propres besoins spécifiques, l’examen est à votre portée.

Une fois que vous aurez réussi votre CISA, n’hésitez pas à partager la bonne nouvelle sur ce blog. Vous serez peut-être alors sollicité(e) pour parler de votre expérience aux autres candidats…

CISA : le booster de votre carrière

CISA, pourquoi il est si important

A l’heure où CISM et CISSP apparaissent comme les qualifications indispensables pour atteindre un niveau de senior management dans la sécurité de l’information, beaucoup de participants à nos formations nous posent la question: Où CISA se positionne-t-il dans mon plan de carrière? Ou bien: Est-ce que la qualification CISA est uniquement destinée aux auditeurs informatiques?

 CISA en quelques chiffres

Les chiffres parlent d’eux-mêmes et répondent aux interrogations.

Introduite en 1978, la qualification Certified Information Systems Auditor (CISA) est la doyenne des certifications de l’ISACA. Elle est actuellement détenue par plus de 125.000 professionnels de l’informatique dans le monde entier. Elle est mondialement reconnue comme une preuve de compétence et d’expérience en matière d’assurance que les actifs critiques de l’Entreprise sont sécurisés et disponibles.

Les membres du Conseil d’Administration des grandes Entreprises souhaitent s’assurer que leur Organisation est protégée contre les risques de cybercriminalité. En un mot, ils comptent sur leurs Managers qualifiés CISA pour cela. CISA reste, en 2016, l’une des six certifications les mieux rémunérées pour la deuxième année consécutive, selon l’enquête sur les compétences et les salaires IT de Global Knowledge.

Les cinq domaines du CISA

Il ne s’agit pas là d’une qualification de niveau initial telles qu’elles existent dans d’autres domaines tels que ITIL, COBIT, PRINCE2, etc. Les qualifications de niveau initial, généralement appelées Foundation permettent uniquement de valider la connaissance de concepts généraux et d’un vocabulaire. C’est donc uniquement une preuve de connaissance d’une documentation et en aucun cas une preuve de compétence. Par contre, c’est clairement un pré-requis pour avancer dans l’apprentissage, mais en aucun cas un visa pour la mise en oeuvre. Combien de projets ont échoué car confiés à des incompétents pourtant titulaires d’une certification de niveau Foundation… La compétence s’appuie certes sur la connaissance mais aussi et surtout sur l’expérience. C’est d’ailleurs l’un des 7 facilitateurs de COBIT 5 pour une bonne gouvernance et un management performant des Entreprises.

COBIT 5, également publié par l’ISACA, constitue le socle de la certification CISA. Il n’y a donc rien de surprenant à ce que celle-ci soutienne le facilitateur « People, Skills et Competencies » de COBIT. La qualification CISA est attribuée aux candidats ayant réussi un examen écrit rigoureux et faisant, de plus, la preuve d’au moins cinq ans d’expérience pertinente sur les cinq domaines de connaissance suivants:

  1. Le processus d’audit des systèmes d’information
  2. Gouvernance et Gestion des information et des technologies associées
  3. Systèmes d’information – Acquisition, développement et mise en œuvre
  4. Exploitation, maintenance et support des Systèmes d’Information
  5. Protection des actifs informationnels

A qui s’adresse la certification CISA?

L’ISACA met principalement l’accent, dans le cadre du CISA, sur trois rôles particulièrement critiques pour la réussite d’une Entreprise.

Les auditeurs du Système d’Information

CISA vous permet d’être reconnu(e), non seulement au niveau local ou national, mais aussi au niveau international, en tant que professionnel avec les connaissances, les compétences et la crédibilité pour vérifier tous les domaines liés aux systèmes d’information et délivrer des recommandations et des solutions. Le rôle d’auditeur ne se limite pas à la réalisation d’une vérification et à la fourniture des résultats. Une partie, peut-être la plus importante, consiste à donner des recommandations et à faire le suivi de leur mise en oeuvre. C’est là un point souvent incompris.

Les professionnels de Gouvernance du SI

CISA assure les parties prenantes de vos capacités à identifier les problèmes critiques pour l’Entreprise. Il rassure également sur vos compétences à recommander des pratiques personnalisées spécifiques à l’Entreprise pour soutenir et garantir la Gouvernance de l’Information et des technologies associées.

Les professionnels de la Sécurité de l’Information

CISA démontre votre expérience pour aider les entreprises dans un contexte légal et réglementaire complexe et en constante évolution. Il confirme aussi votre parfaite connaissance et votre expertise en matière de normes internationales. Enfin la qualification CISA confirme votre aptitude à réduire la complexité et les délais de gestion des vulnérabilités, à mesurer la sécurité et assurer la conformité. CISA est conçu pour être complémentaire à la qualification ISACA Certified Management Information Security (CISM).

Comment réussir la certification CISA?

La prochaine session d’examen CISA en 2016 se tiendra le 10 décembre 2016. Il ne vous reste que quelques jours pour vous inscrire avant la date limite d’inscription finale fixée au 21 Octobre. Pour vous préparer à l’examen, vous aurez certainement besoin d’acheter et de lire les manuels CISA Review, 26e édition et CISA Review Questions, Manuel des questions et d’explications, 11e édition.

Je vous recommande également, compte tenu de la difficulté de l’examen et du taux d’échec élevé d’envisager d’assister à notre Atelier de Préparation à l’examen CISA. Nous vous proposons deux ateliers, à Abidjan du 7 au 11 Novembre et Paris du 28 Novembre au 2 Décembre. Cet atelier a une durée de cinq jours (un jour par domaine). Il vous préparera efficacement à une meilleure compréhension du vocabulaire, des concepts et surtout à la compréhension des questions d’examen. A noter que les manuels mentionnés ci-dessus sont offerts dans le cadre de notre atelier de préparation à l’examen.

Vous avez des questions? Vous doutez toujours de l’intérêt pour votre cas personnel? N’hésitez pas à nous laisser votre commentaire et nous nous ferons un plaisir de vous répondre.

Catégories

Archives

Calendrier

juin 2017
L M M J V S D
« Avr    
 1234
567891011
12131415161718
19202122232425
2627282930  
%d blogueurs aiment cette page :