Home » 2019 » janvier

Monthly Archives: janvier 2019

CISO : Responsabilités et compétences indispensables

Depuis sa création durant les années 90, le rôle du CISO a largement évolué. A l’origine, il était principalement consacré à la correction des vulnérabilités sur le système informatique. Aujourd’hui, le paysage de la sécurité a évolué, avec l’élargissement de la périphérie de l’entreprise, l’explosion du cloud et de la mobilité, avec les mutations des menaces et des risques, et jusqu’aux environnements règlementaires. Le CISO est donc devenu un acteur majeur du management de l’entreprise. Pour assurer ses responsabilités, il doit nécessairement posséder des compétences et des aptitudes très spécifiques.

CISO : Responsabilités et compétences
Crédits © rawpixel.com 2018

Dans cet article je vais essayer de vous expliquer les responsabilités d’un CISO ainsi que les compétences requises. Attention, il ne faut pas confondre CISO et RSSI. En France il y a beaucoup plus de RSSI que de CISO. Malheureusement les entreprises françaises ne comprennent toujours pas que ce rôle est absolument indispensable. Hélas, comme d’habitude au pays des Gaulois réfractaires, c’est le coût qui domine les décisions. Or les bons CISO sont rares sur le marché et donc, ils sont chers. La conséquence est une plus grande vulnérabilité des entreprises Françaises face aux nombreux risques de sécurité.

Qu’est-ce qu’un CISO?

Le Directeur de la Sécurité de l’Information (Chief Information Security Officer : CISO) répond de la sécurité des informations et des données d’une organisation. Par le passé, le rôle était défini assez étroitement dans ce sens. De nos jours, le titre est souvent utilisé de manière interchangeable avec CSO (Directeur de la Sécurité) et VP de la sécurité. Ceci indique un rôle plus étendu dans l’organisation.

Vous êtes un professionnel de la sécurité ambitieux? Vous cherchez à grimper les échelons de votre entreprise? Alors vous pouvez avoir un poste de Directeur de la sécurité informatique dans votre ligne de mire. Examinons ce que vous pouvez faire pour améliorer vos chances de décrocher un rôle de CISO et ce que seront vos responsabilités si vous décrochiez ce poste essentiel. Et si vous cherchez à ajouter un CISO à  votre organisation, vous serez sûrement intéressé par cet article.

Quelles sont les responsabilités d’un CISO?

La meilleure façon de comprendre le travail de CISO est sans doute de se baser ses responsabilités quotidiennes. Elles nous révèlent les compétences nécessaires. Bien qu’il n’existe pas deux cas identiques, Stephen Katz, qui a joué le rôle de CISO chez Citigroup dans les années 90, a décrit les domaines de responsabilité des CISO dans une interview avec MSNBC.

Les 7 domaines de responsabilité du CISO

Il répartit ces responsabilités dans les catégories suivantes:

  • Sécurité opérationnelle : Il analyse en temps réel des menaces immédiates et priorisation en cas de problème
  • Cyber-risque et cyber intelligence : Il se tient au courant des menaces pour la sécurité. Il aide le conseil d’administration à comprendre les problèmes de sécurité potentiels pouvant résulter de fusions, d’acquisitions ou de cessions.
  • Prévention des violations de données et de la fraude : Il s’assure que le personnel interne ne fait aucune mauvaise utilisation ni ne vole des données de l’entreprise
  • Architecture de sécurité : Il planifie, achète et déploie du matériel et des logiciels de sécurité. Il s’assure également que l’infrastructure informatique et réseau est conçue sur la base des meilleures pratiques de sécurité
  • Gestion des identités et des accès : Il s’assure que seules les personnes autorisées ont accès aux données et aux systèmes protégés
  • Gestion de programme : Il doit garder une longueur d’avance sur les besoins de sécurité en mettant en œuvre des programmes ou des projets réduisant les risques. Par exemple, il doit s’assurer du déploiement de correctifs réguliers des systèmes.
  • Enquêtes et expertises légales : Il détermine ce s’est mal passé, collabore avec les responsables, s’ils sont internes, et prévoiT afin d’éviter la répétition d’une crise identique
  • Gouvernance : Il s’assure que toutes les initiatives ci-dessus se déroulent sans heurts et qu’elles reçoivent le financement et les ressources dont elles ont besoin. Il s’assure également que les dirigeants de l’entreprise comprennent bien leur rôle et leur importance dans la sécurité.

Si vous voulez en savoir plus

Pour des informations plus poussées, nous vous conseillons de lire le livre blanc de SANS Institute : « Mixing Technology and Business: The Roles and Responsibilities of the Chief Information Security Officer« .

Quelles sont les exigences pour être CISO?

Que faut-il pour pouvoir postuler à ce poste? D’une manière générale, un CISO doit posséder une base technique solide. Généralement, un candidat doit être titulaire d’une licence en informatique ou dans un domaine connexe. De plus, il doit compter entre 7 et 12 années d’expérience professionnelle (dont au moins cinq ans dans un rôle de direction). Les diplômes de master en sécurité de l’information sont également de plus en plus en vogue.

Des compétences techniques sont nécessaires…

Il existe également une liste exhaustive des compétences techniques attendues. Au-delà des bases de la programmation et de l’administration système que tout dirigeant technique de haut niveau devrait posséder, vous devez également comprendre certaines technologies centrées sur la sécurité, telles que le DNS, le routage, l’authentification, les VPN, etc. services proxy et technologies d’atténuation DDOS; pratiques de codage, piratage éthique et modélisation des menaces; et les protocoles de pare-feu et de détection / prévention des intrusions. Les CISO sont censés contribuer à la conformité réglementaire. Par conséquent, vous devez également connaître en quoi consistent les évaluations de la conformité PCI, HIPAA, NIST, GLBA, GDPR, ISO 27001 et SOX.

… mais elles ne sont qu’une base

Cependant les connaissances techniques ne constituent pas le seul pré-requis requise, ni même le plus important pour décrocher le poste. Une grande partie du travail d’un CISO implique la gestion et la défense de la sécurité au sein de la haute direction de l’entreprise. Larry Ponemon, chercheur en informatique, a déclaré à SecureWorld que « les principaux RSSI ont de bonnes bases techniques mais possèdent souvent une expérience professionnelle, un MBA et les compétences nécessaires pour communiquer avec les autres cadres dirigeants et le conseil d’administration ».

Des compétences de management sont vitales

La combinaison de compétences techniques et non techniques permettant de juger un candidat au poste de RSSI peut varier en fonction de la société qui embauche. De manière générale, les entreprises ayant une portée mondiale ou internationale recherchent des candidats possédant une formation en matière de sécurité globale et fonctionnelle et évaluent les compétences en leadership tout en prenant en compte la progression de carrière et les réalisations passées. D’un autre côté, les entreprises qui ont une activité plus centrée sur le Web et les produits cherchent plutôt des compétences spécifiques orientées vers la sécurité des applications et du Web.

Quelles certifications doit posséder un CISO?

Au fur et à mesure que vous gravissez les échelons, vous pouvez améliorer votre CV avec des certifications. Ces qualifications rafraîchissent la mémoire, invitent à une nouvelle réflexion, augmentent la crédibilité. Et, plus important, elles constituent un élément obligatoire de tout programme de formation interne solide. Il existe beaucoup de certifications en sécurité de l’information. Alors lesquelles choisir? Le top 3 est constitué de :

  • CISM (Certified Information Security Manager) est spécialement indiqué pour ceux qui cherchent à gravir les échelons dans le domaine de la sécurité de l’information et à faire la transition vers le leadership ou la gestion de programme.
  • CISSP (Certified Information Systems Security Professional) est destiné aux professionnels de l’informatique qui souhaitent faire de la sécurité de l’information un objectif de carrière.
  • CEH (Certified Ethical Hacker) est destiné aux professionnels de la sécurité qui souhaitent acquérir une connaissance approfondie des problèmes susceptibles de menacer la sécurité de l’entreprise.

Nous avons, dans un précédent article, comparé les certifications CISM et CISSP. Vous pouvez vous y référer pour plus d’informations.

CISO vs CIO

La sécurité est un rôle au sein d’une entreprise qui s’oppose inévitablement avec les autres dirigeants de l’Entreprise. En effet, l’instinct des professionnels de la sécurité consiste à verrouiller les systèmes et à les rendre plus difficiles à accéder. Ceci peut entrer rapidement en conflit avec la direction informatique. La DSI a, pour sa part, l’objectif de rendre les informations et les applications disponibles sans difficulté. La manière dont tout se joue en haut de l’organigramme est souvent vue comme une bataille CISO contre CIO. On identifie souvent les contours de ce bras de fer grâce aux lignes de reporting au sein de l’organisation.

CISO vs RSSI

C’est la raison pour laquelle une entreprise ne peut pas se contenter d’un RSSI. En effet, il est relativement courant que les RSSI soient rattachés aux DSI. Cela limite la capacité du RSSI à s’aligner stratégiquement sur la stratégie de l’Entreprise. En effet, dans ce cas sa vision finit par être subordonnée à la stratégie informatique du DSI. Les RSSI n’acquièrent définitivement de l’influence que lorsqu’ils relèvent directement de la Direction Générale. C’est une pratique de plus en plus courante. Cela impliquera généralement un changement de titre en CISO. Ainsi la CISO se retrouvera sur un « pied d’égalité » avec le CIO (DSI). Cela lui permettra d’avoir des responsabilités en matière de sécurité non liées à la technologie.

Le CISO doit être sur un pied d’égalité avec le CIO

Placer le CIO et le CISO sur un pied d’égalité peut aider à résoudre les conflits. Cela indique notamment à toute l’organisation que la sécurité est importante et n’est pas limitée au domaine informatique. Mais cela signifie également que le CISO ne peut pas simplement être un gardien de l’accès aux initiatives techniques. Piergiorgio Grossi, DSI de Ducati, a déclaré au magazine i-CIO: « Il incombe au CISO d’aider l’équipe informatique à fournir des produits et des services plus robustes au lieu de simplement dire » non « . Cette responsabilité partagée des initiatives stratégiques modifie la dynamique de la relation. Et cela peut faire la différence entre succès et échec pour un nouveau CISO.

La description de poste d’un CISO

Si vous recherchez un CISO prometteur pour votre organisation, cela implique en partie de rédiger une description de poste. Une grande partie de ce que nous avons discuté jusqu’à présent peut vous aider à aborder cette question. Vous devez d’abord décider si vous voulez engager un RSSI ou un CISO. Ensuite vous devrez obtenir les approbations pour le niveau, la structure hiérarchique et le titre officiel du poste. Dans les petites entreprises, le CISO peut être vice-président ou directeur de la sécurité. Vous devez également définir les exigences minimales et les qualifications du rôle. Ensuite vous pouvez décider de recruter en externe ou en interne.

Votre description doit clairement énoncer l’engagement de votre organisation en matière de sécurité. En effet, c’est ainsi que vous allez attirer un candidat de grande qualité. Vous devez indiquer où le nouveau CISO se retrouvera dans l’organigramme et son niveau d’interaction avec le conseil d’administration. Cela clarifiera vraiment sa position et son rôle. Un autre point important est de maintenir à jour la description de poste. Il faut le faire même si vous avez quelqu’un qui occupe actuellement ce poste. Vous ne savez jamais quand cette personne passera à une autre opportunité. C’est un rôle absolument critique et vous ne pouvez pas prendre le risque de vous retrouver sans CISO.

Quel salaire pour un CISO?

CISO est un poste de haut niveau et les CISO ont donc une rémunération en conséquence. La prévision des salaires est bien plus un art qu’une science. Mais on admet généralement qu’aux USA des salaires supérieurs à 100 000 dollars sont la règle. A ce jour voici les moyennes de salaire constatées aux USA

  • ZipRecruiter annonce une moyenne nationale de 153 117 $
  • Salary.com positionne la fourchette standard encore plus haut, entre 192 000 et 254 000 dollars.

Si vous consultez Glassdoor, vous pouvez consulter les fourchettes de salaire des offres d’emploi actuelles de CISO. Ceci peut vous aider à déterminer les secteurs qui paient le plus ou le moins. Par exemple, au moment de la rédaction de cet article, le poste de chef de la sécurité publique au sein du gouvernement fédéral américain rapporte entre 164 000 et 178 000 dollars, et le poste de CISO à l’Université d’Utah, entre 230 000 et 251 000 dollars.

Toujours sur Glassdoor, vous pouvez consulter le salaire des offres d’emploi en France pour un RSSI. Il se situe en moyenne entre 50 K€ et 80 K€. On voit tout de suite la différence! Malheureusement cela traduit bien le niveau de maturité des entreprises Françaises en 2019. C’est un mauvais présage de l’aptitude des entreprises Françaises à faire face aux challenges de la transition numérique.

Vous êtes un CISO en poste et vous souhaitez nous faire part de votre expérience? Vous voulez évoluer vers un rôle de CISO? N’hésitez pas à échanger grâce à vos commentaires.

 

RGPD : GOOGLE devra payer 50 millions d’euros d’amende

Cette fois, ça y est. La première amende significative infligée par la CNIL et concernant la non-conformité au RGPD vient de tomber. Et c’est GOOGLE qui en est la cible. Le géant américain devra débourser 50 millions d’euros d’amende pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. Je vais essayer de vous expliquer pourquoi. Mais c’est sans doute aussi pour vous l’opportunité de vous assurer que vous n’êtes pas les prochains sur la liste.

RGPD : La CNIL inflige une amende de 50 millions d'euros à GOOGLE
Crédits © Fotolia 2018

Dès le 25 Mai 2018, les associations « None Of Your Business » (« NOYB ») et « La Quadrature Du Net » (« LQDN ») déposaient des plaintes collectives contre GOOGLE, sur la base du RGPD, auprès de la CNIL. La plainte de LQDN était mandatée par près de 10.000 personnes. Dans ces deux plaintes contre le géant américain, les associations reprochaient à GOOGLE de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.

De quoi s’agit-il exactement?

Trois manquements ont été identifiés par la CNIL pour justifier cette amende :

  • un manquement aux obligations de transparence. Les informations fournies par Google ne sont « pas aisément accessibles pour les utilisateurs »
  • une information insatisfaisante, qui n’est pas « toujours claire et compréhensible »
  • et une absence de consentement valable pour la personnalisation de la publicité.

1. Manquement aux obligations de transparence


« Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation. »


Concernant l’accès à l’information, la CNIL regrette que des « informations essentielles […] sont excessivement disséminées dans plusieurs documents ». Il faut que l’internaute navigue entre plusieurs boutons et liens pour accéder aux indications « pertinentes ». L’Autorité de Contrôle a ainsi recensé cinq ou six actions préalables à effectuer avant d’arriver aux explications adéquates. C’est beaucoup trop.

2. Information non satisfaisante

Par ailleurs, à propos de la qualité de l’information, les traitements réalisés par Google « sont décrits de façon trop générique et vague », tout comme les données concernées. En clair, l’internaute « n’est pas en mesure de comprendre l’ampleur des traitements », alors que ceux-ci «  sont particulièrement massifs et intrusifs, en raison du nombre de services proposés, de la quantité et de la nature des données traitées et combinées. »


« Les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par GOOGLE. Or ces traitements sont  particulièrement massifs et intrusifs, en raison du nombre de services proposés (une vingtaine), de la quantité et de la nature des données traitées et combinées. »


La CNIL a constaté en particulier que les finalités sont insuffisamment énoncées. Elles sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités.  Il en va de même pour l’information délivrée aux utilisateurs. Elle est considérée comme  pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société GOOGLE. Enfin, les conditions générales d’utilisation de GOOGLE ne mentionnent nulle part la durée de conservation de certaines données.

3. Absence de consentement éclairé pour la personnalisation de la publicité

Au sujet du consentement, la CNIL observe que le consentement des internautes « n’est pas suffisamment éclairé » (du fait des manquements précédents), et que des cases d’approbation sont pré-cochées par défaut (comme l’affichage des publicités personnalisées).


« Certes, lors de la création d’un compte, l’utilisateur a la possibilité de modifier certains des paramètres associés au compte en cliquant sur le bouton «  plus d’options », présent avant le bouton « Créer un compte ». Il est notamment possible de paramétrer les modalités d’affichage des annonces personnalisées.

Le RGPD n’est pas pour autant respecté. En effet, non seulement l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au  paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut. Or le consentement n’est « univoque », comme l’exige le RGPD, qu’à la condition que l’utilisateur effectue un acte positif (cocher une case non précochée par exemple). « 


Enfin, GOOGLE présente les conditions d’utilisation de telle façon que l’internaute est obligé de toutes les accepter en bloc. Il ne peut pas le faire au cas par cas comme l’exige le RGPD.

Comment la CNIL a-t-elle pris sa décision?

Ces manquements ne portent pas sur des points anecdotiques. Bien au contraire, ils portent sur « des principes essentiels  » du RGPD. Les utilisateurs sont ainsi privés de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée. Or, « l’ampleur des traitements en cause impose de permettre aux utilisateurs de garder la maîtrise de leurs données. »

La CNIL a aussi tenu compte de certaines particularités, comme le poids du système d’exploitation Android en France.


« Compte tenu de la place prépondérante qu’occupe le système d’exploitation Android sur le marché français, ce sont chaque jour des milliers de Français qui procèdent à la création d’un compte GOOGLE à l’occasion de l’utilisation de leur ordiphone. De même, la formation restreinte rappelle que le modèle économique de la société repose en partie sur la personnalisation de la publicité. Une responsabilité toute particulière incombe dès lors à la société dans le respect de ses obligations en la matière. »


Enfin, l’Autorité de Contrôle fait observer que cette sanction ne punit pas « un manquement ponctuel, délimité dans le temps », mais plusieurs infractions qui sont toujours en cours à ce jour. Ces infractions constituent donc des « violations continues » du RGPD. Pour toutes ces raisons, il apparaissait nécessaire à la CNIL de frapper fort. Cependant ce n’est pas le coup le plus rude que la CNIL aurait pu porter au géant du Web.

S’agit-il d’une sanction record?

La sanction de 50 millions d’euros infligée par la CNIL à l’encontre de Google constitue à ce jour la plus forte peine prononcée par la Commission. C’est aussi la première à ce niveau qui a été rendue dans le cadre du RGPD. Cependant, elle reste extrêmement modeste au regard de la puissance financière du géant du net. En effet, son chiffre d’affaires annuel s’élève à près de 110 milliards de dollars.

À travers le RGPD, la CNIL a la possibilité de prononcer des peines dont le montant peut atteindre 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (ou 20 millions d’euros pour les organisations de plus petite envergure). L’Autorité de Contrôle doit déterminer quelle échelle il faut suivre. Elle compare les deux montants possibles et garde celui qui est le plus élevé.

Ces montants constituent un maximum. L’autorité de contrôle établit le montant de l’amende de sorte qu’elle soit dissuasive tout en restant proportionnée à l’infraction constatée.

L’amende maximum encourue par GOOGLE s’élèverait donc à plus de 4 milliards d’euros. Cette sanction apparaît donc comme extrêmement modérée.

A quelle suite s’attendre?

La firme de Mountain View ne va pas en rester là. En effet, GOOGLE a annoncé le 23 Janvier avoir décidé de contester la sanction auprès du Conseil d’Etat. Le prochain acte se jouera donc devant le Conseil d’État, la plus haute juridiction française de l’ordre administratif.

Dans un communiqué transmis à la presse, le géant du net explique avoir « travaillé d’arrache-pied pour créer un processus de consentement RGPD pour les annonces personnalisées qui soit le plus transparent et le plus simple possible. (…) Nous sommes aussi préoccupés par les effets  de cette décision (…). Pour toutes ces raisons, nous avons décidé de faire appel ».

Il est clair que l’Entreprise est beaucoup inquiète des effets collatéraux de l’annonce publique de cette sanction que de la somme à payer. En effet en cas de confirmation de la décision, cela risque d’avoir des conséquences importantes. Ces conséquences porteront notamment sur sa crédibilité aux niveau de ses clients et de ses actionnaires. Les 50 millions d’euros risquent donc d’être une goutte d’eau dans les conséquences financières réelles de cette condamnation.

Vous trouvez cette sanction justifiée? Vous êtes inquiet pour vos données personnelles et l’utilisation qui en est faite par les géants de la publicité? Ou au contraire vous pensez que les GAFA (Google-Amazon-Facebook-Apple) prennent toutes les dispositions nécessaires? N’hésitez pas à réagir au travers de commentaires.

Cybersécurité: au delà de l’environnement professionnel

Je travaille avec de nombreuses organisations à travers le monde pour les aider à améliorer leur cybersécurité. J’écris beaucoup d’articles sur des blogs, j’anime des conférences et des formations sur ce sujet depuis plusieurs années. Dans le cadre de mes activités de conseil, je me concentre presque toujours sur la gouvernance et le management de la sécurité des systèmes d’information en entreprise. Cela concerne entre autres les mots de passe, la protection des données personnelles, etc.. C’est bien pour cela que mes clients ont recours à mes services. Cependant, il est tout aussi important de penser à la cybersécurité dans nos vies personnelles.

Cybersécurité au delà de l'environnement professionnel, les mots de passe, les objets connectés, les terminaux doivent être protégés
Crédit © rawpixel.com 2018

Dans cet article, j’aborderai trois sujets essentiels :

  • Gestion de vos comptes d’utilisateurs et mots de passe
  • Protection de vos ordinateurs, tablettes et téléphones
  • Protection vos appareils IoT (objets connectés)

Dans un prochain article, j’aborderai le quatrième sujet: « Protection de vos informations personnelles ». Cet article est déjà très long et vous devrez donc attendre un prochain post pour que j’aborde ce sujet sensible. Il mérite beaucoup plus que quelques lignes.

1. Gérez vos comptes utilisateurs et vos mots de passe

Chaque semaine, nous découvrons une nouvelle faille majeure dans la sécurité des informations. Les données personnelles de millions de personnes sont ainsi divulguées. Lors d’une récente attaque contre les hôtels Marriott, les pirates se sont emparés d’informations personnelles concernant des centaines de millions de clients (entre 350 et 500 millions selon les estimations). Cela devrait vous inciter à la plus grande prudence quand à l’utilisation d’internet au quotidien.

Définissez bien votre stratégie de gestion de mots de passe

Lorsqu’une violation survient, les pirates informatiques s’emparent généralement d’une liste de noms d’utilisateurs et de mots de passe utilisés sur les systèmes violés. Souvent ils récupèrent également des informations personnelles et financières qu’ils pourront ensuite utiliser ou revendre. Une des premières choses qu’ils font ensuite, généralement, est d’essayer ces mots de passe sur tous les autres sites auxquels ils peuvent penser. Il ne s’agit pas juste de taper les mots de passe sur un clavier pour voir où leurs victimes travaillent. Les pirates utilisent des scripts qui essaient des millions de mots de passe connus sur plusieurs milliers de sites Web. Cela signifie que si vous avez utilisé le même mot de passe sur plusieurs sites différents, et si l’un de ces sites est victime d’une attaque, les pirates informatiques peuvent potentiellement accéder à tous les autres comptes sur lesquels vous avez réutilisé ce même mot de passe.

Idéalement, vous avez donc besoin d’un nom d’utilisateur différent et d’un mot de passe complexe différent pour chaque connexion. Oui, je sais. Ce n’est pas facile quand vous pouvez avoir des centaines de comptes différents. Je viens de compter le nombre de comptes différents que j’ai. Et vous savez quoi? J’ai découvert que j’utilise plus de 200 identifiants différents, que ce soit pour les achats, les voyages, la gestion de mon argent, les médias sociaux, les entreprises de services publics, le gouvernement, etc.

Assurez-vous que votre stratégie est suffisamment solide

Certaines personnes utilisent un mot de passe commun pour ce qu’ils considèrent être des sites à faible risque. Ils ne définissent des mots de passe uniques que pour les sites qui leur paraissent les plus critiques, comme leur banque. Hélas, cela peut entraîner des problèmes lorsqu’un compte «à faible risque» s’avère plus important que vous ne le pensiez. Des informations personnelles pouvant aider les pirates à violer un compte plus sécurisé pourraient éventuellement être dérobées.

Prenons un exemple simple. Imaginons que votre opérateur de téléphonie mobile utilise un ancien compte de messagerie, que vous utilisez rarement et que vous avez oublié, pour confirmer les commandes. Un pirate informatique peut alors récupérer votre numéro de téléphone et l’utiliser pour se faire passer pour vous sur un autre site. De même, imaginons qu’un pirate informatique accède au site sur lequel vous avez utilisé votre mot de passe commun parce que vous vouliez uniquement effectuer un achat ponctuel et que la société conserver une copie des informations de votre carte de crédit en ligne. Le cyber-criminel pourrait alors obtenir votre mot de passe commun ainsi que les informations de votre carte de crédit. Bon d’accord, imaginons que le site marchand en question ne conserve pas vos informations de carte de crédit. Celles concernant vos achats (nom, prénom, adresse email) peuvent être suffisantes pour qu’un pirate informatique réussisse une attaque de phishing: «Cher Alain, le t-shirt que tu as acheté la semaine dernière provenait d’un lot défectueux. Merci de cliquer sur ce lien pour obtenir un remboursement ».

Utilisez un gestionnaire de mots de passe

Si vous souhaitez créer un mot de passe différent et complexe pour chaque site sur lequel vous vous connectez, vous aurez sûrement beaucoup de mal à le mémoriser. Alors vous pouvez le stocker dans une feuille de calcul ou un document protégé par mot de passe. Encore faut-il vous assurer que la protection du document ne puisse pas être violée. Il est cependant préférable d’utiliser un outil de gestion de mots de passe.

Les gestionnaires de mots de passe sont beaucoup plus qu’un simple outil de stockages des mots de passe. Ils offrent tout un ensemble de fonctionnalités telles que :

  • Protection de tous vos noms d’utilisateur et mots de passe enregistrés protégés par un seul mot de passe (très complexe j’espère) que vous seul connaissez
  • Navigation automatique vers des sites Web et saisie de vos informations dans les champs correspondants
  • Capture automatique des noms d’utilisateur et des mots de passe lorsque vous les entrez ou les modifiez
  • Génération de mots de passe aléatoires complexes correspondant à des critères spécifiés
  • Synchroniser les mots de passe cryptés enregistrés vers un service cloud afin que vous puissiez les utiliser sur de nombreux appareils différents (ordinateur, tablette, téléphone)
  • Prise en charge de plusieurs navigateurs pour vous permettre de vous connecter comme bon vous semble au moment voulu
  • Prise en charge de diverses plates-formes, notamment Windows, Mac, IoS et Android.

Certains gestionnaires de mots de passe sont gratuits, d’autres sont payants. Certains autres ont une version premium et une version gratuite avec des fonctionnalités différentes. Voici une liste de quelques produits que vous devriez considérer:

Une fois que vous aurez commencé à utiliser un gestionnaire de mots de passe, vous verrez par vous-même. Vous vous demanderez comment vous avez réussi à vous en passer jusqu’alors. Cela rend les choses tellement plus faciles. Comme pour tout outil, la configuration et l’habitude de l’interface utilisateur demandent un peu d’effort au début. Ensuite vous pourrez créer des mots de passe longs et complexes pour chaque site et les utiliser pratiquement sans effort.

Utilisez l’authentification à deux facteurs

Les mots de passe longs et complexes aident à sécuriser vos comptes, mais ils ne suffisent pas toujours. Les hackers peuvent utiliser de nombreuses astuces pour obtenir vos mots de passe. En particulier si vous utilisez un réseau WiFi public non sécurisé dans les hôtels, les aéroports ou les cafés, ils peuvent espionner et récupérer vos mots de passe qui sont transmis en clair sur le réseau.

L’authentification à deux facteurs utilise deux manières différentes de prouver qui vous êtes. Elle repose sur deux choses complètement différentes. Il est donc beaucoup plus difficile pour un pirate informatique de prendre le contrôle votre compte. Chaque connexion nécessite l’utilisation de deux éléments distincts parmi les suivants:

  • Quelque chose que vous savez (un mot de passe par exemple)
  • Quelque chose que vous avez (une carte, un badge, un jeton matériel)
  • ou quelque chose que vous êtes (une identification biométrique comme une empreinte digitale par exemple)
  • ou enfin quelque part où vous êtes (l’identité d’un réseau sans fil par exemple ou des coordonnées GPS).

Certains sites Web vous permettent d’utiliser un message texte envoyé sur un téléphone portable ou un code envoyé dans un message électronique en tant que deuxième facteur. C’est notamment le cas pour les banques. Cela vaut mieux que de simplement utiliser un mot de passe mais ce n’est pas aussi sécurisé que d’autres options. En effet, il existe des moyens bien connus d’intercepter les messages électroniques et les messages texte du téléphone. D’ailleurs, considéré comme trop fragile, ce moyen d’authentification utilisé par les banques est en voie d’être interdit en Europe. La commission européenne est  actuellement en train d’élaborer la nouvelle directive DPS2 qui va dans ce sens et s’imposera à toutes les banques et les sites marchands. La meilleure option pour une utilisation personnelle consiste à utiliser une application, telle que Google Authenticator, ou un jeton matériel, tel que Yubikey.

L’authentification à deux facteurs est déjà disponible sur de nombreux sites

Peut-être ne le savez-vous pas mais de nombreux sites et logiciels différents prennent déjà en charge l’authentification à deux facteurs. Par exemple

  • Vous pouvez l’activer sur les sites de médias sociaux tels que Facebook, Twitter et LinkedIn
  • De nombreuses banques et autres sites financiers fournissent un deuxième facteur sous la forme d’un jeton matériel qui génère un code à utiliser lorsque vous vous connectez
  • Certains logiciels prennent en charge deux facteurs. Par exemple, vous pouvez configurer la connexion à deux facteurs pour la plupart des gestionnaires de mots de passe répertoriés ci-dessus.

Utilisez un service de VPN

Vous utilisez un réseau WiFi public, par exemple dans les hôtels, les aéroports ou les cafés? Les pirates informatiques ont alors une bonne occasion de s’attaquer à votre sécurité. Ils peuvent s’y prendre de différentes manières. Notamment, il peuvent mettre en place un faux point d’accès WiFi qui redirige tout le trafic via leurs propres serveurs. Ils ont alors tout loisir de capturer vos informations personnelles.

Le meilleur moyen de vous protéger de ce type d’attaque consiste à utiliser un service VPN. Une fois que vous vous êtes connecté au réseau WiFi et avant de faire quoi que ce soit, le service VPN configure une connexion vérifiée et cryptée entre votre appareil et un serveur VPN. Le serveur VPN achemine ensuite tout votre trafic Internet, de façon cryptée, vers sa destination. Ceci empêche toute personne sur le réseau WiFi local de voir quoi que ce soit sur votre activité Internet ou d’interférer avec celle-ci.

Vous pouvez trouver une comparaison détaillée des produits VPN disponibles sur le site That One Privacy Site.

2. Protégez vos ordinateurs, vos tablettes et vos téléphones

Il est extrêmement facile pour les ordinateurs, les tablettes ou les téléphones d’être infectés par des logiciels malveillants pouvant avoir des conséquences dévastatrices. Un Ransomware peut chiffrer tous vos fichiers et demander de l’argent pour les récupérer. Le cryptojacking peut prendre le contrôle de votre appareil et utiliser toute votre puissance CPU pour générer des bitcoins pour un attaquant. Les virus, les vers et les chevaux de Troie peuvent être utilisés pour prendre complètement le contrôle de votre appareil et l’utiliser pour lancer des attaques sur d’autres ordinateurs ou tout simplement pour vous causer des problèmes.

Parmi les actions que vous pouvez prendre pour vous protéger nous vous proposons les suivantes:

Maintenez les correctifs de sécurité à jour

Ne tardez pas à installer les correctifs du système d’exploitation. Dès que le correctif est disponible et que la connaissance du bug se généralise, il est probable que des cyber-criminels tenteront d’exploiter le bug qu’il corrige. Si vous attendez quelques semaines pour installer le correctif, ils auront tout le temps de vous pirater.

Ne faites pas que patcher votre système d’exploitation. Les applications nécessitent également des correctifs réguliers. Certaines applications les téléchargent automatiquement. Par exemple, des navigateurs Web tels que Chrome et Firefox vous invitent à mettre à jour les versions les plus récentes. Vous devez toutefois surveiller les autres applications et les maintenir à jour manuellement.

Il existe des outils pour vous aider, mais aucun d’eux n’est totalement satisfaisant. Vous pouvez utiliser un produit appelé SUMo, qui identifie les mises à jour dont vous avez besoin et fournit un lien pour les télécharger. Attention cependant, les liens de téléchargement ne sont pas toujours fonctionnels.

Assurez-vous de maintenir votre anti-virus à jour

Vous devez absolument exécuter un logiciel antivirus sur tous vos appareils, le maintenir à jour et effectuer des analyses régulières. Il existe de nombreuses options gratuites, en fonction de la plate-forme que vous utilisez. Par exemple, Sophos propose des produits gratuits pour Windows, Mac et Android. N’hésitez pas à rechercher en ligne des critiques qui seront probablement mises à jour plus fréquemment que ce blog.

Faites attention l’hameçonnage, ne cliquez pas sur des liens

L’hameçonnage (phishing en anglais) est souvent utilisé par les pirates pour vous amener à télécharger et à exécuter des logiciels. Généralement, il se présente sous la forme d’un lien dans un courrier électronique, un message texte ou un message de média social. Mais il peut également être intégré dans un document PDF ou Office. Pour en savoir plus, je vous invite à consulter un précédent article : Phishing – Mode d’emploi.  Auparavant, il était assez facile de reconnaître les attaques de phishing car elles avaient généralement une mauvaise grammaire et des liens qui présentaient des risques évidents à reconnaître. Mais les escrocs deviennent de plus en plus intelligents et certaines de ces attaques sont vraiment difficiles à détecter.

Vous devez être vigilant. Si vous recevez un lien dans un message envoyé par un ami, ne vous contentez pas de cliquer dessus. Réfléchissez bien au type de messages que cet ami vous envoie habituellement. Eventuellement contactez-le et demandez-lui s’il vous a vraiment envoyé le message. Si vous recevez un email d’une banque ou d’une autre institution financière, n’utilisez jamais le lien inclus dans le message pour accéder à votre compte. Ouvrez votre navigateur Web et accédez vous-même au site.

Faites des sauvegardes régulières, spécialement pour les données importantes

Si votre ordinateur ou votre périphérique est compromis, vous pouvez probablement le restaurer dans l’état dans lequel il se trouvait lorsqu’il a quitté l’usine. Cela supprimera tout logiciel malveillant. Cependant, si vos précieuses données ont été compromises, votre seul moyen de récupération consiste à restaurer une sauvegarde. Vous pouvez utiliser un logiciel de sauvegarde comme Acronis TrueImage ou StorageCraft ShadowProtect, mais même si cela n’est pas possible, vous devez stocker des copies des fichiers importants dans un emplacement sûr, même si vous les envoyez régulièrement à votre service de messagerie cloud.

3. Protégez vos objets connectés

De nombreux appareils que nous introduisons aujourd’hui dans nos foyers ont une capacité informatique et une connectivité réseau. Cela inclut

  • les téléviseurs et les différentes éléments que nous leur connectons;
  • haut-parleurs intelligents tels que Amazon Echo ou Google Home;
  • les ampoules intelligentes;
  • systèmes domotiques;
  • les webcams;
  • et des appareils plus exotiques tels que des grille-pain intelligents, des bouilloires et des brosses à dents.

Tous ces appareils sont en réalité des ordinateurs de votre réseau domestique. Ils peuvent donc être attaqués et leur contrôle peut être pris par des pirates. Si vous souhaitez connaître l’ampleur potentielle du problème, consultez Shodan, un moteur de recherche Web qui localise et identifie les périphériques IoT non sécurisés.

Les conseils de ce paragraphe du blog s’appliquent également aux périphériques réseau domestiques tels que les routeurs et les points d’accès sans fil.

Changez les mots de passe par défaut

La première chose, et la plus importante, que vous devriez faire avant de commencer à utiliser tout appareil connecté est de changer les mots de passe par défaut. Choisissez un bon mot de passe et veillez à en conserver une copie, de préférence dans votre gestionnaire de mots de passe.

Mettez à jour le micro-logiciel et les logiciels

Comme tous les autres ordinateurs, ces appareils exécutent des logiciels qui peuvent être compromis. Les fournisseurs publient régulièrement des mises à jour et des correctifs. Vous devez vous assurer que ceux-ci sont installés rapidement.

Désactivez les fonctionnalités que vous n’utilisez pas

De nombreux appareils comportent de nombreuses fonctionnalités qu’on utilise très rarement. Une fois que vous avez identifié les fonctionnalités du périphérique que vous souhaitez utiliser, il est recommandé de désactiver toutes les fonctionnalités que vous n’utilisez pas. Cela réduira la «surface d’attaque» et contribuera à réduire les risques de compromission de votre appareil.

Conclusion

Nous sommes de plus en plus dépendants d’Internet et nos foyers regorgent d’appareils informatiques de plus en plus sophistiqués. Internet et les appareils connectés sont très populaires. Ils contribuent à notre qualité de vie, mais ils comportent des risques. Si vous les utilisez sans penser aux risques, un jour vous serez attaqué et les conséquences pourraient être graves.

Si vous utilisez les contre-mesures disponibles, telles que les bons mots de passe, l’authentification à deux facteurs et les mises à jour de correctifs, vous pouvez alors vous protéger. Vous protègerez ainsi votre maison et votre famille contre les pires effets d’une attaque.

Cet article vous a paru utile? Vous avez d’autres astuces pour vous protéger en ligne? N’hésitez pas à partager vos avis et vos expériences par un commentaire. Si vous avez aimé cet article, vous pouvez aussi nous laisser un « like », cela fait toujours plaisir à notre équipe.

10 trucs pour bien démarrer avec COBIT 2019

Il y a quelques semaines que la nouvelle version du référentiel de Gouvernance et de Management de l’information : COBIT 2019 a été publiée sous la forme des 4 premiers volumes. Nous nous sommes donc posé la question de comment bien démarrer avec COBIT 2019. Voici nos 10 conseils.

COBIT 2019 - 10 trucs pour bien démarrer votre initiative de gouvernance
Crédit © rawpixel.com 2018

Petit rappel historique : de Cobit à COBIT® 2019

Vous avez sûrement déjà entendu parler de COBIT. COBIT existe depuis un moment maintenant. Si tel est le cas, vous vous souviendrez peut-être que COBIT était un cadre dirigé vers des pratiques en matière d’audit. Vous vous souvenez peut-être aussi de l’ancien nom: CobiT. C’était alors un acronyme signifiant littéralement «Objectifs de contrôle pour l’information et les technologies connexes». Son nom traduisait clairement ses racines basées sur l’audit. Tout cela, c’était il y bien longtemps. En tout cas, c’était avant 2012.

Mais maintenant c’est simplement devenu COBIT®, un nom commercial  sans signification spéciale. À l’instar d’ITIL, l’acronyme a été remplacé en 2012 avec la version COBIT® 5 traduisant une ambition beaucoup plus grande. COBIT 5 est devenu LE cadre de gouvernance et de management de l’information des entreprises, incluant la technologie associée. Il s’agit donc depuis 2012 d’un référentiel de gouvernance et de management couvrant toute l’entreprise. Ce n’est plus un cadre d’audit limité au domaine informatique.

Avec COBIT 2019, l’ISACA va encore plus loin en simplifiant COBIT 5 et en y rajoutant des outils de design ainsi que des niveaux de maturité pour chacun des objectifs. Les processus et les « enablers » ont quitté le premier plan du modèle principal, remplacés par les objectifs.

Démarrer avec COBIT

Comme pour beaucoup de choses dans la vie, et pas uniquement dans les TI, il y a rarement une seule approche universelle. Au lieu de cela, vous devez trouver l’équilibre entre ce que vous devez réaliser, vos priorités clés et les limites organisationnelles sur lesquelles vous souhaitez appliquer le changement.

Alors, prenez les 10 conseils suivants dans l’esprit dans lequel ils vous sont proposés. Considérez-les et conservez seulement ceux qui sont pertinents pour votre organisation.

1. Comprenez d’abord à quoi sert COBIT

Cela peut vous paraître étrange de prime abord. Mais je vous rappellerai l’évolution de COBIT que j’ai décrite en introduction. COBIT 2019 est aujourd’hui décrit comme un «cadre de gouvernance et de gestion de l’information et de la technologie (I & T)». On est très loin de sa vocation d’origine. Il est également important de bien comprendre que ce n’est pas un cadre de gestion des services informatiques comme l’est ITIL par exemple. Il s’adresse à toute l’organisation prise dans son ensemble. Ce n’est donc pas quelque chose destiné au DSI. Un programme de mise en oeuvre couvre toute l’entreprise, c’est à dire toutes les directions : métiers, finances, RH, risques, sécurité, etc.

2. Comprenez ce que le mot « gouvernance » signifie pour votre organisation

C’est peut-être le conseil le plus important. Pour tirer le meilleur parti de COBIT 2019, il est primordial de «mettre tout le monde sur la même longueur d’onde» en ce qui concerne la gouvernance (et la gestion bien sûr). Sinon, vous aurez probablement autant de définitions internes de la gouvernance que d’employés. D’ailleurs il n’est pas du tout certain que votre haute direction ait une vision claire à ce sujet. En effet, la notion de gouvernance dans les pays francophones est assez mal comprise. Sans doute est-ce dû à l’histoire et à la culture « monarchique » française. Elle est très éloignée de la gouvernance comprise par les anglophones. Nous y reviendrons dans un prochain article sur la structure de gouvernance et de management des organisations. Alors si besoin, n’hésitez pas à faire suivre aux membres de votre direction une formation d’introduction. 2AB & Associates propose également des présentations destinées aux exécutifs que nous réalisons sur 1h30 à 3h pour l’ensemble de Comité de Direction

3. Reconnaissez que COBIT 2019 n’est pas seulement un ensemble de 40 processus

De nombreuses approches ITSM se concentrent sur les processus d’amélioration. COBIT 2019 inclut aussi 40 processus mais il ne sont que des composantes des 40 objectifs de gouvernance et de management. Les 40 objectifs se répartissent dans 5 domaines:

  • 1 domaine pour la Gouvernance
    • EDM : Evaluer, Diriger et Surveiller
  • 4 domaines pour le management
    • APO : Aligner, Planifier et Organiser
    • BAI : Bâtir, Acquérir et Implémenter
    • DSS : Délivrer, Servir et Supporter
    • MEA : Surveiller, Evaluer et Contrôler.

Chaque objectif repose sur 7 composants (qui s’appelaient les « enablers » dans la version précédente) pour être atteint :

  • un processus
  • structures organisationnelles
  • flux d’informations et d’éléments
  • personnes, des aptitudes et des compétences
  • politiques et des procédures
  • culture, éthique et comportement
  • services, infrastructure et applications.

Les objectifs sont déterminés en utilisant la cascade d’objectifs qui était au coeur de COBIT 5. De la sorte, vous vous focaliserez sur les objectifs prioritaires de votre organisation.

4. Obtenez l’implication forte de la haute direction pour la mise en oeuvre

Un facteur clé du succès de COBIT 5 a toujours été la haute direction, qui fournit la direction, le mandat et son engagement continu pour l’initiative. C’est encore plus vrai avec la version 2019. Il s’agit de mettre en oeuvre des pratiques de gouvernance et de management. C’est donc une responsabilité qui se situe au plus haut niveau de l’organisation. Sans une implication forte de haute direction, l’échec de votre programme est quasiment assuré.

5. Justifiez formellement l’investissement dans COBIT 2019

Ne démarrez pas cela comme «une bonne chose à faire» en vue de s’améliorer. Ces types d’initiatives tendent à être les premières à être arrêtées lorsque des pressions budgétaires entrent en jeu. Il s’agit là d’un programme d’envergure au niveau de votre entreprise. La justification grâce à des business cases appropriés est donc impérative. Réalisez une analyse de rentabilité pour chaque projet contenu dans le programme définissant la portée, les bénéfices attendus et, surtout, décrivant un mécanisme permettant de mesurer les progrès et les succès.

6. Commencez de façon ciblée pour obtenir un accord

En particulier, identifiez les «points de douleur» spécifiques. COBIT 2019 peut vous aider à les traiter (et à les résoudre) au lieu de simplement commencer par une liste d’actions. Cela vous aidera non seulement à rester concentré, mais aussi à promouvoir les succès obtenus. Cela vous permettra également de mieux convaincre la haute direction et de transformer un sentiment de besoin diffus en nécessité absolue de mise en oeuvre. C’est ainsi que vous déclencherez le désir du changement sans lequel rien n’est possible.

7. Mettez en oeuvre « votre » programme et n’essayez pas de copier-coller le contenu de COBIT 2019

Comme pour les autres cadres de bonnes pratiques, il est nécessaire d’adopter et d’adapter COBIT 2019 aux besoins et au contexte spécifiques de votre organisation. Ne considérez surtout pas la publication de l’ISACA comme un évangile et le seul moyen de bien faire les choses. Il s’agit simplement de lignes directrices vous permettant de comprendre comment procéder. Vous devez vous en inspirer pour créer votre propre cadre de gouvernance et de management de l’I&T, spécifique à votre organisation. Il convient également de cibler les objectifs qui sont prioritaires dans votre cas particulier. N’oubliez jamais que les ressources mises à votre disposition ne sont pas illimitées.

8. Assurez-vous que le langage que vous employez est compris et accepté de tous

Votre organisation n’est sans doute pas nouvelle. Elle a sans doute adopté un langage ou un lexique commun en interne afin de garantir la clarté de la communication. Il convient de faire en sorte que tout le monde ait une compréhension commune des choses. Donc, lorsque vous démarrez avec COBIT 2019, ne changez pas les habitudes. Utilisez le langage interne connu et compris de tout le monde connaît. Tant pis si ce n’est pas le langage utilisé dans les publications officielles. Le programme de mise en oeuvre ou d’amélioration de la gouvernance et du management de l’I&T est complexe. Ne le compliquez pas encore plus avec l’utilisation de termes que les gens ne comprennent pas. Cela risquerait d’aboutir au rejet pur et simple de votre initiative et à son échec. Ne courrez pas ce risque.

9. Démarrez doucement avec les choses simples et visibles

Comme pour chaque nouveauté introduite dans l’environnement professionnel, il est important de mettre l’accent sur les «gains rapides» (Quick Wins). Cette astuce se reflète dans la hiérarchisation des améliorations les plus bénéfiques dans le contexte de la facilité de réalisation. Cette atteinte rapide des objectifs et la réalisation des premiers bénéfices contribuera à renforcer la crédibilité et la confiance. Elle renforcera ainsi l’investissement continu en temps et en argent, ainsi que la motivation des personnes impliquées dans le changement.

10. Assurez-vous de mettre en place dès le début des mesures du succès

Comme déjà mentionné dans le conseil n ° 5, il doit exister un mécanisme permettant d’évaluer et de rendre compte des améliorations. Il est important de noter qu’il ne s’agit pas seulement de mesurer  la phase « projet ». Il convient aussi et surtout  de réaliser l’évaluation continue des performances et la progression des opportunités d’amélioration. Et surtout ne trichez pas. Soyez transparent et communiquez les résultats des mesures réelles. Si les cibles ne sont pas atteintes, c’est peut-être que vous avez été trop ambitieux. Alors expliquez- et adaptez vos cibles pour qu’elles soient atteignables et faites les progresser dans le temps. Il vaut toujours mieux commencer avec des résultats modestes mais en constante amélioration qu’avec des résultats incroyablement bons mais faux…

Voici donc nos 10 conseils pour bien démarrer avec COBIT 2019. Vous n’êtes pas d’accord? Vous pensez que vous pouvez en rajouter d’autres? Vos commentaires sont les bienvenus. N’hésitez pas à ouvrir le débat.

Gestion des services informatiques : l’atout majeur des PME

J’entends souvent mes clients dire que les bonnes pratiques TI (notamment basées sur ITIL) sont réservée aux grandes entreprises. Bien que très répandue, cette croyance est totalement fausse. Les PME sont au contraires les premières à tirer un bénéfice certain de leur informatique. Je vais, dans cet article, essayer de mieux vous faire comprendre quelles sont les 4 raisons essentielles pour lesquelles une meilleure gestion des services informatiques constitue un atout majeur pour une PME.

Gestion des services informatiques (ITSM - ITIL) : l'atout majeur des PME
Crédit © rawpixel.com 2018

Il y aune idée reçue à propos de la gestion des services informatiques (ITSM) dans le monde informatique. Certains professionnels et certaines organisations pensent que la gestion des services informatiques n’est rien de plus qu’un fouillis de processus bureaucratiques qui ne font que freiner la productivité et ne peuvent être efficacement mis en œuvre que par de grandes organisations. Nous parlons ici d’organisations plutôt que d’entreprises car elles peuvent être publiques, privées, à but commercial ou non.

Mais je vais vous confier un secret. Une bonne gestion des services informatiques peut être l’arme secrète permettant à une PME de s’imposer sur son marché.

La gestion des services informatiques n’a pas besoin d’être compliquée. Après tout, l’ITSM est simplement un ensemble de pratiques définies pour la mise en œuvre, la gestion et la fourniture de services informatiques répondant aux besoins de l’organisation. Elle doit donc s’adapter à la taille et aux ressources de l’organisation. Et ce, d’autant plus lorsqu’il s’agit d’une PME.

Mais qu’est-ce vraiment que la gestion des services informatiques? Je vous propose la description suivante basée sur 3 caractéristiques :

  • Un ensemble de services fiables, cohérents et conformes aux attentes des clients et aux moyens de l’informatique,
  • Elle apporte une contribution mesurable de l’informatique à la valeur commerciale générée par les métiers,
  • Elle s’appuie sur des processus efficaces, définis, documentés et basés sur les données fiables.

Qu’en pensez-vous? N’est-ce pas ce qu’attend toute organisation? Cela ne résonne pas exactement comme quelque chose qui ne profiterait qu’aux grandes entreprises, n’est-ce pas?

De nombreuses personnes reconnaissent les avantages d’une excellente gestion des technologies de l’information. Laissez-moi donc vous expliquer pourquoi cette technologie et les services associés sont si importants pour les PME.

1. L’expérience utilisateur

Les attentes des clients ont radicalement changé au cours des dernières années, en partie grâce aux nouvelles technologies. Les clients attendent des réponses en rapides, des parcours personnalisés et une innovation continue des entreprises.

Prenons l’exemple d’Amazon. Vous pensez vraiment que les clients achètent chez Amazon simplement parce que c’est Amazon? Bon, c’est peut-être le cas maintenant. Mais à l’origine, les clients commençaient à acheter chez Amazon, tout simplement parce qu’Amazon facilitait leurs achats. Amazon a commencé par faire des choses simples répondant aux attentes des clients, comme proposer des offres d’achat personnalisées, envoyer des notifications d’expédition immédiate et maintenir un service client réactif. Une «expérience de type Amazon» est désormais ce qu’attend le client de chaque entreprise.

Bien sûr, la plupart des petites entreprises fonctionnent avec un personnel limité. Et par conséquent, les PME peuvent avoir des difficultés à répondre à des attentes de type «Amazon».

C’est là que les services informatiques entrent en jeu. l’ITSM aide les PME à fournir des services plus rapides et plus fiables et surtout sans nécessiter de main-d’œuvre supplémentaire. En fin de compte, cela signifie une expérience client plus fluide et plus cohérente, sans frais généraux supplémentaires. Et bien sûr, cela ne nécessite pas un personnel plus important.

En voici un autre exemple avec les boutiques sans employés en Chine. Nul doute que la Chine a pris de l’avance sur nous. Mais il faut réagir vite. La concurrence Chinoise ne va pas tarder à attaquer notre commerce de détail. Nul doute que d’ici peu nos supérettes ressembleront à cela. Ou alors elles auront disparu.

Vous imaginez bien que les services informatiques, dans l’exemple de cette vidéo doivent être totalement fiables et sécurisés. Il est donc souhaitable de s’appuyer sur des bonnes pratiques de gestion des services TI tels que ITIL par exemple.

2. L’agilité

Le monde des affaires est incroyablement compétitif. La concurrence est mondiale. La technologie a permis à chaque entreprise d’avancer plus vite et de se développer plus rapidement. Si vous n’êtes pas en avance sur la courbe, c’est que vous êtes déjà en retard! L’agilité est donc une nécessité absolue pour les PME. C’est même une question de survie.

L’ITSM aide les organisations à structurer leurs activités afin de répondre rapidement aux besoins les plus urgents et les plus importants. Elle aide à éliminer les interruptions et les problèmes épineux qu’il faut constamment résoudre. Enfin, l’ITSM aide les équipes à rester concentrées sur les résultats qui permettent à l’entreprise de prendre de l’avance et à la maintenir.

3. Les services informatiques sont plus faciles à mettre en oeuvre dans les PME

Comme je viens de le mentionner les PME doivent être flexibles et agiles pour pouvoir faire face à la concurrence. Les PME doivent se concentrer sur les projets et les services qui généreront des revenus et augmenteront leurs résultats nets.

Pour cette raison, les PME sont particulièrement bien placées pour tirer des bénéfices de leurs services informatiques plus rapidement que les grandes entreprises. Dans une PME, les équipes sont plus petites et doivent collaborer plus souvent sur les projets les plus critiques et les plus importants. Les employés voient souvent les résultats de leurs efforts plus directement que ceux qui travaillent dans de grandes organisations.

Par conséquent, il y a moins de personnes à convaincre pour soutenir un projet de mise en œuvre de l’ITSM. Il y a également moins silos à casser, et une meilleure compréhension de la manière dont tout le monde collabore à un objectif commun.

4. Aller plus loin avec le même budget

Contrairement à de nombreux mythes, la gestion des services informatiques ne se résume pas à l’achat d’un outil le plus récent et le plus performant. Ce n’est pas non plus une méthode. Il s’agit de créer des processus et des flux d’activités afin que l’ensemble de l’organisation fonctionne mieux avec l’objectif de permettre une expérience client transparente.

La création de processus efficaces et de services bien définis garantit la croissance de votre entreprise à un niveau satisfaisant. Lorsque vous avez les bons processus et des services clairs, vous pouvez être assuré que votre équipe est concentrée sur le business. Ainsi, lorsque le moment sera venu pour vous de vous développer et d’embaucher plus de membres dans votre équipe, ce sera parce que l’entreprise grandira, et non pas parce que votre équipe est trop occupée et stressée, et qu’elle ne réalise pas réellement le business attendu.

En outre, la gestion des services informatiques ne démarre pas avec l’acquisition d’un outil. Il faut d’abord se concentrer sur les besoins de l’entreprise. Ensuite il faut identifier et définir les processus, les services et les flux d’activités nécessaires pour répondre aux besoins. En partant de cette perspective, vous éviterez de gaspiller de l’argent pour des outils qui ne soutiendront jamais votre entreprise. Lorsque vous investirez dans un outil, vous saurez qu’il fonctionne avec les processus que vous avez déjà définis. Et par conséquent, il sera utilisé correctement.

Comment démarrer la mise en oeuvre de l’ITSM dans votre PME?

Je vous ai convaincu? Vous souhaitez démarrer la mise en oeuvre de la gestion des services TI dans votre organisation? Alors commençons par répondre à quelques questions. Cela vous aidera à comprendre clairement comment la gestion des services informatiques peut s’intégrer dans votre organisation.

N’oubliez pas ce que j’ai indiqué précédemment. La gestion des services informatiques ne se résume pas à acheter l’outil le plus récent et le meilleur du marché! Évitez de plonger directement avec l’achat d’un outil sophistiqué. Commencez par la définition des services et des processus nécessaires!

Évitez l’erreur commune de vous planter avant même de vous lancer! Les réponses à ces questions vous aideront beaucoup plus que n’importe quel outil coûteux à cette étape de votre projet ITSM:

  • Identifiez comment votre entreprise utilise ou dépend de la technologie informatique.
  • Quelles sont les activités courantes de votre équipe pour aider votre entreprise à utiliser la technologie?
  • Êtes-vous en mesure de mesurer la contribution de la technologie à votre entreprise?
  • Êtes-vous en mesure de mesurer et de discuter de la manière dont votre équipe informatique contribue au succès de votre entreprise, en termes pertinents?
  • Qu’est-ce qui pourrait être fait différemment dans la manière dont l’informatique contribue au succès de l’entreprise?
  • Identifiez les petites améliorations susceptibles d’apporter de gros gains à votre entreprise.

Faites les choses dans le bon ordre

Une fois que vous aurez répondu à ces questions, il sera temps de commencer à vous familiariser avec les différents cadres de gestion des services informatiques et de savoir comment. Assistez à des webinaires et à des réunions de groupes d’utilisateurs pour découvrir les avantages de la gestion des technologies de l’information pour votre entreprise. Discutez avec des experts ou lisez des blogs et des livres blancs sur la meilleure façon de démarrer avec l’ITSM. Suivez des formations sur les différents référentiels de bonnes pratiques et les normes disponibles : ITIL, COBIT, VerISM, ISO 20000, …

C’est le début de l’année et de nombreuses PME ont encore des objectifs ambitieux, des plans et des échéances excitantes. Le moment est donc idéal pour aller au-delà de votre plan d’action et pour vous assurer de respecter tous vos objectifs cette année!

N’hésitez pas à nous faire part de votre avis en nous laissant vos commentaires. C’est grâce aux échanges que vous pourrez cibler les domaines d’amélioration potentielle de vos services TI.

 

19 résolutions pour une année 2019 réussie

2018 vient de se terminer. Et ce fut une année riche en nouveautés dans les domaines de la gouvernance, du management des TI et de la sécurité de l’information. C’est donc le moment idéal pour souhaiter une très belle année 2019 à tous nous lecteurs de la part de toute l’équipe de 2AB & Associates. Cette année 2019 va voir arriver sans doute encore plus de nouveautés que la précédente. Et cela va commencer dès les prochaines semaines et les prochains mois.

Bonne année 2019
Crédits © rawpixel.com 2018

Mais avant de nous concentrer sur ce qui arriver ou ce qui vient d’arriver, essayons de garder les pieds sur terre. Traditionnellement, chaque début d’année est propice aux bonnes résolutions. Alors, pour ne pas faillir à la tradition, nous avons également réfléchi à ce qui pourrait servir de base pour de bonnes résolutions dans les départements ITSM des organisations.

« C’est une nouvelle ère. C’est un nouveau jour. C’est une nouvelle vie pour moi. Et je me sens bien! »  Est-ce vraiment ce que vous vous êtes dit en rentrant dans votre bureau le 2 Janvier? D’accord, certains d’entre vous l’ont peut-être dit. Mais beaucoup d’entre vous n’ont fait que recommencer la même course, la nouvelle année marquant seulement le début de 12 mois de nouveaux défis. Ces nouveaux défis seront accompagnés d’une grande partie des anciens, qui sont toujours là. Alors, que devriez-vous faire pour commencer 2019 de la bonne façon – ou au moins de la meilleure façon possible?

Ou, dit autrement,

Démarrez dans la bonne direction

Mon premier groupe de conseils pour 2019 porte sur la construction des fondations appropriées pour les améliorations et les changements futurs.

1. Comprenez que l’informatique «telle que nous la connaissons» est en train de changer rapidement

Beaucoup de changements sont intervenus récemment. Ils concernent la technologie que nous gérons. Mais ils affectent aussi celle que nous utilisons pour nous aider à gérer l’informatique. La demande de l’entreprise et son besoin confiance en cette technologie (ainsi que dans les services auxquels elle contribue) ne cessent de croître. Et il en est ainsi également des attentes croissantes des employés et des clients externes qui bénéficient des meilleurs résultats des stratégies d’expérience utilisateur. Tous ces facteurs, ainsi que d’autres, vont changer radicalement la gestion des services TI au cours des 12 prochains mois et au-delà. Il est temps pour vous de changer et vous adapter. Sinon c’est vous qu’on risque de changer.

2. Appuyez-vous sur les bonnes pratiques pour susciter le changement

Si vous lisez régulièrement mon blog, vous avez déjà découvert les nouvelles versions de VeriSM, ISO/IEC 20000, COBIT et ITIL. La première vague d’ITIL 4 arrive au premier trimestre 2019. D’une part, c’est formidable. Ce cadre de bonnes pratiques est enfin en train de rattraper le monde en rapide évolution dans lequel nous travaillons. De l’autre côté, cependant, ces «nouvelles versions» vont potentiellement stimuler les activités axées sur un accroissement de flexibilité par les personnes qui y sont exposées. Il en résultera beaucoup de petites activités de changement potentiellement disparates. Bien sûr, vous pouvez toujours considérer cela comme «mieux que rien». Il est toutefois bien plus raisonnable d’envisager tous ces changements à venir dans le cadre d’une approche globale d’amélioration. C’est la seule façon de pouvoir en tirer le meilleur avantage.

3. Commencez enfin à penser et à communiquer en termes de valeur business – et non informatique.

Cela ne concerne bien sûr que ceux et celles qui ne le font pas déjà. C’est la grande orientation que prend l’industrie de la gestion des services informatiques aujourd’hui. Nombreux sont ceux qui considèrent qu’elle aurait déjà dû être dans cette approche de «focalisation sur la valeur» depuis des années. Une de ces voix est celle de Paul Wilkinson, dont les ateliers révèlent généralement que le principal reproche que les cadres supérieurs font à leurs collègues des TI est qu’ils ne comprennent «pas la priorité business et l’impact de l’informatique sur l’entreprise».

4. Réalisez que l’amélioration réelle de la gestion des services informatiques ne se réalisera que si vous la planifiez de manière proactive.

Vous savez probablement déjà ce qui se passe souvent avec vos meilleures ambitions d’amélioration de l’ITSM. Le «vrai travail» vous en empêche. Le tumulte quotidien au sein du département TI, et en particulier du support informatique, empêche les gens de prendre du temps pour «sortir la tête de l’eau». Ils « courent » en permanence pour satisfaire les utilisateurs. Une approche proactive d’amélioration nécessite non seulement de justifier des ressources et des coûts supplémentaires. Mais ce n’est pas suffisant. Il faut aussi de veiller à ce que les opportunités soient bien priorisées en fonction des besoins et des objectifs du business. Il est également indispensable de pouvoir ensuite mesurer et communiquer les résultats atteints par rapport aux objectifs de l’entreprise.

5. Chassez les idées fausses

Ne faites pas l’erreur de penser que l’amélioration des services TI engendre toujours une amélioration de la performance du business. Ce n’est pas vrai. Au lieu de cela, vous devez vraiment comprendre les effets ultimes des idées potentielles d’amélioration des TI sur les résultats business. Et comprenez également que, de façon perverse, il n’est pas impossible que les améliorations apportées à la gestion des services informatiques aient un effet négatif sur les résultats de l’entreprise.

Pourquoi? Prenons un exemple très simple: l’organisation informatique a réussi à favoriser l’adoption du libre-service informatique. C’est un gros succès pour le département informatique qui se trouve libéré de multiple tâches de support. Dès lors, les commerciaux de l’entreprise se débrouillent maintenant seuls pour résoudre leurs incidents informatiques. Ils sont autonomes pour faire les demandes de nouveaux services. Du coup, du fait de leur inefficacité dans ce domaine et de leur mauvaise compréhension, ils perdent beaucoup de temps à cela. Ce temps perdu est évidemment répercuté sur le temps consacré à leurs activités business. Or c’est leur activité business qui crée de la valeur pour l’entreprise. Au final, les économies opérationnelles réalisées par le centre de services informatiques sont très largement contrebalancées par la baisse des ventes mensuelles. Et c’est l’entreprise toute entière qui est impactée négativement. C’est un cas simple que j’ai déjà rencontré à plusieurs reprises et qui mérite d’être médité lorsque l’on cherche à s’améliorer.

6. Identifiez et priorisez les améliorations ITSM par le biais de conversations avec vos clients, et non avec les informaticiens.

Vous avez sans doute déjà une longue liste de choses que vous aimeriez améliorer. Mais vous devez faire attention à ce que ce soient les «bonnes choses», du point de vue business. C’est particulièrement le cas lorsque ce qui semble être une amélioration très intéressante en matière de gestion des services informatique n’a que peu d’impact positif sur les opérations business (voir le point précédent). Ainsi, plutôt que de considérer l’amélioration du point de vue du département IT, vous devez toujours partir de l’extérieur et aller de l’avant vers l’intérieur. C’est à dire qu’il faut systématiquement opter pour une approche externe. C’est toujours le business qui doit être le point de départ.

7. Analysez vos précédentes activités d’amélioration des services TI.

Cette activité d’analyse est, hélas, trop souvent négligée. L’orientation prospective du département informatique empêche souvent de revenir sur ce qui s’est passé auparavant. Pourtant, comme pour tout ce que vous faites dans le domaine des TI, cela vous permettra d’apprendre du passé (et des autres). Il s’agit non seulement de tirer des leçons de ce qui n’a pas bien fonctionné, mais également de ce qui s’est bien passé. Il faut surtout comprendre le « pourquoi » afin d’identifier les risques et les améliorations à apporter. Ces résultats d’analyse devront ensuite être pris en compte dans les activités d’amélioration de 2019. Vous éviterez ainsi de refaire éternellement les mêmes erreurs.

Focalisez-vous sur ce qui est vraiment important

Mon deuxième groupe de conseils pour 2019 concerne les tendances et les innovations qui affecteront votre façon traditionnelle de penser ainsi que votre façon d’exploiter vos services TI.

8. Prenez conscience de l’importance de l’expérience utilisateur en matière de services TI.

Aussi loin que je me souvienne, les meilleures pratiques en matière de gestion des TI n’ont jamais voulu reconnaître les utilisateurs finaux comme étant des clients. Elles se basaient pour cela sur le fait qu’ils ne paient pas personnellement leur s services informatiques. Elles considéraient donc que les clients étant plutôt des cadres supérieurs (ceux-ci risquant d’ailleurs de ne pas payer les factures informatiques). Cependant, tout cela n’a aujourd’hui plus aucune importance. En effet  c’est l’expérience des employés qui est désormais au centre. Car l’informatique n’est qu’un outil au service des employés pour leur faciliter l’atteinte de leurs objectifs business. L’aspect majeur, c’est que le fait de ne pas tenir compte de l’expérience des employés aura probablement une incidence négative sur le succès, la valeur et la pertinence du service informatique pour toute l’entreprise.

9. Préparez-vous pour l’arrivée de l’intelligence artificielle (IA) dans le domaine des services TI.

Vous n’y échapperez pas. Il est impossible que votre organisation, votre département informatique et vos activités TI ne soient pas affectées par les opportunités offertes par l’intelligence artificielle en 2019. Et, au cours de la prochaine année, de plus en plus de fournisseurs d’outils ITSM introduiront des fonctionnalités d’intelligence artificielle basées sur des tâches, notamment pour le support. Cela va des chatbots à la catégorisation, à la hiérarchisation et au routage automatisés des tickets. Le battage médiatique de 2018 sur l’IA deviendra une réalité en 2019. Et ce sera essentiel pour améliorer l’ITSM dans les trois domaines suivants: «meilleur, plus rapide, moins cher». Alors, êtes-vous prêt, ou serez-vous prêt pour l’arrivée imminente de l’IA?

10. … Et essayez d’éviter un déferlement incontrôlé de l’IA.

En informatique, nous sommes souvent confrontés à la nécessité faire face à «un déferlement», où la technique et les coûts technologiques ne sont pas contrôlés. Ainsi, la virtualisation et la prolifération des machines virtuelles (VM) constituent un cas d’école bien connu. Les entreprises paient pour une plus grande «capacité», c’est-à-dire plus de VM, qu’elles n’en ont réellement besoin (et n’en utilisent). Ensuite, il y a eu la prolifération des services cloud (l’infonuagique). Et là encore, en raison du manque de contrôle sur les capacités de cloud payées on a sur-dépensé pour des capacités dont certaines n’étaient pas nécessaires. Maintenant, alors que les services informatiques et d’autres fonctions business cherchent à exploiter l’intelligence artificielle, ils ne doivent pas se retrouver face aux mêmes situations. Ce n’est pas tellement lié à la capacité redondante, mais plus à la disparité et au nombre d’initiatives d’IA. Contrairement à une mise en oeuvre centralisée et contrôlée, cela conduira à une duplication des efforts et à des coûts d’achat et de fonctionnement plus élevés (et probablement à des problèmes d’interopérabilité).

11. Cessez de parler de création de valeur par la gestion des services TI à vos collègues du business

Attendez!? Quoi!? Ne vous inquiétez pas, c’est l’une de ces situations du type «Le roi est mort, vive le roi». La gestion des services TI est toujours aussi bénéfique pour votre entreprise. Par contre, il est important de faire la distinction entre ce dont on parle et comment cela s’appelle. La plupart des personnes de votre entreprise (y compris au sein des équipes informatiques) ne savent pas ou ne se soucient pas de ce qu’est vraiment la gestion des services TI. La plupart, cependant, comprennent que «la transformation numérique est un impératif commercial» (peu importe ce que cela signifie). Et les éléments de la gestion de services informatiques que nous connaissons et aimons peuvent jouer un rôle efficace dans la transformation numérique. C’est le cas en particulier dans la transformation du back-office. Il peut s’agir par exemple de remplacer les procédures manuelles souvent lentes par une automatisation améliorée, une meilleure compréhension et, pour l’avenir, de tirer avantage de l’AI.

12. Repensez vos stratégies et vos politiques en matière de ressources humaines.

J’ai parlé de certains changements importants ayant une incidence sur la gestion des services TI dans les points précédents. Cependant, les responsables informatiques doivent également tenir compte les effets de ces changements sur les personnes. Et ils doivent se préparer à y réagir. C’est un sujet qui mérite beaucoup plus qu’un simple point et un conseil, mais je vais essayer d’être bref.

Pour commencer, il faut bien comprendre qu’il est de plus en plus difficile de travailler dans l’informatique. Les informaticiens se sentent de plus en plus mal à leur place. Le stress quotidien augmente considérablement sur le lieu de travail et conduit à des difficultés de rétention du personnel. De plus, les types de compétences et de capacités requises du personnel évoluent en permanence. Cela va de l’attitude à l’aptitude du centre de services informatiques à travailler avec succès, en s’améliorant continuellement en s’appuyant sur de nouvelles fonctionnalités basées sur l’IA. Non seulement de nouvelles méthodes de travail apparaissent, mais aussi de nouveaux rôles traitant de tâches et de problèmes plus complexes. Ceci est dû notamment à un accroissement du libre-service, de l’automatisation et de l’IA qui ont supprimé les tâches plus simples. Les techniciens se retrouvent donc désormais uniquement face à des tâches complexes.

13. Reconsidérez la façon dont vous évaluez la satisfaction des utilisateurs face à l’informatique.

Le traditionnel questionnaire de satisfaction constitue depuis longtemps l’outil privilégié pour comprendre ce que vos clients, c’est-à-dire vos collègues de travail, pensent de l’organisation informatique et du support en particulier. Toutefois, l’industrie de la gestion des services informatiques (ITSM) tarde à prendre conscience du fait que cette mesure – ou du moins les questions qui sont posées et la manière dont elles sont posées – cache la véritable perception des clients en matière d’informatique. Et si les perceptions des clients ne sont pas bien comprises, toutes les activités entreprises pour vous améliorer sont probablement mal ciblées. Pour citer le légendaire Ivor Macfarlane: « Si nous mesurons les mauvaises choses, nous améliorerons probablement seulement les mauvaises choses ».

14. Evaluez votre niveau de gestion des connaissances et le succès de votre libre-service

Pourquoi? Parce que ce sont deux domaines qui devraient influencer positivement vos succès en matière d’IA. Mais cela sera possible seulement si vous «exploitez» au mieux ces deux domaines. Et, malheureusement, de nombreuses organisations informatiques ont beaucoup de mal à traduire les technologies associées en fonctionnalités que les employés utilisent activement au quotidien.

15. Examinez bien la façon dont vos collaborez avec les équipes de développement

Je ne m’étendrai pas sur ce point, car mon article est déjà long et j’aime penser que les choses s’améliorent. Cependant «70% des répondants pensent que le personnel ITSM n’a pas été suffisamment impliqué dans les activités et les ambitions DevOps du business” selon une enquête ITSM réalisée mi-2017. Alors, prenez le temps de vous demander si les communautés de la production, du support et DevOps collaborent vraiment bien au sein de votre organisation. Si elles ne le font pas, alors faites enfin quelque chose de positif sur ce sujet critique. Et rappelez-vous que le point critique dans une approche DevOps c’est l’aspect culturel.

16. Investissez massivement sur la facilitation du changement organisationnel

Non, je ne parle pas ici du processus de gestion du changement préconisé par ITIL. Je fais bien référence à la gestion du changement organisationnel (OCM) qui est essentiellement culturel. Il est indispensable de reconnaître que la plupart des changements technologiques et commerciaux sont en définitive des changements liés aux personnes.

La publication « ITIL Practitioner Guidance » décrit la gestion du changement organisationnel (OCM) comme suit: «Une approche permettant de gérer les effets du changement sur les personnes, ce qui peut être dû à de nouveaux processus métier, à des changements de structure organisationnelle ou à des changements culturels au sein d’une entreprise. En termes simples, OCM s’adresse au côté humain de la gestion du changement. ». Il s’agit en réalité de comprendre comment nous, humains, réagissons au changement, puis d’utiliser des outils et des techniques éprouvés pour aider les gens à adhérer à un changement donné. COBIT prend d’ailleurs très au sérieux ce sujet qui se traduit dans plusieurs composantes de la gouvernance et du management.

Regardez au delà de chaque changement pris individuellement

Mon dernier groupe de conseils de 2019 concerne la durabilité des activités d’amélioration dans le temps.

17. Obtenez la mesure de vos mesures ITSM

Depuis combien de temps utilisez-vous les mêmes mesures ITSM? Et en particulier depuis combien de temps avez-vous les mêmes indicateurs de performance clés pour votre centre de services? J’ai déjà évoqué la nécessité de mieux comprendre la perception des clients vis-à-vis de l’informatique, au-delà du questionnaire de satisfaction client traditionnel. Mais il existe également de nombreuses autres raisons d’investir du temps et des ressources dans la révision de vos métriques.

Par exemple, une fois que vous avez une meilleure compréhension de ce qui influence ou motive le «bonheur» du client, vous pouvez ensuite identifier les indicateurs actuels qui génèrent les comportements et actions incorrects du personnel informatique, puis les résultats obtenus, par rapport aux besoins désormais connus du client. Et donc vous pouvez identifier les attentes. Ou encore, comment les mesures d’efficacité traditionnelles seront affectées par le succès du libre-service, de l’automatisation et de l’IA. Sera-t-il possible de modifier simplement les cibles ou est-il plus facile de simplement mettre quelques mesures nouvelles dans votre tableau de bord? Par exemple vous pourriez mesurer le taux de résolution de premier contact.

18. N’oubliez pas de communiquer largement sur vos succès

C’est facile à faire! Pourtant c’est rarement fait… Tout le monde est tellement occupé par les tâches quotidiennes que tous les succès en matière d’amélioration sont rapidement «salués de la tête», puis on passe à autre chose. Si vous vous êtes longtemps battu pour obtenir des ressources et des budgets supplémentaires pour atteindre vos objectifs, ne pas communiquer efficacement vos succès revient à «vous tirer une balle dans le pied». En effet si vous ne communiquez pas, on oubliera que vous avez atteint votre objectif. Et, au final, il en résultera une impression de faible retour sur investissement.  Et, point important, obtenir des budgets d’amélioration en 2020 sera probablement encore plus difficile.

19. Essayez d’aider les autres mais surtout aidez-vous vous-même

Le succès futur de l’ITSM dépend, et a probablement toujours dépendu, de ceux qui ont pu aider les autres à réussir. Traditionnellement, cela a pu se faire via les nombreuses conférences mondiales liées à l’ITSM ou, pour quelques-uns, en contribuant aux publications officielles des meilleures pratiques ITSM. Cependant, comme le montre l’évolution rapide et le succès de DevOps, nos vies de plus en plus sociales et connectées offrent davantage de possibilités de partage et de collaboration entre pairs – en amélioration itérative – pour des bonnes pratiques émergentes qui pourraient bien remplacer les meilleures pratiques « à l’ancienne » rapidement obsolètes.

Voici donc mes 19 conseils ITSM pour 2019.  Que pensez-vous devoir ajouter? Avec quoi n’êtes-vous pas d’accord? S’il vous plaît exprimez-vous dans les commentaires.

Catégories

Archives

Calendrier

janvier 2019
L M M J V S D
« Déc   Fév »
 123456
78910111213
14151617181920
21222324252627
28293031  
%d blogueurs aiment cette page :