Home » Articles posted by Alain Bonneaud

Author Archives: Alain Bonneaud

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

SMSI certifié ISO 27001 vs conformité RGPD

Quel rapport y a-t-il entre la mise en oeuvre d’un SMSI (sytème de management de la sécurité de l’information) certifié ISO 27001 et la conformité au RGPD? Est-ce une solution pour répondre aux obligations réglementaires et légales? J’entends souvent cette question. Essayons-donc de voir quelle relation il peut y avoir entre les deux. Et essayons de comprendre en quoi la certification ISO 27001 peut vous aider à améliorer votre conformité.

ISO 27001 : un SMSI certifiés est-il la solution pour la conformité RGPD?
Crédit © Adobe Stock

Le RGPD et la norme ISO 27001 ont beaucoup en commun. Tous deux visent à renforcer la sécurité des données et réduire le risque de failles de sécurité. De même, tous deux exigent des entreprises qu’elles assurent la confidentialité, l’intégrité et la disponibilité des données sensibles. ISO 27001 est une norme très détaillée en la matière. Le RGPD est une réglementation Européenne. Il faut d’ailleurs noter que l’article 24 du RGPD stipule que l’adhésion aux codes de conduite et certifications approuvées – comme ISO 27001 – peut être utilisée pour démontrer la conformité.

D’où la question : « Suis-je conforme au RGPD si j’obtiens la certification ISO 27001 de mon SMSI ? ».

Les similarités entre ISO 27001 et le RGPD

Le RGPD est un cadre beaucoup plus large avec une couverture plus fondamentale de la sécurité et de la confidentialité des données. Toutefois il est nécessaire de bien comprendre les similarités et les différences entre les deux standards pour savoir si un SMSI certifié ISO 27001 peut avoir une utilité pour passer les audits de conformité au RGPD.

Les deux cadres ont beaucoup de points communs.

Confidentialité, intégrité et disponibilité des données

L’article 5 du RGPD définit les principes généraux pour le traitement des données, comme la protection contre les traitements non-autorisés ou illégaux, les pertes de données accidentelles, leur destruction ou leur altération. L’article 32 précise que les entreprises doivent mettre en place les mesures techniques et organisationnelles pour assurer la sécurité des données : encryptage, résilience des systèmes de traitement, capacité de restaurer rapidement la disponibilité des données personnelles, etc.

De façon similaire, plusieurs mesures de sécurité dans ISO 27001 visent à aider les entreprises à assurer la confidentialité, la disponibilité et l’intégrité des données. Elles doivent, selon la clause 4, identifier les facteurs internes et externes susceptibles d’impacter leurs programmes de sécurité. La clause 6 leur impose de déterminer leurs objectifs de sécurité des TI et de créer un programme ad hoc. Enfin, La clause 8 définit les exigences pour la maintenance et l’amélioration continue de leur programme de sécurité . Elle leur impose de documenter ce dernier pour démontrer leur conformité.

Evaluation des risques

RGPD et ISO 27001 exigent tous deux une approche de la sécurité des données basée sur les risques. L’article 35 du RGPD impose aux entreprises d’effectuer des évaluations d’impact sur la protection des données et d’identifier les risques pour les données personnelles. Ces évaluations doivent obligatoirement être faites avant tout traitement de données à haut risque. C’est le cas notamment pour les données sensibles.

ISO 27001 impose également aux entreprises de faire des évaluations rigoureuses pour identifier les menaces et les  vulnérabilité pouvant affecter les actifs (clause 6.1.2). Elles doivent ensuite mettre en oeuvre les mesures de sécurité appropriées (clause 6.1.3).

Gestion des parties intéressées

La clause 8 de l’ISO 27001 demande aux entreprises d’identifier les actions de traitement qui sont externalisées et de s’assurer qu’elles restent sous contrôle. La clause 15 donne des directives spécifiques pour les relations avec les fournisseurs et demande aux entreprises de surveiller et évaluer le niveau de service des fournisseurs.

Des enjeux similaires sont couverts par l’article 28 du RGPD, qui exige que les contrôleurs de données sécurisent les termes contractuels et les assurances des processeurs, avec un « accord de traitement des données ».

Notification des failles de sécurité

En vertu des articles 33 et 34 du RGPD, les entreprises doivent informer l’autorité de contrôle dans les 72 heures suivant la découverte d’une violation de sécurité de données personnelles. Les personnes concernées doivent être notifiés sans délai, mais seulement si les données représentent un « risque élevé pour les droits et libertés des personnes concernées ».

La mesure de sécurité A.16 de l’ISO 27001 ne spécifie pas de délai pour la notification en cas de faille de sécurité. Cependant,  elle stipule que les entreprises doivent signaler rapidement tout incident de sécurité et communiquer de manière à permettre une action corrective rapide.

Protection des informations par défaut et dès la conception

L’article 25 du RGPD stipule que les entreprises doivent mettre en place les mesures techniques et organisationnelles au cours de la phase de conception de tout projet, afin de garantir les droits de confidentialité des données dès le début du projet (« protection des données dès la conception »). De plus, les entreprises doivent protéger la confidentialité des données par défaut. Ceci signifie qu’elle doivent s’assurer que seules les informations nécessaires à chaque objectif de traitement sont utilisées (« protection des données par défaut »). Il s’agit en fait du principe de minimisation des données.

Dans ISO 27001, des exigences similaires sont décrites dans les clauses 4 et 6. La clause 4 exige que les entreprises comprennent le périmètre et le contexte des données qu’elles collectent et traitent. La clause 6 impose qu’elles effectuent régulièrement des évaluations de risque pour garantir l’efficacité de leur programme de gestion de la sécurité.

Conservation des enregistrements

L’article 30 du RGPD exige que les entreprises conservent les historiques de leurs activités de traitement. Ceci inclut la catégorie des données, la finalité du traitement, et la description générale des mesures de sécurité techniques et organisationnelles.

ISO 27001 stipule que les entreprises doivent documenter leurs processus de sécurité. Elles doivent aussi documenter les résultats de leurs évaluations de risque de sécurité et de risque de traitement (clause 8). Les informations doivent être stockées et classées, les propriétaires des données doivent être désignés et les procédures pour l’utilisation acceptable des données doivent être définies.

ISO 27001 et RGPD : est-ce la même chose?

Comme nous l’avons vu, la certification ISO 27001 peut simplifier le processus de mise en conformité RGPD. Toutefois, il existe des différences importantes entre les deux cadres. Le RGPD est une réglementation européenne à laquelle doit se conformer toute organisation publique ou privée. C’est un cadre global qui fournit aux entreprises une vision stratégique de la manière dont elles doivent protéger les données personnelles. ISO 27001 est une norme et les organisation peuvent, à leur choix, faire certifier leur SMSI ou pas. C’est un ensemble de bonnes pratiques centrées sur la sécurité des informations.

Les différences entre ISO 27001 et le RGPD

La norme fournit des conseils pratiques sur la manière de protéger les informations et réduire les cyber-menaces. A la différence du RGPD, elle ne couvre pas directement les enjeux liés à la confidentialité des données personnelles (que l’on retrouve dans le chapitre 3 du RGPD portant sur « Les droits des personnes concernées ») :

  • Consentement : les responsables du traitement doivent prouver que les personnes concernées ont donné leur accord pour le traitement de leurs données personnelles (articles 7 et 8). La demande de consentement doit être faite sous une forme facilement compréhensible. De plus, la finalité du traitement des données doit être clairement décrit. Les personnes concernées ont également le droit d’annuler leur consentement à tout moment.
  • Portabilité des données : les personnes concernées ont le droit d’obtenir et réutiliser leurs données personnelles pour leurs propres objectifs et pour différents services, et de transmettre ces données à un autre responsable de traitement sans entrave à l’utilisation.
  • Droit à l’oubli : les individus ont le droit de faire effacer leurs données personnelles et de stopper toute diffusion ultérieure, et ce sans délai.
  • Le Droit à la restriction de traitement : les individus ont le droit de limiter la manière dont une organisation utilise leurs données personnelles si les données ont été traitées de manière illégale ou si l’individu conteste l’exactitude des données.
  • Droit d’opposition : la personne concernée a le droit de s’opposer au traitement des données à des fins marketing, d’étude ou de statistique (article 21).
  • Transfert international de données personnelles : les organisations doivent s’assurer que les transferts internationaux de données sont faits en accord avec les règles approuvées par le Commission Européenne (article 46).

Conclusion

Le RGPD se concentre sur la confidentialité des données et la protection des informations personnelles. Il impose aux entreprises de déployer les moyens nécessaires pour obtenir un consentement explicite pour collecter des données et s’assurer que ces données sont traitées de manière légale. Toutefois, il ne donne pas les détails techniques sur la manière de maintenir un niveau de sécurité des données adéquat ou pour réduire les menaces internes et externes. A cet égard, ISO 27001 apporte des réponses : la norme fournit des orientations pratiques sur la manière de développer des politiques claires et complètes pour réduire les risques qui peuvent générer des incidents de sécurité.

Bien que la conformité ISO 27001 ne garantisse pas la conformité RGPD, elle peut être une étape qui présente un intérêt certain. Les entreprises ont donc intérêt à considérer la possibilité de se certifier ISO 27001 pour s’assurer que leurs mesures de sécurité sont suffisamment fortes pour protéger les données sensibles.

ITIL – Les raisons d’échec dans votre organisation

Souvent la mise en oeuvre des meilleurs pratiques ITSM basées sur ITIL ne produit pas les bénéfices espérés. Nous analysons ici les raisons d’échec des « projets d’implémentation ITIL » parmi les plus courantes. Mais est-ce vraiment ITIL qui est en cause? N’est-ce pas plutôt votre organisation? Essayons de garder un esprit ouvert et d’analyser objectivement les choses.

ITIL : les raisons de l'échec d'implémentation des meilleurs pratiques ITSM dans votre Organisation
Crédit © AdobeStock & Zinkevych 2018

Tout d’abord il faut bien se souvenir de ce qu’est ITIL. ITIL est un cadre de bonnes pratiques pour l’amélioration des services informatiques dans l’entreprise. ITIL n’est pas prescription. Ce n’est pas une méthodologie. C’est simplement un ensemble des meilleurs pratiques recensées dans le monde entier au fil des ans. Ces pratiques se déclinent au travers de processus répartis dans les 5 phases du cycle de vie des services. Elles sont par essence génériques. Ils faut bien évidemment les avoir comprises et surtout avoir compris quels sont les objectifs visés. Ensuite elles doivent être adaptées au cas spécifique de chaque entreprise avant d’être mises en oeuvre. Et c’est là que se produit en général le problème. Nous l’avons d’ailleurs décrit dans deux articles précédemment publiés sur notre blog : ITIL – 5 erreurs majeures de mise en oeuvre et ITIL – 6 autres erreurs de mise en oeuvre.

ITIL : un constat d’échec dans beaucoup d’organisations

Il est clair que le cadre de bonnes pratiques ITIL, vieux maintenant d’une trentaine d’années, a largement fait ses preuves. Pourtant bon nombre d’organisations font un constat d’échec après avoir vainement tenter d’améliorer la qualité de leurs services IT en s’appuyant sur la bibliothèque de meilleures pratiques d’AXELOS. Les résultats ne sont souvent pas à la hauteur de leurs attentes.

Quelques constats entendus chez mes clients

Nous cherchions à réduire les coûts de notre informatique. Ce n’est pas l’objectif d’ITIL. L’objectif est d’améliorer la création de valeur pour les clients.

Nous avons investi dans un outil censé être « certifié » et cela nous a coûté très cher. Dans le meilleur des cas l’outil a coûté cher mais n’a rien amélioré du tout. Dans le pire des cas l’outil a coûté cher et notre informatique est encore moins performante qu’avant.

On a investi un gros budget dans la formation de tous les membres de l’équipe informatique mais rien n’a vraiment changé. Normal, on a formé les gens sur le niveau Foundation dont l’objectif est d’apprendre les concepts et le vocabulaire. C’est très insuffisant pour mettre en oeuvre quelque chose d’aussi complexe.

On a fait appel à un consultant à qui on fait entière confiance car il est certifié ITIL expert. Ca nous a coûté très cher mais tout ce qu’il a fait a échoué. Normal, les bonnes pratiques en gestion des services IT s’appuient sur une co-réalisation entre les métiers et la DSI. Généralement un « Expert ITIL  » est un informaticien, expert dans la maîtrise des processus ITIL sur le domaine de la DSI. Normal donc que cela échoue car il faudrait qu’il soit aussi un praticien certifié au minimum avec une grande expérience business..

Une même raison à ces échecs

Tous ces échecs ont donc une bonne raison. Mais cette raison ne se trouve pas au sein même des pratiques ITIL. Cette raison est toujours liée à la façon dont on a voulu les mettre en oeuvre, sans vraiment en comprendre les enjeux. Souvent cela aboutit à alourdir le fonctionnement de l’organisation et à lui ôter toute possibilité d’agilité. C’est là un comble car c’est ce dont les organisations ont le plus besoin en 2018!

Essayons donc de comprendre ce qui a bien pu se passer pour conduire à cette situation.

Les raisons de l’échec de la mise en oeuvre d’ITIL

Vous utilisez ITIL comme des recettes de cuisine

La première, et sans doute une des plus courantes, raison de l’échec de la mise en oeuvre est de considérer les publications ITIL comme des livres de recettes de cuisine. Ce n’est pas non plus l’évangile. C’est juste un guide et un cadre de bonnes pratiques. Or, dans certaines organisations, certains responsables, à un certain niveau, vraiment emballés par l’idée qu’ITIL pourrait être la solution à leurs problèmes, essaient de mettre en œuvre toutes les directives des livres. Cette approche ne fonctionnera jamais!

ITIL a été créé dans les années 1980 par l’agence centrale d’informatique et de télécommunications du gouvernement britannique. Il n’a jamais été conçu pour devenir un produit exclusif qui serait commercialisé et vendu. Le projet initial était censé rassembler les meilleures pratiques pour contribuer à ce que le gouvernement considérait comme une dépendance croissante à l’égard des technologies de l’information, combiné à un manque de pratiques standard entraînant une augmentation des coûts et des erreurs.

Si ITIL s’est ensuite développé dans les entreprises privées c’est tout simplement parce que cela fonctionne. Mais hélas, pas comme beaucoup d’organisations le pensent.

ITIL fonctionne parce qu’il inclut les meilleures pratiques du domaine. Mais il s’agit simplement d’un cadre. Il ne doit pas être suivi étape par étape. Ce n’est pas une méthode!

Le meilleur moyen de faire en sorte qu’ITIL fonctionne dans votre entreprise est d’adopter les directives et les pratiques qui conviennent à votre entreprise et d’oublier le reste. Cela signifie qu’il faut d’abord bien comprendre le contexte de l’entreprise, sa stratégie business et la capacité des ressources dont elle dispose, que ce soit au niveau humain, financier ou matériel. Il est donc indispensable que le projet de mise en oeuvre des pratiques préconisées soit le résultat d’une collaboration profonde et efficace entre la haute direction, les directions métiers et la DSI. Il ne s’agit pas d’un projet strictement « informatique » comme beaucoup le croient.

Vous vous focalisez beaucoup trop sur les processus

ITIL V3 décrit 26 processus organisés en cinq étapes de cycle de vie des services. Chaque étape du cycle de vie est décrite dans une publication spécifique – Stratégie des services, Conception des services, Transition des services, Exploitation des services et Amélioration continue des services.

Les descriptions de processus d’ITIL V3 incluent des exemples de flux d’activités typiques. Par exemple, la description de la gestion des changements comprend un diagramme intitulé «Exemple de flux de processus pour un changement normale». Mais bien que les livres contiennent beaucoup d’autres excellents contenus, les exemples de flux de processus semblent avoir acquis leur vie propre. Ils sont clairement identifiés comme des exemples de la manière dont vous pourriez effectuer le travail. Or il existe une fâcheuse tendance à les considérer comme des étapes obligatoires: « ITIL dit que c’est comme ça qu’il faut faire ». FAUX! Ce n’est pas du tout ce que les auteurs, à l’origine, voulaient dire.

Il y a aussi un second problème. La conception de services ITIL décrit «les quatre piliers de la conception de services»: personnes, processus, produits (services, technologie et outils) et partenaires (fournisseurs, fabricants et vendeurs). Or, la quasi-totalité de la littérature publiée concerne les processus. Il y a très peu de conseils sur les personnes, les produits et les partenaires.

Cette insistance sur les processus peut conduire à de très mauvaises utilisations ITIL. Certaines organisations se contentent de documenter les processus et pensent avoir dès lors « implémenté » ITIL! D’autres organisations se concentrent sur quelques processus spécifiques et sont souvent déçues des résultats. Certes on ne peut pas tout mettre en oeuvre mais certaines pratiques ne créent de la valeur qu’associées avec d’autres. Il est donc essentiel de les mettre en oeuvre ensemble. Séparément elles ne créeront pas beaucoup de valeur, voire même elles contribueront à la détruire.

Vous mettez en oeuvre les bonnes pratiques en SILOS

Lorsque les organisations adoptent ITIL V3, elles considèrent souvent chacun des processus comme un ensemble d’activités distinct. Chaque processus a flux d’activités et ces flux sont indépendants les uns des autres. Par contre, les activités nécessaires pour créer de la valeur pour nos clients payants dépendent rarement du bon fonctionnement d’un seul processus en particulier. Le plus souvent, pour satisfaire les clients, nous avons besoin d’une combinaison d’éléments issus de plusieurs processus. Par exemple, la résolution d’un problème qui affecte les utilisateurs d’un service peut nécessiter des activités provenant de:

  • La gestion des incidents pour diagnostiquer les incidents remontés par des utilisateurs individuels et proposer des solutions de contournement,
  • Mais aussi la gestion des problèmes pour analyser les causes sous-jacentes et élaborer des solutions à long terme,
  • Sans oublier la gestion des actifs de service et de la configuration pour fournir les informations nécessaires à la gestion des incidents et des problèmes (notamment pour évaluer les impacts),
  • Ni la gestion financière pour  allouer un budget pour pouvoir développer une solution,
  • Bien sûr la gestion de la disponibilité et la gestion de la capacité pour analyser des solutions alternatives et formuler des recommandations,
  • Ainsi que la gestion des mises en production et du déploiement pour planifier le déploiement d’un correctif logiciel ou d’un composant matériel,
  • Sous le contrôle de la gestion des changement pour évaluer, approuver et surveiller le déploiement du logiciel,
  • Avec le support de la coordination de la conception pour superviser la conception et le développement d’une solution,
  • Et potentiellement beaucoup plus…

Lorsque chacun de ces processus a son propre flux d’activités vu de façon indépendante, cela peut entraîner des délais très longs. Nous l’avons d’ailleurs décrit dans un de nos précédents articles: Les changements à l’heure de DEVOPS. Les très bonnes organisations comprennent comment gérer le flux d’activités entre plusieurs processus. Hélas, ITIL V3 ne fournit pas assez de conseils pour aider les autres à bien faire les choses. En réalité, la V3 ne préconise pas de créer un flux d’activités distinct pour chaque processus. Mais c’est l’approche la plus simple à adopter. C’est donc celle que de nombreuses organisations ont mis en place dans le cadre de leur «implémentation d’ITIL».

Vous n’incluez pas les métiers dans la mise en oeuvre

Les mots ITIL et ITSM commencent par «IT» mais cela ne signifie pas qu’elles ne s’appliquent exclusivement qu’à «des initiatives purement informatiques».

Les équipes informatiques ne peuvent plus travailler en silo et implémenter une ITSM basée sur ITIL sans obtenir l’assentiment de tous les membres de la direction ou de toute personne extérieure au département informatique. C’est une recette imparable pour aboutir à une catastrophe. Le service informatique interagit avec le reste de l’entreprise. Il vous faut donc déterminer ce dont les métiers ont besoin pour réussir. Il faut ensuite déterminer la capacité de l’informatique à répondre à ces besoins. C’est ensuite seulement que l’ITSM peut vous aider

Si vous souhaitez réussir à tirer le meilleur parti d ITIL vous devez arriver à l’expliquer de façon compréhensible pour la haute direction. Mais faites attention, ils ne parlent ni le jargon ITIL ni le jargon informatique. Vous devez donc comprendre comment cela peut être bénéfique pour l’entreprise et être capable de le formuler en « termes commerciaux ». C’est à dire que vos arguments doivent porter sur les trois axes qui les intéressent : bénéfices, risques et ressources. Si vous réussissez à le faire, alors vous aurez le soutien et l’investissement des dirigeants. C’est la seule façon de pouvoir démarrer et réussir votre projet.

L’inclusion d’objectifs métier et la compréhension de la valeur métier par la DSI aideront votre équipe et votre entreprise à adopter ITIL afin de faciliter l’obtention de résultats. C’est bien là l’objectif!

Vous n’avez pas créé une feuille de route et un cas d’affaire pour l’adoption et l’adaptation d’ITIL

L’ITSM et ITIL ne concernent pas uniquement la mise en œuvre de processus pour avoir des processus. Trop d’organisations se concentrent tellement sur la mise en œuvre de processus qu’elles ignorent en quoi ces processus sont nécessaires pour atteindre l’objectif général.

L’objectif est de fournir des services qui apportent une valeur ajoutée à l’entreprise.

Créer une feuille de route et la relier à la valeur métier engendrée vous aidera à adopter les bonnes pratiques ITIL afin de prendre en charge les services et de ne pas mettre en œuvre des processus pour le plaisir de les mettre en œuvre.

Si vous êtes trop rigide et que vous essayez de tout mettre en œuvre en même temps sans autre raison que ce que vous estimez devoir faire, votre équipe résistera. C’est pourquoi tant de professionnels de l’informatique pensent que ITIL est trop bureaucratique. Un de mes clients me décrivait récemment ITIL « comme un monstre de bureaucratie« .

De même, si vous lancez de manière aléatoire certaines approches dans certains projets, personne ne sera en mesure de reconnaître en quoi ITIL améliore votre flux de travail.

Une feuille de route étape par étape vous donnera une idée précises de ce que vous devez faire pour adapter ITIL à vos besoins.

Vous pensez qu’un « bon » outil sera la solution à vos problèmes

Il existe beaucoup d’outils prétendument conçus pour aider à adopter ITIL et ITSM par les organisations.

Mais un outil ne va pas comprendre la valeur de l’informatique ni son incidence sur les résultats de votre entreprise. Un outil ne pourra pas comprendre les besoins spécifiques de chaque entreprise.

Un outil est juste un dispositif utilisé pour exécuter une fonction particulière. Les outils peuvent vous aider dans l’adoption des bonnes pratiques mais ils ne vont certainement pas faire le travail à votre place. Un outil vous servira seulement à automatiser certaines activités de vos processus et permettra la communication entre les activités. Vous devez donc faire tout le travail d’adaptation des bonnes pratiques à votre organisation d’abord. Ensuite vous pourrez regarder sur le marché pour trouver l’outil qui correspond le mieux à vos besoins spécifiques.

Vous n’investissez pas assez dans le conseil et la formation

Il existe de nombreux organismes  de formation proposant des cours ITIL Foundation. De nombreux professionnels de l’informatique réussissent leur certification ITIL. Les mêmes se présentent immédiatement comme des consultants ou des formateurs ITIL. Malheureusement une certification ne garantit absolument pas que vous sachiez appliquer les concepts ITIL.

La vérité est que tout le monde peut lire un guide de l’étudiant et apprendre les concepts ITIL, mais cela ne les mènera pas très loin, pas plus que leur organisation d’ailleurs. Comme nous l’avons dit, ITIL est un guide et non un évangile. Vous devez donc comprendre son impact et son intégration dans votre organisation. La seule façon de le faire est d’investir dans le cours de base ITIL avec un instructeur expérimenté qui peut montrer aux étudiants comment appliquer ITIL dans leur organisation. C’est pourquoi AXELOS préconise de suivre des formations auprès d’ATOs (Accredited Training Organizations) qui sont régulièrement auditées pour vérifier la qualité de leurs formations, bien au delà de la simple certification.

De même, de nombreuses organisations commettent l’erreur d’adapter ITIL sans aucune assistance qualifiée. Cela peut fonctionner pendant un petit bout de temps mais, sans aucun doute, au final le quotidien l’emportera et l’adoption échouera. Le résultat sera alors une perte d’argent et de temps sans retour sur investissement. Un consultant qualifié peut aider à éviter les erreurs courantes et à augmenter la vitesse d’adoption. Par contre un consultant qualifié aura un coût qu’il faut intégrer dans le cas d’affaire de votre projet. Ne vous focalisez pas uniquement les coûts mais essayez de voir la véritable création de valeur que peut vous apporter chaque consultant.

Conclusion : ITIL V4 résoudra-t-il vos problèmes?

ITIL V3 contient de très bons conseils, et de nombreuses organisations l’ont utilisé pour les aider à fournir des services informatiques de manière efficace. Toutefois, certaines faiblesses doivent être résolues pour lui permettre de rester pertinent dans un environnement technologique et commercial en rapide mutation. Il doit aider les organisations à créer une culture plus collaborative capable d’éliminer les silos de processus. Il doit prendre en charge les méthodes de travail modernes, en maintenant de bons processus. Mais il doit le faire en mettant davantage l’accent sur les personnes, la technologie et les fournisseurs.

Si votre entreprise a adopté ITIL V3 et trouve que cela fonctionne bien pour vous, vous n’avez pas besoin de jeter ce que vous avez fait, ni d’apporter des changements soudains et radicaux à votre gestion de l’informatique. Mais vous pensez probablement déjà aux changements que vous devez faire, en raison de l’évolution de votre culture organisationnelle et de l’environnement dans lequel vous opérez. Lors de la publication d’ITIL 4, vous constaterez que la version mise à jour est une excellente ressource pour aider votre organisation à réfléchir aux changements que vous devez faire et à la meilleure façon de les apporter. ITIL V4 vous aidera à réussir la difficile transformation numérique de votre organisation.

 

Crédits : Stuart Rance et Doug Tedder

Introduction à COBIT 2019

L’ISACA vient de publier les deux premiers volumes de la nouvelle version de son cadre de Gouvernance et de Management de l’information d’Entreprise et des Technologies : COBIT 2019.

COBIT 2019 : le nouveau cadre de gouvernance et de management de l'I & T
© ISACA 2018

Nous vous proposons donc aujourd’hui une introduction à COBIT 2019. Cette introduction se compose de deux parties :

  • une présentation exécutive destinées aux équipes de direction. L’objectif est de mieux comprendre l’intérêt du cadre de gouvernance et de management de l’I & T,
  • les différences essentielles existant avec COBIT 5, la version précédente déjà largement adoptée dans le monde entier.

Concernant l’adoption de COBIT comme cadre de Gouvernance et de Management, mentionnons que la certification COBIT 5 Foundation fait une entrée remarquée dans les certifications qui correspondent aux meilleurs salaires en Europe en prenant cette année la 7ème place.

Présentation de COBIT 2019 et de ses nouveautés

Pour en savoir plus

Pour en savoir plus, nous vous conseillons la lecture de nos deux précédents articles COBIT 2019 – Les nouveautés ainsi que COBIT 2019 – Vos questions, nos réponses.

De plus, 2AB & Associates vous proposera début 2019 deux formations sur COBIT 2019 :

  • Une formation « Bridge » destinée aux certifiés COBIT 5 Foundation. Cette formation se déroulera sur 1 journée. Elle couvrira l’ensemble des différences entre COBIT 5 et COBIT 2019. A l’issue de cette formation, les participants pourront passer l’examen leur permettant d’obtenir la certification COBIT 2019 Foundation.
  • COBIT 2019 Foundation sans prérequis spécifiques. Cette formation d’une durée de 3 jours permet aux participants de comprendre les concepts du cadre de gouvernance et de management de l’I&T d’entreprise. A l’issue de la formation, les stagiaires passeront l’examen de certification COBIT 2019 Foundation.

Enfin, nous proposons également, sur demande, une présentation exécutive destinée aux dirigeants d’entreprises. Cette session est présentée par un de nos experts. Elle permettra donc aux participants d’échanger sur les avantages de la mise en oeuvre de COBIT 2019 dans leur organisation

Enfin, n’hésitez pas à commenter et à poser des questions à nos experts qui vous répondront en ligne. Et si vous aimez nos publications, vous pouvez bien entendu les partager sur les réseaux sociaux ou nous mettre un « like ».

Certifications et compétences qui paient en 2018

Comme chaque année, nous vous proposons un survol des certifications et compétences qui paient le mieux en 2018. Cet article s’appuie sur l’enquête annuelle réalisée par Global Knowledge sur les compétences et les salaires dans le domaine IT.

Les certifications et les compétences les mieux payées en 2018
Crédit © AdobeStock & Gwimages 2018

Notre précédent article sur les 6 certifications qui payaient le mieux en 2017 continue à être l’article plus lu de ce blog. Voici donc la version 2018 avec quelques évolutions notables. On constate un véritable glissement vers de nouvelles certifications et compétences correspondant aux meilleurs salaires. Cependant on peut constater des différences énormes selon les zones géographiques. Elles correspondent totalement à l’économie et aux besoins des entreprises dans chacune des zones. Il reste toutefois clair que les salaires sont dépendants de l’offre de compétences et de la demande régionale.

Vous courrez après les gros salaires? Cet article vous présente les certifications les mieux payées. Cependant il vous indique aussi ce que les employeurs attendent de vous et ce que cela implique. La certification ne suffit pas… C’est, pour un employeur potentiel, une assurance raisonnable quand à vos connaissances dans le cas de certifications courantes et aussi de votre compétence dans le cas des certifications professionnelles. Le recherche trois critères :

  • le savoir (sur la base de vos diplômes académiques et des vos certifications standards),
  • le savoir-faire (sur la base de vos certifications professionnelles et de votre expérience),
  • votre savoir-être sur la base de l’évaluation de votre comportement et de votre attitude (le recruteur ira chercher ces informations sur les réseaux sociaux, auprès de votre entourage professionnel et personnel).

Dans tous les cas, dites-vous que votre futur employeur vérifiera la réalité de ce que vous annoncez dans votre CV. Inutile donc de revendiquer une certification que vous n’avez pas. La vérification auprès de l’organisme émetteur de la certification révèlera immédiatement la supercherie. Cela se retournera contre vous. D’ailleurs, certains organismes de certification n’hésitent pas à porter plainte contre les fraudeurs et réclament des amendes importantes.

Certifications standards vs certifications professionnelles

Lorsqu’on parle de certification, il faut toujours bien faire attention à la signification qu’on donne aux mots. Les certifications standards sont par essence des certifications résultant de la simple réussite à un examen. C’est le cas des certifications ITIL, PRINCE2, VERISM, certaines certifications COBIT, etc. Elles se dénomment souvent Foundation, Practitioner, Intermediate ou encore Advanced. Aucune expérience dans le domaine n’est réclamée et la certification est valide sans limitation de durée.

Dans le cas des certifications professionnelles, à l’inverse, la réussite à l’examen n’est qu’une première étape. Ensuite il est nécessaire de prouver une expérience minimum de 3 à 5 ans dans le domaine concerné. L’organisme de certification effectue donc une vérification auprès des précédents employeurs de du candidat sur la valeur et la durée de son expérience ainsi que sur son attitude et son comportement. Ce n’est que lorsque cette vérification est positive que la certification est délivrée.

En général les certifications professionnelles ont une durée limitée, souvent de 3 ans. Chaque année ou chaque 3 ans, l’organisme exige la preuve que le certifié a bien suivi un nombre minimum d’heures de formation (CPD/CPE/CPU). Le certifié doit également acquitter de nouveau un montant significatif pour le renouvellement de sa certification. L’organisme de certification effectue alors, de façon aléatoire, des contrôles sur l’expérience acquise pendant les 3 ans ainsi que sur le comportement du certifié pendant cette période. A cette occasion la certification peut lui être retirée.

Parmi les certifications professionnelles, on peut citer CISA, CISM, CGEIT, CRISC, PMP, CIA, ISO 27001 Lead Implementer ou ISO 27001 Lead Auditor. Il est bien évident que les certifications professionnelles, plus « sérieuses », sont les plus recherchées par les employeurs. Ce sont donc aussi, logiquement, celles qui correspondent aux meilleurs salaires.

Les compétences les plus recherchées

Les compétences les plus recherchées sont bien naturellement celles qui paient le plus. C’est tout simplement la loi de l’offre et de la demande. Voyons ensemble les 5 domaines de compétences qui suscitent le plus de demandes en 2018. Précisons bien qu’il s’agit là de recherche de professionnels certifiés et pouvant démontrer plusieurs années d’expérience dans le domaine. Donc ce sont des domaines dans lesquels les employeurs recherchent en priorité des détenteurs de certifications professionnelles.

Notons toutefois que parmi ces 5 compétences les plus recherchées, deux certifications sont de niveau Foundation (COBIT 5 Foundation et Six Sigma Green Belt).

La cybersécurité

Comme lors des trois dernières années, les certifications en sécurité tiennent les premières places en matière de rémunération. Lorsque nous élargissons la liste aux 20 premiers, six certifications sont relatives à la sécurité an niveau mondial, y compris les deux premières places: CISSP de (ISC) 2 et CRISC de l’ISACA. Le CISM d’ISACA se classe au sixième rang mondial et au huitième rang en EMEA.

Le CISSP enregistre le salaire global moyen le plus élevé avec 70.177 € en EMEA (100.146 $ aux USA, ce qui représente une différence de plus de 27% entre les deux zones géographiques). Les professionnels de l’informatique possédant des certifications en sécurité ont tendance à avoir des salaires moyens globaux supérieurs de 15% (aux USA) à 63% (dans la région Asie-Pacifique) à la moyenne des autres certifiés.

Pour en savoir plus sur les certifications CISSP et CISM, nous vous invitons à lire notre article CISM vs CISSP : quelle certification choisir?

Le Cloud

Les certifications liées au Cloud, y compris AWS Certified Solutions Architect – Associate, ont des salaires moyens nettement supérieurs à la norme. En Amérique du Nord, le le salaire moyen du personnel informatique certifié AWS est 10% plus élevé que celui des personnels possédant une autre certification dans le Cloud et 29% supérieur au salaire moyen des professionnels IT certifiés dans un autre domaine. Toutefois, l’augmentation du salaire des professionnels certifiés en Cloud computing n’est pas limitée à ceux possédant les certifications AWS.

L’accent mis sur le nuage s’est également étendu à d’autres domaines fonctionnels. Les help-desks et les équipes de support technique recherchent activement des professionnels possédant des certifications dans le cloud computing et les réseaux.

La gestion de projet

Les gestionnaires de projets certifiés en Amérique du Nord ont également des salaires moyens au dessus de la norme. C’est particulièrement vrai pour ceux qui possèdent une certification PMP (103 406 $) par rapport à la moyenne des autres professionnels certifiés en gestion de projet, par exemple PRINCE2  (97 745 $). La tendance est beaucoup moins nette sur la région EMEA. Pour en savoir plus sur ces deux certifications, nous vous invitons à relire notre article PRINCE2 vs PMP : Quelle méthode de gestion de projet choisir?

On voit également émerger cette année une demande croissante pour les chefs de projets certifiés sur une méthode agile. Dans ce contexte c’est la certification Certified ScrumMaster (CSM) avec un salaire moyen de 98 562 $ qui tient la tête.

La gouvernance et le management

L’ISACA est une association indépendante axée sur l’adoption et l’utilisation des meilleures pratiques de gouvernance et de management de l’information et des technologies dans les organisations. L’ISACA possède six certifications dans le top 20 mondial, y compris CGEIT, CISA, CRISC et CISM . Une nette tendance se dégage également avec une demande de plus en plus forte de professionnels certifiés sur COBIT 5. Cela se traduit par un salaire moyen des professionnels certifiés COBIT 5 Foundation qui atteint maintenant 65.000 € dans la région EMEA.

Si vous vous posez des questions sur le CISA, nous vous conseillons trois articles précédemment publiés sur notre blog :

Compétences Six Sigma

La certification Six Sigma Green Belt est parrainée par l’association indépendante IASSC. C’est une certification de base sur un ensemble de techniques et d’outils d’amélioration des processus. Une tendance nette se dégage également en faveur des professionnels possédant une certification Six Sigma Green Belt qui obtiennent un salaire moyen de 99.865 $ en Amérique du Nord et de 69.000 Euros en EMEA soit une différence de 21%, la plus faible du top 20 des certifications.

Le top vingt des salaires par certification en Europe

Les résultats du classement 2018 sont extrêmement intéressants car ils montrent un changement important par rapport à 2017. La grande nouveauté est l’arrivée en force des certifications AWS (Amazon) dans les premières places du classement. A l’inverse les certifications qui monopolisaient les premières places ce dernières années subissent un fort recul (CISA, PMP). On voit également apparaître en 7ème position une certification qui fait sont entrée dans les 10 premières : COBIT 5 Foundation. Il est également à noter que cette année les certifications CISCO disparaissent complètement du classement.

Classement 2018 des 20 certifications et certifications professionnelles correspondant au meilleurs salaires en euros
Classement établi sur les salaires en région EMEA (Europe, Moyen Orient & Afrique). L’ordre est différent en Amérique du Nord.

L’autre enseignement de ce classement est la différence très importante des salaires entre la région EMEA et l’Amérique du Nord. Les salaires en EMEA sont tirés nettement vers le bas par la zone Afrique ainsi que le montre la carte suivante.

Salaires des professions IT par région du monde
Moyenne des salaires IT par région du monde – Crédit © Global Knowledge 2018

Conclusion

Ces éléments peuvent vous aider à choisir parmi les certifications disponibles celles qui vous conviennent le mieux. Bien sûr le salaire est un critère mais n’oubliez pas que la certification ne garantit pas le niveau de salaire. C’est votre compétences et votre adéquation au marché qui feront la différence.

N’hésitez pas à commenter cet article en y apportant vos témoignages sur votre expérience personnelle. Posez-nous également des questions. Nos experts se feront un plaisir de vous répondre. Si cet article vous a paru intéressant, n’hésitez pas à le partager sur les réseaux sociaux et à nous mettre un « like » si vous le souhaitez.

ITIL – 6 autres erreurs de mise en oeuvre

Après la publication de notre article intitulé ITIL – 5 erreurs majeures de mise en oeuvre, nous vous proposons 6 autres erreurs parmi les plus importantes et les plus courantes commises pendant dans la phase d’implémentation.

ITIL - 6 autres erreurs de mise en oeuvre ou comment chaque erreur d'implémentation des meilleurs pratiques ITSM peut conduire votre organisation à l'échec
Crédit © Photo 5000 – 2018

Dans un précédent article, j’ai décrit cinq façons différentes de mal utiliser ITIL :

  • Vouloir absolument « implémenter » ITIL,
  • Se focaliser seulement sur les processus,
  • Miser sur un nouvel outil de gestion des services informatiques (ITSM) p
  • our résoudre tous les problèmes,
  • Démarrer la réalisation de projets (ou de programmes) volumineux et trop longs à générer de la valeur,
  • Et enfin assigner une personne pour chaque rôle.

Dans ce nouvel article, je propose six autres erreurs parmi les plus courantes dans le cadre de la mise en oeuvre des bonnes pratiques ITIL. Bien sûr je vous indique également ce que vous pouvez faire pour les éviter.

Il n’est pas nécessaire d’avoir lu mon précédent article. Cependant il peut vous aider à mieux comprendre tout ce qui pourrait empêcher votre organisation de tirer pleinement parti des avantages offerts par ITIL.

Il existe donc six autres façon de mal comprendre et de mal utiliser ITIL.

Erreur N° 6 : Mettre en place des SLA pour de mauvaises raisons

Un accord de niveau de service (SLA) est un accord signé entre un fournisseur de service et son client. C’est donc un « contrat » entre deux parties sur la fourniture d’un service dans lequel le fournisseur prend des engagements. La différence entre un SLA et un contrat c’est que dans le cas d’un SLA les deux parties peuvent appartenir à la même organisation. Il n’y a donc généralement pas de clause juridique dans un SLA. Cependant, tout comme un contrat, le SLA contient une description du service, ainsi que les mesures et objectifs convenus. Ce sont ces objectifs qui seront utilisés pour mesurer et consigner dans quelle mesure le fournisseur fournit le service.

Les accords de niveau de service sont des outils utiles pour formaliser la relation entre deux parties prenantes. Les conseils de meilleures pratiques ITIL suggèrent qu’ils sont très utiles. Toutefois, certains fournisseurs de services informatiques pensent que s’ils respectent les mesures du contrat de niveau de service, ils ont alors fait tout ce qui était nécessaire. Malheureusement, les SLA sont souvent rédigés par le service informatique avec très peu ou pas de participation des clients. Trop souvent, les clients sont totalement insatisfaits, même lorsque tous les paramètres SLA ont été respectés.

Les mauvaises raisons pour la mise en oeuvre des SLA

Le premier cas consiste à mettre un SLA en place à l’initiative du département informatique afin de montrer aux métiers que l’informatique est performante malgré leur mauvais ressenti. Les indicateurs et les métriques sont alors élaborés dans ce sens. Au final le client est toujours insatisfait, mais en plus il s’aperçoit qu’on a essayé de le tromper. Cela n’améliorera pas la relation.

A l’inverse, le SLA peut également être mis en oeuvre à l’initiative des clients qui ne sont pas satisfaits du service. Ils veulent ainsi démontrer de façon tangible que les services délivrés par le département informatique sont de mauvaise qualité. Le risque c’est qu’alors, afin de satisfaire les clients, le département informatique accepte des engagements de niveau de service irréalisables. Cela est souvent dû à un manque de ressources ou à une prise de risque trop importante.

La bonne approche pour les accords de niveau de service

Si vous avez convenu d’un accord de niveau de service avec votre client, il est important de respecter les engagements que vous avez pris. Mais il est bien plus important encore de satisfaire les besoins réels du client, même s’ils sont difficiles à mesurer et à consigner. Les clients sont tout à fait capables de vous dire ce qu’ils ressentent vraiment si vous leur demandez. Un accord de niveau de service peut être un outil utile si vous souhaitez fournir de bons services. Par contre, il est beaucoup plus important de parler à vos clients et de vous assurer qu’ils sont satisfaits de ce que vous livrez. C’est là l’objectif de la gestion de la relation client dont l’implémentation doit être réalisée en parallèle de la gestion des niveaux de service. Malheureusement, c’est rarement le cas dans les entreprises que j’ai pu conseiller.

Erreur N° 7 : Oublier les attentes des vrais clients de l’informatique

J’ai travaillé avec de nombreuses organisations informatiques constituées de groupes cloisonnés (on parle de silos) qui ne comprennent pas comment ils s’intègrent dans une chaîne de valeur globale. Chaque groupe effectue simplement le travail qui lui est assigné de la manière la plus logique. Il n’a aucune idée de la manière dont cela contribue à la création de valeur pour les clients payants. Cela aboutit le plus souvent à des activités inefficaces et peu rentables, qui n’apportent aucune valeur réelle pour l’organisation ou ses clients.

Il y a de nombreuses années, un manager très sage m’a dit: « Je veux que vous arrêtiez ce que vous faites au moins une fois par jour et que vous vous demandiez: « Si les clients payeurs savaient qu’ils finançaient cette activité, que ressentiraient-ils? « . C’est un exercice fabuleusement simple que tout le monde peut faire. Et cela aide vraiment les gens à se concentrer sur la création de valeur pour les clients réels.

Une autre façon d’éviter les comportements cloisonnés consiste à rassembler des personnes appartenant à différentes équipes informatiques. Par exemple, organisez un atelier où les participants font un suivi détaillé de leur travail. L’objectif est de voir comment chacun contribue à la réalisation des objectifs généraux. Un exercice comme celui-ci peut aider à identifier les principales opportunités d’amélioration. En effet, il indique les domaines dans lesquels il ya un gaspillage important et où certaines équipes peuvent difficilement obtenir des résultats.

Erreur N° 8 : S’intéresser uniquement à la transition et à l’exploitation

Certaines personnes pensent qu’ITIL conseille uniquement sur la gestion des incidents, des problèmes et des changements. Ces éléments sont importants, certes, mais ils ne peuvent en aucun cas suffire à créer de la valeur pour vos clients. Si vous ne gérez pas le cycle de vie complet du service, il manquera des éléments essentiels.

ITIL 2011 décrit très précisément le cycle de vie des services qui est composé de 5 étapes :

  • La stratégie de service consiste à comprendre les marchés, à engager le dialogue avec les clients, à définir une orientation, à définir un portefeuille de services et à gérer les finances nécessaires pour offrir la valeur requise.
  • La conception de services consiste à collecter des exigences détaillées et à concevoir tout ce qui est nécessaire pour que les services nouveaux ou modifiés répondent aux besoins des clients.
  • La transition de service consiste à concevoir, créer le service nouveau ou modifié, à s’assurer qu’il est adapté à son usage et à son utilisation, et à le mettre en production tout en gérant les risques associés.
  • L’exploitation du service consiste à garantir que le service continue de fournir la valeur attendue aux clients et aux utilisateurs.
  • L’amélioration continue du service consiste à surveiller et à améliorer tout ce que vous faites dans l’informatique, pas seulement les processus, mais également les services, les compétences, la conception de l’organisation, les rapports, etc.

La mise en oeuvre de chacune de ces phases est absolument nécessaire dans votre implémentation ITSM. A défaut il y aura des « trous dans la raquette » et vos ne satisferez pas les besoins de vos clients. Est-ce vraiment le cas donc votre organisation?

Erreur N° 9 : L’Obsession d’avoir des mesures positives

Les praticiens ITSM comprennent l’importance de mesurer ce qu’ils font. Les métriques sont idéales pour signaler les tendances et pour déclencher des actions. Mais dès que la métrique devient l’objectif, peu importe la qualité de ces métriques, elles cessent d’avoir du sens.

La loi de Goodhart (du nom de l’économiste Charles Goodhart) dit que « lorsqu’une mesure devient une cible, elle cesse d’être une bonne mesure« . Cela est aussi vrai dans l’ITSM que dans l’économie. Si vous dites à quelqu’un que sa prochaine augmentation de salaire dépend de l’obtention d’un indicateur spécifique, fera tout ce qui est nécessaire pour que ce objectif soit correct. Mais cet objectif correspond-il vraiment à ce que vous ou votre client souhaitez qu’il fasse.

Une chose que je fais toujours lorsque je définis des indicateurs de performance clés (KPI) est de demander: «Quel comportement les gens adopteront-ils pour s’assurer que cet indicateur de performance clé est respecté?». C’est souvent suffisant pour me dire que l’indicateur causera un comportement que je ne veux pas encourager. C’est donc un indicateur que je ne devrais PAS mesurer ni signaler. Deux questions sont essentielles. Vos clients sont-ils satisfaits des métriques que vous utilisez? Et savez-vous quels types de comportement sont induits par vos indicateurs de performance clés?

Erreur N° 10 : Déléguer l’amélioration continue à quelqu’un d’autre

Certaines organisations ignorent complètement en quoi consiste l’amélioration continue. D’autres désignent un responsable de l’amélioration continue. Alors le plus souvent,  tous les autres présument qu’ils ne sont pas obligés de participer, car «c’est le travail de quelqu’un d’autre».

C’est bien d’avoir un responsable de l’amélioration continue qui facilite et encourage l’amélioration continue. Mais cela suppose que tout le monde s’attende à assumer la responsabilité de certains aspects de l’amélioration continue. Il est essentiel que chaque processus, chaque service, chaque technologie, chaque équipe et chaque individu contribue à une amélioration continue. Et cela ne peut être fait que par des personnes qui connaissent, comprennent et s’approprient ce qui doit être amélioré.

Par exemple, je pense à mes propres compétences et à mon expérience et j’identifie les choses que je peux faire pour améliorer. Il peut s’agir de lire un livre ou un blog, d’assister à un cours de formation, de travailler avec un mentor, de télécharger et de essayer un outil logiciel, etc.

Erreur N° 11 : Investir uniquement sur des formations ITIL de base

Il existe de nombreux cours de formation ITIL Foundation et de nombreux professionnels de l’informatique réussissent leur certification ITIL. Malheureusement ces cours ne permettent pas, le plus souvent, de faire progresser la compétence de leurs étudiants. Nombreux sont ceux qui deviennent des professionnels certifiés ITIL mais ne savent absolument pas comment appliquer les concepts ITIL.

La vérité est que tout le monde peut lire un guide de l’étudiant et apprendre les concepts ITIL. Malheureusement cela ne les mènera pas très loin, pas plus que leur organisation. ITIL est un guide et non un évangile. Vous devez donc comprendre son impact et son intégration dans votre organisation. La seule façon de le faire est d’investir dans le cours de base ITIL Foundation avec un instructeur expérimenté qui peut montrer aux étudiants comment appliquer ITIL à leur organisation. Mais surtout, vous ne devez pas vous limiter à apprendre par coeur des concepts du vocabulaire (ce qui est l’objet du cours Foundation).

Vous devez approfondir ces concepts et apprendre à les mettre en pratique. C’est l’objet des formations Intermediate Capability et du niveau Practitioner. Dans la réalité peu de professionnels de ‘ITSM (moins de 5%) suivent ces cours et obtiennent les certifications correspondantes. Ils restent donc sur le bord de la route à parler de sujets qu’ils ne comprennent pas en profondeur. Lorsqu’ils essaient de les mettre en oeuvre, l’échec est souvent au bout de la route.

En conclusion…

ITIL peut être extrêmement utile si ses concepts sont soigneusement adoptés et adaptés. Et si vous envisagez de l’utiliser pour soutenir votre organisation, rien ne remplace la réflexion sur ce que vous faites. Évitez les erreurs que j’ai décrites dans cet article. Adoptez et adaptez avec soin les meilleurs pratiques. Dès lors, vous et vos clients obtiendrez une réelle valeur ajoutée grâce à ITIL. Parlez nous de votre expérience!

RGPD – La CNIL ordonne l’effacement de 14 millions d’enregistrements

La société SINGLESPOT produit une solution technique permettant aux développeurs d’applications mobiles de monétiser leur applications grâce à de la publicité ciblée. Le 26 Mai 2018, dans le cadre du RGPD (GDPR), cette société est l’objet d’un contrôle par la CNIL. Celle-ci met alors en demeure SINGLESPOT d’effacer 14 millions d’enregistrements de données personnelles.

RGPD / GDPR : La CNIL met SINGLESPOT en demeure d'effacer 14 millions d'enregistrements de données personnelles
Crédit © rawpixel 2018

C’est le premier contrôle de la CNIL réalisé depuis l’entrée en vigueur des sanctions prévues par le RGPD. Mais Singlespot est la troisième start-up du secteur du marketing mobile à être mise en demeure par la CNIL cette année. Celle-ci souhaite informer le public sur l’utilisation de technologies s’appuyant sur la géolocalisation des téléphones portables.

Les grands groupes ne sont pas les seuls concernés par la protection des données personnelles. Près de cinq mois après l’entrée en vigueur du RGPD, les start-ups sont, elles aussi, surveillées de près par la CNIL. « Les entreprises sont toutes concernées, à partir du moment où elles gèrent une quantité importante de données », rappelle Mathias Moulin, directeur de la protection des droits et des sanctions à la CNIL.

Après Teemo et Fidzup, Singlespot est la troisième start-up utilisant des données de géolocalisation à des fins publicitaires à être mise en demeure par la CNIL. Alors que la procédure liée à Teemo a été clôturée, celle liée à Fidzup est toujours en cours. De son côté, Singlespot dispose de trois mois, à compter du 23 octobre, pour se mettre en conformité avec le RGPD. A défaut, la société s’expose à des sanctions financières importantes.

Pourquoi rendre public le cas de Singlespot?

Nul doute que ce n’est pas la seule organisation à avoir été contrôlée par la CNIL depuis le 25 Mai 2018. Pourtant toutes les infractions, pas plus que toutes les mises en demeure ne sont pas rendue publiques.

La délibération du bureau de la CNIL, datée du 18 octobre 2018 explique clairement les raisons de cette publicité. Le bureau estime que la publicité de la décision de mise en demeure se justifie par les caractéristiques des manquements. Alors quels sont ces manquements si graves qui justifient cette décision?

Les constats effectués par la CNIL

La société SINGLESPOT s’appuie sur une technologie dénommée SDK afin de collecter des données à caractère personnel via les smartphones et d’effectuer des campagnes publicitaires mobiles auprès des personnes.

À l’occasion de ses investigations, la CNIL a constaté que la société collecte des données de géolocalisation. Et elle le fait sans recueillir le consentement des personnes. Un tel traitement constitue, de fait, un risque particulier au regard de la vie privée. En effet, il révèle les déplacements des personnes et leurs habitudes de vie.

Le bureau de la CNIL indique également que le nombre massif de personnes susceptibles d’être impactées par le traitement mis en œuvre par la société SINGLESPOT constitue une justification pour la publicité de cette décision. En effet, le SDK est intégré à des dizaines d’applications mobiles et une partie importante de la population possède un smartphone. À cet égard, le bureau relève que le SDK installé sur les applications collecte les données de géolocalisation des personnes environ toutes les cinq minutes. De plus, il a été constaté par la délégation de la CNIL que plus de 5 millions d’identifiants avaient été collectées par la société.

Les raisons profondes de cette publicité

Le bureau estime, que, vu la gravité des faits constatés, il est du devoir de la CNIL de mettre les personnes concernées en mesure de conserver le contrôle de leurs données. Cet objectif ne saurait être atteint qu’en assurant le plus haut niveau de transparence sur la collecte des données, notamment de géolocalisation, et la finalité du traitement mis en œuvre par la société SINGLESPOT.

Enfin, la CNIL dont on connaît le manque de moyens, souhaite sensibiliser les professionnels du secteur. Cette sensibilisation est d’autant plus importante que la collecte de données à caractère personnel à des fins de profilage et de ciblage publicitaire, notamment à partir des lieux fréquentés par les personnes, connaît une forte croissance. De plus, l’utilisation de tels mécanismes s’inscrit dans un écosystème faisant intervenir plusieurs acteurs. Il s’agit en particulier des éditeurs d’applications mobiles et des clients annonceurs. Il est donc essentiel de les alerter sur les enjeux de la protection des données personnelles des clients.

Le bureau de la CNIL rappelle que cette mise en demeure ne revêt pas le caractère d’une sanction. À ce titre, aucune suite ne sera donnée à la procédure si l’organisation se conforme en tout point aux exigences de la mise en demeure dans le délai imparti. Si tel est le cas, celle-ci fera l’objet d’une clôture qui sera également rendue publique.

Les faits constatés par la CNIL

L’activité de l’entreprise

La mise en demeure adressée par la CNIL à la société SINGLESPOT révèle le détail des faits constatés lors des investigations.

La particularité de la solution technique mise en place, du point de vue RGPD, tient à ce que la société établit des profils de consommateurs géolocalisés. Elle peut ainsi suivre les utilisateurs au long de leurs déplacements et leur proposer des publicités en fonction de leur localisation. “Sont ainsi, par exemple, ciblés les mobinautes s’étant rendus dans des magasins concurrents et ceux ayant visité le magasin d’un client au cours des 15 derniers jours”.

Les données collectées étaient les suivantes : l’identifiant publicitaire mobile, le nom et la version de l’application mobile et le système d’exploitation utilisé (ANDROID ou IOS). Ces données étaient ensuite croisées avec des points d’intérêts, déterminés par les annonceurs (ex: boutiques concurrentes) afin de qualifier le profil de l’utilisateur pour le ciblage publicitaire souhaité.

Le constat réalisé par la CNIL

La délégation de la CNIL a pu constater que la collecte des données de géolocalisation des personnes était opérée :

  • tous les 200 mètres pour les applications installées sur le système d’exploitation IOS ;
  • toutes les cinq minutes sur le système d’exploitation Android.

Les données des utilisateurs étaient transmises à la société SINGLESPOT sans que les personnes n’en soit spécifiquement informées et sans que leur consentement ne soit recueilli pour cette transmission.

Au terme du contrôle effectué, la CNIL constatait que plus de 14 millions d’identifiants publicitaires étaient présents dans les bases de données de SINGLESPOT, dont plus de 5 millions associés à des données de géolocalisation. Il s’agit là d’un identifiant unique lié au téléphone mobile des personnes ayant utilisé les applications des éditeurs partenaires de l’entreprise.

La CNIL notait également que les données de géolocalisation des personnes étaient collectées et conservées dans les bases de données de la société, même lorsque les utilisateurs étaient situés en dehors des points d’intérêts géographiques déterminés. De pus la durée de conservation par Singlespot atteignait treize mois à compter de la date de la collecte.

La non conformité au RGPD

Du point de vue du RGPD nous sommes apparemment face à un traitement dit de “profilage”. Le profilage est défini par l’article 4.4 du RGPD comme “toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique”.

Or, on le sait, la CNIL est particulièrement sensible à ce type de traitement.

D’un point de vue juridique, on voit quatre problèmes se profiler. La CNIL les a évidemment relevés :

  • une collecte de données personnelles sans information préalable et sans consentement
  • une violation probable des principes de loyauté et de transparence (art. 5.1.a)
  • la violation probable du principe de minimisation (art. 5.1.c)
  • une interrogation quant à la base légale sur laquelle repose le traitement (consentement ?).

Les manquements relevés par la CNIL

Lors de son contrôle, la CNIL a relevé plusieurs manquements aux dispositions légales sur la base du RGPD :

  • Un manquement à l’obligation de disposer d’une base légale pour la mise en œuvre du traitement. L’entreprise affirmait que les opérations de ciblage étaient basées sur le consentement des personnes. Or la CNIL a relevé “qu’au moment de l’installation des applications contrôlées, les personnes ne sont pas informées de la collecte de leurs données de géolocalisation via le SDK à des fins de profilage des utilisateurs et de ciblage publicitaire”
  • Le non-respect de l’obligation de définir et de respecter une durée de conservation proportionnée à la finalité du traitement. Il s’agit là, en fait, du principe de minimisation du RGPD. A ce titre, la CNIL mentionne à juste titre : “la Commission considère que l’utilisation des dispositifs de géolocalisation est particulièrement intrusive au regard des libertés individuelles, dans la mesure où ils permettent de suivre de manière permanente et en temps réel des personnes, aussi bien dans l’espace public que dans des lieux privés. Ainsi, la CNIL estime que les données de géolocalisation ne peuvent être conservées que pour une durée strictement proportionnée à la finalité du traitement qui a justifié cette géolocalisation”
  • Un manquement à l’obligation d’assurer la sécurité et la confidentialité des données. En fait, le mot de passe administrateur consistait en un mot de passe de 16 caractères composé uniquement de trois types caractères différents (majuscules, minuscules et chiffres). Ceci contrevenait à la charte de sécurité de l’entreprise. Celle-ci préconisait un mot de passe de 10 caractères minimum composé de majuscules, minuscules, chiffres et caractères spéciaux. La CNIL relève également une utilisation non conforme des données utilisateurs des bases de données de production. En effet, celles-ci étaient utilisées dans les environnements de développement. Cette utilisation viole ainsi le principe de confidentialité

Le dernier manquement concernant la sécurité informatique relevé par la CNIL. Il semble ressortir des faits que l’entreprise développait ses applications directement dans des environnements de production. Cette pratique représente un risque majeur en matière d’intégrité des données des personnes concernées. Ce risque bien se rajouter à celui qui pèse sur la confidentialité.

Le contenu de la mise en demeure adressée par la CNIL

En conséquence, la société SINGLESPOT a été mise en demeure sous un délai de trois (3) mois à compter de la notification de la décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

  • ne pas procéder sans base légale au traitement des données de géolocalisation des personnes à des fins de ciblage publicitaire, en particulier recueillir, de manière effective, le consentement préalable des utilisateurs des applications éditées par les partenaires de la société SINGLESPOT au traitement de leurs données par cette dernière (par exemple par la mise en place d’un pop-up contenant une information et une case à cocher dédiées ou un bouton de refus) et à défaut, supprimer lesdites données collectées ;
  • sous réserve de base légale du traitement, définir et mettre en œuvre une politique de durée de conservation des données raisonnable, en particulier :
  • supprimer les données de géolocalisation des utilisateurs collectées en dehors des zones de POIs une fois la correspondance entre les données de géolocalisation et les zones de POIS effectuée ;
  • définir une durée de conservation des données de géolocalisation proportionnée à la finalité du traitement et procéder à la purge ou, le cas échéant, à l’anonymisation des données anciennes ;
  • prendre toute mesure nécessaire pour garantir la sécurité des données à caractère personnel des utilisateurs, notamment en mettant en place une politique contraignante relative aux mots de passe utilisés par les comptes accédant aux bases de données ou aux plateformes d’administration de ces bases, respectant l’une des modalités suivantes :
    • les mots de passe sont composés d’au minimum 12 caractères, contenant au moins une lettre majuscule, une lettre minuscule, un chiffre et un caractère spécial ;
    • les mots de passe sont composés d’au moins 8 caractères, contenant 3 des 4 catégories de caractères (lettres majuscules, lettres minuscules, chiffres et caractères spéciaux) et s’accompagnent d’une mesure complémentaire comme par exemple la temporisation d’accès au compte après plusieurs échecs, (suspension temporaire de l’accès dont la durée augmente à mesure des tentatives), la mise en place d’un mécanisme permettant de se prémunir contre les soumissions automatisées et intensives de tentatives (ex : captcha ) et/ou le blocage du compte après plusieurs tentatives d’authentification infructueuses (au maximum 10).
  • un stockage des mots de passe sous une forme hachée (par exemple, à l’aide de l’algorithme SHA256 avec l’utilisation d’un sel) ;
    • en mettant en place une politique de séparation entre les environnements de tests de développement (ou de recette) et les environnements de production.
  • justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société SINGLESPOT s’est conformée à la mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, si la société SINGLESPOT ne s’est pas conformée à la mise en demeure, un rapporteur sera désigné qui pourra demander à la formation restreinte de prononcer l’une des sanctions prévues par la loi.

Les conséquences potentielles

Rappelons qu’en application des articles 121-2, 131-37, 131-38 et 226-17 du Code pénal combiné le fait, pour une personne morale, de procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 était puni d’une amende de 1 500 000 euros. Avec la mise en application du RGPD, les sanctions se sont nettement alourdies. La société risque maintenant une amende allant jusqu’à 4% de son CA mondial avec un minimum de 20 millions d’euros.

COBIT 2019 – Vos questions, nos réponses

Depuis la publication de notre article présentant, en avant-première, les nouveautés de COBIT 2019, vous nous avez posé de nombreuses questions. Nous vous apportons quelques réponses. Pour l’heure, nous ne pouvons pas encore tout vous dire. Soyez patients. Nous vous donnerons notre avis détaillé sur cette nouvelle version du cadre de référence en Gouvernance de l’Information dès que les deux premières publications seront disponibles sur le site de l’ISACA.

Cadre de gouvernance COBIT 2019 - Questions réponses
Crédit © rawpixel 2018

L’accélération de la transformation numérique a rendu l’information et la technologie (I&T) cruciales pour le soutien, la croissance et la durabilité des entreprises. Les conseils d’administration et les cadres dirigeants ont pu jadis déléguer, ignorer ou éviter les décisions liées à l’I&T. Cependant ils savent maintenant que cette approche est mal avisée. Ce ne sont pas uniquement les entreprises digitales qui dépendent de l’I&T pour leur survie et leur croissance. La création de valeur par les parties prenantes (c’est-à-dire la réalisation des bénéfices à un coût optimal en ressources tout en optimisant les risques) est également souvent obtenue par la digitalisation de nouveaux modèles d’affaires, grâce à des processus efficaces et à des innovations réussies.

L’I&T est maintenant totalement intégrée à la gestion des risques d’entreprise et de la création de valeur. Un accent particulier a donc été mis sur la gouvernance de l’information d’entreprise et de la technologie (GEIT) au cours des deux dernières décennies. COBIT a reflété cet accent mis sur la GEIT dans ses dernières mises à jour, aboutissant à COBIT 5. Toutefois, une nouvelle édition, dont la sortie est prévue en novembre 2018, étendra et facilitera encore cette tendance.

La nouvelle édition s’appelle COBIT 2019. Les mises à jour de COBIT ne seront dorénavant plus identifiées par des numéros de version. Au lieu de cela, elles porteront  la date de la dernière mise à jour. Cela correspond à un environnement I&T dynamique qui génère des changements à un rythme si rapide qu’il est difficile de les suivre. COBIT 2019 prend en compte ces problèmes et les résout en faisant de COBIT un cadre de gouvernance I&T dynamique pouvant être mis à jour plus rapidement, en appliquant les commentaires des utilisateurs pour qu’ils restent pertinents pour la communauté internationale des professionnels de la gouvernance.

Vos questions, nos réponses

Qu’est-ce que COBIT?

Le processus de mise à jour de COBIT a impliqué des efforts considérables pour mettre en perspective ce qu’il est et ce qu’il n’est pas. Cet article décrit chaque côté de l’équation, en commençant par ce qu’il est.

COBIT 2019 peut être décrit comme un cadre pour la gouvernance et la gestion de l’I&T des entreprises, destiné à l’ensemble de l’organisation. L’I&T d’entreprise fait référence à tous les traitements I&T mis en place par l’entreprise pour atteindre ses objectifs, quel que soit le lieu où cela se produit dans l’organisation. En d’autres termes, l’I&T d’entreprise ne se limite pas au service informatique d’une organisation, mais il est certain qu’elle l’inclut. Elle inclut aussi sans aucun doute d’autres départements tout aussi importants comme les ressources humaines.

COBIT 2019 définit les composants permettant de construire et de maintenir un système de gouvernance : politiques, processus et procédures, structures organisationnelles, flux d’informations, compétences, infrastructure, culture et comportements. Celles-ci étaient appelées «facilitateurs» (« enablers » en anglais) dans COBIT 5. Il définit également les facteurs de conception que l’organisation doit prendre en compte pour créer un système de gouvernance parfaitement adapté.

Il aborde les problèmes de gouvernance en regroupant les composants de gouvernance pertinents dans des domaines prioritaires pouvant être gérés aux niveaux de maturité requis.

Qu’est-ce que COBIT n’est pas?

Après avoir décrit ce qu’est COBIT 2019, il est important de définir ce qu’il n’est pas. Cela implique de tordre définitivement le cou à certaines idées fausses au sujet de COBIT, telles que :

  • COBIT 2019 ne décrit pas complètement l’environnement I&T d’une organisation.
  • Ce n’est pas un cadre pour organiser les processus métier.
  • Ce n’est pas un cadre technique (informatique) pour gérer toutes les technologies.
  • Il ne prend ni ne prescrit aucune décision liée à l’informatique. Par exemple, il ne répond pas aux questions telles que: quelle est la meilleure stratégie informatique? Quelle est la meilleure architecture? Combien devrait coûter l’informatique? Au lieu de cela, il définit tous les composants qui décrivent quelles décisions doivent être prises, comment et par qui elles doivent être prises.

Pourquoi le logo a-t-il changé?

COBIT 5 a été publié en 2012, ce qui fait presque 7 ans. Depuis cette époque, d’autres cadres et les normes ont évolué, créant un paysage différent. L’émergence de nouvelles technologies et les tendances business en matière d’utilisation des technologies de l’information (transformation numérique, DevOps, par exemple) n’étaient pas intégrées dans COBIT 5. Un réalignement était donc nécessaire.

Pour rester pertinent, il est impératif que COBIT continue d’évoluer, ce qui nécessitera des mises à jour plus fréquentes et plus fluides. Dans le nouveau logo, la flèche rouge symbolise cette notion d’évolution continue. De plus, pour assurer un contrôle efficace des versions, toutes les mises à jour futures comporteront l’année correspondant à la publication la plus récente.

Quelles sont les publications de COBIT 2019 et quand seront-elles disponibles?

La famille de produits COBIT 2019 est n’est pas limitée aux produits qui seront prochainement publiés. Le développement de nouvelles orientations, formations et ressources pour soutenir la famille de produits COBIT 2019 sera continuellement évaluée en fonction de la demande du marché. Ce développement sera géré en cohérence avec les autres produits de l’ISACA.

Disponibles le 12 novembre 2018

  • Cadre COBIT 2019: Introduction et méthodologie – Introduction aux concepts clés de COBIT 2019.
  • Cadre COBIT 2019: Objectifs de gouvernance et de gestion. Cette publication décrit de manière exhaustive les 40 objectifs fondamentaux en matière de gouvernance et de gestion, les processus qu’ils contiennent, et d’autres composants connexes. Ce guide fait également référence à d’autres normes et référentiels du marché.

Disponibles le 10 décembre 2018

  • Guide de conception COBIT 2019: Conception d’une solution de gouvernance de l’information et de la technologie. Ce guide explore les facteurs de conception pouvant influencer la gouvernance. Il inclut un flux d’activités afin de planifier un système de gouvernance sur mesure pour l’entreprise.
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une solution de gouvernance de l’information et de la technologie. Ce titre représente une évolution du Guide de mise en œuvre de COBIT 5.  Il propose l’élaboration d’une feuille de route pour l’amélioration continue de la gouvernance. Il peut être utilisé en combinaison avec le Guide de conception COBIT 2019.

Les publications COBIT 2019 seront-elles gratuites pour les membres ISACA?

Dans le cadre de l’engagement de l’ISACA d’apporter une valeur optimale à ses membres, le téléchargement au format PDF des quatre publications principales de COBIT 2019 suivantes seront gratuites pour les membres :

  • Cadre COBIT 2019 : Introduction et méthodologie
  • Cadre COBIT 2019 : Objectifs de gouvernance et de gestion
  • Guide de conception COBIT 2019 : Conception d’une solution de gouvernance de l’information et de la technologie
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une Solution de gouvernance de l’information et de la technologie

De plus, les membres de l’ISACA recevront des réductions exclusives sur l’achat de publications imprimées. Pour en savoir plus, consultez le site de ‘ISACA : http://www.isaca.org/COBIT.

COBIT 2019 est-il aligné avec les autres normes et cadres internationaux?

L’un des principes directeurs appliqués tout au long du développement était de maintenir son positionnement de COBIT 2019 en tant que cadre général de gouvernance. Ainsi, il continue de s’aligner sur un certain nombre de normes, cadres et / ou réglementations pertinents. COBIT 2019 comprend des références et s’aligne sur des concepts provenant d’autres sources. Par exemple COBIT 2019 est aligné, entre autres, sur ITIL, ISO 27001, ISO 20000, DEVOPS, PRINCE2, PMBOK, TOGAF, COSO, SFIA, etc..

Dans ce contexte, l’alignement signifie que :

  • COBIT 2019 ne contredit aucune indication des référentiels et normes correspondants,
  • Le cadre COBIT 2019 ne copie pas le contenu de ces référentiels et normes associés,
  • COBIT 2019 fournit des conseils ou références équivalents aux normes et référentiels correspondants.

Une liste complète des normes et guides pratiques utilisés dans le cadre du développement de COBIT 2019 est fournie dans la présentation PPT intitulée  COBIT® 2019 Overview. Celle-ci, en anglais, est disponible dans la boîte à outils COBIT 2019 sur le site de l’ISACA. Cette liste figure également dans la publication Cadre COBIT 2019 : Introduction et méthodologie.

Y aura-t-il un cursus de formation de certification COBIT 2019?

Un nouveau parcours de formation et de certification sera proposé dès le début 2019. COBIT 2019 est un cadre en évolution continue. En conséquence, l’ISACA continuera en permanence à évaluer le marché et à proposer de nouveaux modules de formation. Les premier modules seront disponibles selon le calendrier suivant :

Janvier 2019 : Atelier de transition COBIT 5 vers COBIT 2019 (1 journée)

Ce cours de transition d’une journée présente les concepts, les modèles et les définitions clés du nouveau cadre en mettant l’accent principalement sur les différences majeures entre COBIT 2019 et COBIT 5.

Janvier 2019 : Formation et certification COBIT 2019 Foundation (3 jours)

Développée pour préparer les participants à l’examen de certification COBIT 2019 Foundation, cette formation plongera dans le contexte, les composants, les avantages et les principales raisons pour lesquelles utiliser COBIT en tant cadre de gouvernance de l’information et des technologies en entreprise.

Avril 2019 : Formation et certification COBIT 2019 Conception et mise en oeuvre (3 jours)

Cette formation de 3 jours prépare les participants à l’examen de certification COBIT 2019 Design and Implementation. Les participants apprendront comment concevoir un système de gouvernance parfaitement adapté au contexte de leur entreprise en s’appuyant sur le cadre de gouvernance de l’ISACA.

Où puis-je me former et passer les certifications?

La formation ainsi que les examens de certification seront disponibles à partir de janvier 2019. Vous pourrez y accéder via les canaux suivants:

  • Centres de formation accrédités par ISACA (via APMG ou Peoplecert);
  • Chapitres ISACA;
  • Conférences ISACA et ateliers pré-conférence;
  • Programme de formation sur site d’ISACA.

Pour ce qui nous concerne, 2AB & Associates sera accrédité par l’ISACA dès le lancement des modules de formation. Nous avons d’ores et déjà commencé le développement des trois modules initiaux prévus par ISACA. Les premières sessions COBIT 2019 Bridge et COBIT 2019 Foundation sont déjà à notre calendrier dès janvier 2019. Nous proposons également pour les personnes déjà certifiées COBIT 5 Foundation un atelier d’une journée leur permettant de faire la transition de leur certification actuelle vers la nouvelle version.

Nous organisons également, à la demande, des présentations d’une demi-journée destinées aux dirigeants des entreprises. N’hésitez pas à consulter le site www.2abassociates.fr ou www.2abassociates.ca pour en savoir plus.

Les programmes de formation COBIT 2019 remplaceront-il les formations COBIT 5?

ISACA continuera à soutenir l’accréditation et la délivrance de la formation et du cursus de certification COBIT 5. Ainsi, la formation COBIT 5 continuera à cohabiter avec la formation COBIT 2019. Il ne serait donc par judicieux de remettre votre formation COBIT à plus tard en attendant le nouveau cursus de formation/certification. Tout au contraire, nous vous invitons à profiter de notre offre promotionnelle sous forme de package Formation et certification COBIT 5 Foundation + atelier de transition vers COBIT 2019.

Les publications COBIT 5 resteront-elles disponibles en 2019?

L’ISACA continuera de soutenir les nombreuses organisations gouvernementales et  non gouvernementales qui, depuis 2012, ont mis en oeuvre COBIT 5. Tous les guides COBIT 5 (et produits dérivés) vont donc rester disponibles pour téléchargement ou achat en ligne. De plus, tous les produits, ressources et programmes de formation COBIT 5 resteront disponibles (parallèlement à COBIT 2019).

Quelles sont les différences entre COBIT 2019 et COBIT 5?

COBIT 2019 offre une plus grande flexibilité et une plus grande ouverture pour améliorer la pertinence dans le temps de COBIT.

  • L’introduction de nouveaux concepts tels que les domaines de focalisation et les facteurs de conception permet de proposer des bonnes pratiques pour adapter un système de gouvernance aux besoins de l’entreprise.
  • La mise à jour de l’alignement sur les normes, les cadres et les meilleures pratiques améliore la pertinence de COBIT.
  • Un modèle de type «open source» permettra à la communauté mondiale de la gouvernance de contribuer aux futures mises à jour  en apportant des commentaires, en partageant des applications et en proposant des améliorations au
    cadre et aux produits dérivés en temps réel. De la sorte, de nouvelles évolutions de COBIT pourront être publiées sur une base cyclique.
  • De nouvelles orientations et de nouveaux outils soutiennent l’élaboration d’un système de gouvernance optimal. Cela rend donc COBIT 2019 plus prescriptif.

Les changements à l’ère de DEVOPS

ITIL propose un processus de gestion des changements destiné à ne mettre en production que des services éprouvés pour éviter les impacts négatifs sur les utilisateurs. A l’heure où les entreprises sont en recherche permanente d’agilité et où DEVOPS s’impose, l’approche ITIL semble dépassée. Mais est-elle vraiment dépassée où n’est-ce pas plutôt un échec de mise en oeuvre des meilleurs pratiques qui est en cause? Dans cet article, nous allons faire un gros plan sur ce que devrait être la gestion des changements. Et nous allons nous intéresser tout particulièrement au CAB (Comité Consultatif des Changements), mal utilisé le plus souvent.

ITIL - Le CAB à l'heure de DEVOPS
Crédit © rawpixel.com 2018

La seule raison pour laquelle la plupart des personnes et des organisations ont entendu parler du CAB (Change Advisory Board) est qu’il est décrit dans la section sur la gestion du changement des publications ITIL. La plupart des organisations ont alors considéré que si le CAB est décrit dans ITIL, c’est qu’il est obligatoire. Souvent il a donc été mis en œuvre avec enthousiasme comme mécanisme de contrôle de la qualité dans les grandes entreprises. Pour beaucoup de professionnels des opérations non informatiques, le CAB est leur seul contact avec ITIL. Il en est d’ailleurs presque devenu synonyme. Cela signifie également qu’ITIL est lui-même devenu synonyme de douleur récurrente qui revient toutes les deux semaines…

Le conte des trois erreurs

Il en va de la gestion des changements comme de beaucoup d’autres domaines de l’informatique. Il y a une différence significative entre la théorie et la pratique. Pourtant, il est exact que la théorie (dans l’ITSM) a été (partiellement) construite sur la base des pratiques du monde réel. Cependant, il s’agit en fait d’une version idéalisée d’une tentative de description globale destinée à être adaptée à chaque situation particulière. Ce n’est en aucun cas une prescription de ce qui doit être mis en oeuvre tel quel dans les organisations.

Nous allons tenter de mettre tout le monde d’accord pour commencer à travailler à améliorer la pratique de la gestion des changement. A mon sens, c’est une approche à privilégier plutôt que d’essayer de se rassurer dans des initiatives de type «dénigrement» ou «coup de tête». Elles conduisent le plus souvent à des actions de type « paniqué-coupé-renommé-collé » à partir d’une théorie mal comprise..

Il y a trois domaines principaux dans lesquels la confusion à propos du CAB (Change Advisory Board / Comité Consultatif des Changements) et des pratiques de gestion du changement en général ont entraîné des dysfonctionnements importants. Nous allons essayer de les identifier avant de les comprendre dans le détail..

Survol des trois erreurs

Tout d’abord, il y a beaucoup d’incompréhension quant à la signification de la lettre «A» dans l’acronyme «CAB». Deuxièmement, il y a également une incompréhension quant aux changements qui devraient «passer par le CAB». Troisièmement, il existe une confusion relative à la séparation des pratiques de gestion des changements et des pratiques de gestion des mises en production. Cela fait beaucoup pour un seul processus, certes majeur, parmi les 25 processus décrits dans les publications ITIL 2011.

Commençons par rappeler quelques notions issues d’ITIL, mais souvent incomprises :

  • CAB signifie «Change Advisory Board» (Comité Consultatif des Changements) et non pas «Change Approval Board» (Comité d’Autorisation des Changements).
  • Le CAB n’est pas obligatoire dans ITIL, pas plus que l’envoi de toutes les demandes de changement (RFC) au CAB.
  • A chaque fois que les auditeurs exigent des décisions du CAB, ils confondent la fin et les moyens.
  • Lorsque les managers exigent des décisions du CAB, alors c’est qu’il existe probablement un problème de confiance.
  • L’automatisation (pour les modifications logicielles) rend même les auditeurs plus heureux.
  • Le logiciel circulant dans le pipeline CI / CD (intégration continue / livraison continue) n’est pas destiné à passer par le CAB.
  • L’amélioration des pratiques de gestion du changement requiert la réduction du nombre d’intermédiaires intervenant dans le processus pour améliorer son efficacité.

1 – « A » pour « Advisory » (conseiller)

Comme son nom l’indique, le CAB (Comité Consultatif sur les Changements) a pour objectif de conseiller sur l’évaluation des changements. Il est utile principalement lorsqu’il s’agit de changements à haut risque ou de changements à grande échelle qui vont au-delà du champ de perception d’une équipe particulière. Dans ce cas de figure, ils nécessitent la coordination et la gestion de situations complexes. Il faut alors faire face à des priorités conflictuelles et faire des choix en raison de coûts ou de délais. Le rôle du CAB, dans de telles situations, est essentiel car il permet de recueillir les avis de toutes les parties prenantes.

Pour diverses raisons, le mot «Advisory» (Consultatif) est devenu «Approval» (Approbateur) dans de nombreuses entreprises. Le CAB s’est alors transformé en un mécanisme de création de retard sans valeur ajoutée. Il est censé être là pour des raisons de qualité, mais il atteint rarement son objectif. La différence entre les mots est loin d’être seulement une question pédante de sémantique :

  • Advisory: avoir ou exercer le pouvoir de conseiller
  • Approval: acte ou instance d’approbation de quelque chose

Un mode de fonctionnement inefficace qu’il faut absolument améliorer

De plus, les CAB, dans les entreprises, ont souvent tendance à être statiques. C’est toujours même groupe de managers qui discute de tous les changements qui leur sont apportés, quels que soient l’équipe / l’application / le service concerné. Ils invitent parfois les auteurs de RFC (Request For Change / Demande de Changement) ternes et volumineuses à y ajouter un peu de couleur. Cette approche introduit un niveau d’intermédiation qui perd beaucoup de détails.  Par conséquent le risque est grand de créer un type de pratique, fonctionnel techniquement mais défaillant dans la pratique. L’absence d’avis est une chose, mais l’échec en matière d’approbation en est une toute autre.

La pratique consistant à utiliser des RFC dans l’entreprise semble davantage venir d’un livre de recettes que de l’ITSM. La dynamique de la mise en œuvre repose alors sur un examen minutieux afin de s’assurer que tous les champs du formulaire sont remplis. Elle ne repose pas sur des conseils pertinents. En effet, souvent, les RFC contiennent des informations destinées au CAB. Elles ne contiennent pas les questions et les réponses de / à la personne ou l’équipe recherchant un avis.

Cela ne veut pas dire que des contrôles de qualité ne doivent pas être mis en place. Cependant un mécanisme intervenant tardivement dans le jeu, de type Potemkin, est plus susceptible de gêner que d’aider l’entreprise à atteindre ses objectifs. La réduction du nombre d’erreurs est alors obtenue en évitant les changements plutôt qu’en améliorant la résilience du système. En effet, la dynamique est tellement lourde, coûteuse et chronophage que les « petits » changements seront rejetés. Ceci peut souvent conduire, en retour, à un besoin de changements de grande ampleur. C’est notamment le cas  lorsque le système a dépassé sa date de péremption et échoue sur plusieurs fronts simultanément.

Pour améliorer les pratiques dans ce domaine, une réduction réfléchie et consciente des intermédiaires est nécessaire. Ainsi l’évaluation de l’impact et la prise de décision seront rapprochées du lieu où le travail est réalisé. L’efficacité, les coûts et les délais n’en seront qu’améliorés.

2 – Pratiques obsolètes et manque de confiance

Comme nous venons de le voir, le CAB peut être un élément utile de la gestion des changements pour certains types de changements. Il sera beaucoup moins utile pour d’autres. Notez bien que je dis «peut être», ce qui signifie que le CAB est facultatif et en aucun cas obligatoire. Il ne devrait être introduit que s’il est vraiment utile. Sa conception, sa portée, son rôle et sa valeur doivent être réexaminés de manière continue.

Parmi les autres raisons, il y en a deux concernant le «CAB abusif» que je voudrais évoquer ici. La première concerne les pratiques d’audit. Il s’agit de l’exigence de documenter et d’approuver chaque changement. Il est alors tentant de considérer le CAB comme la seule / meilleure méthode pour y parvenir. La première partie de cette exigence est plutôt raisonnable. Pourquoi ne voudrions-nous pas garder la trace des changements? La deuxième partie, par contre, est un exemple de prédominance du « comment » sur le « pourquoi ». Cette exigence est souvent tellement enracinée qu’elle ressemble à une loi intangible. Elle élimine alors d’autres méthodes de travail qui permettraient d’atteindre le même résultat, mais avec un fonctionnement différent.

Les pratiques obsolètes pour satisfaire les auditeurs

Demander au CAB de signer chaque demande de changement a peut-être été le seul moyen pour l’organisation de répondre aux exigences de la vérification par le passé. Ce n’était certainement pas une préconisation figurant dans les directives ITIL. Il suffit de voir, par exemple, l’autorité de changement et la notion de changement standard. Cela a, très probablement, satisfait les objectifs de la gestion des risques, sur papier uniquement. Et finalement cela a été considéré comme suffisant.

Du matériel coûteux, des temps d’approvisionnement longs et des temps de planification encore plus longs ont rendu les approches, idéales d’un point de vue théorique, plutôt populaires. Cependant, le monde a changé.  La plupart des entreprises disposent maintenant d’un soutien suffisant pour investir dans les méthodes et les pratiques informatiques modernes. Il n’est donc plus nécessaire de continuer à jouer ainsi sur le registre de la gestion des risques.

Evitons donc de compter sur des revues de qualité souvent gérées par des personnes ignorantes du contexte. Nous pouvons plutôt utiliser des pratiques d’automatisation, dans lesquelles la documentation détaillée de chaque changement est fournie par défaut. Outre l’amélioration de la qualité du service, nous disposerons alors d’une grande quantité d’informations, plus fiables. Et nous pourrons fournir ces informations aux auditeurs qui seront satisfaits.

L’option d’automatisation s’applique principalement, à priori, aux changements logiciels. Or, dans le contexte du cloud, ceux-ci incluent des éléments de gestion d’infrastructure (« infrastructure as a code »). Mais ensuite, dans quelle mesure est-il raisonnable de prendre en compte les changements logiciels individuels dans le cadre de la gestion «traditionnelle» des changements?

Le manque de confiance dans les équipes

La deuxième raison pour laquelle les CAB sont si populaires et pourtant mal utilisés est la méfiance. Derrière cela se cache aussi la nécessité de sauver ses fesses au cas où quelque chose se passerait mal. Le CAB devient alors un mécanisme pour imposer un contrôle sur des équipes de spécialistes. En effet, sinon, comment savoir si elles travaillent exactement comme on le souhaite?

Dans ce scénario, plutôt que d’utiliser le concept d’autorité de changement et de laisser les équipes les plus proches du travail prendre des décisions, toutes ces décisions sont transférées au niveau du CAB. C’est là que les responsables du responsable du responsable de l’équipe discutent et décident des changements acceptables. Même si le pouvoir décisionnel revient au CAB, c’est toujours le demandeur du changement qui est tenu pour responsable. C’est-à-dire que, si quelque chose se passe mal, le CAB pourra prétendre avoir demandé des informations complètes et justes. Alors, la raison pour laquelle des résultats inattendus sont obtenus sera qu’il disposait d’informations erronées ou incomplètes. Et, on vous expliquera que dès qu’on identifiera qui est l’individu responsable du fiasco, on s’assurera que cela ne puisse plus se reproduire…

3 – La bataille du RAP

La troisième incompréhension porte sur la confusion entre les changements et les mises en production. Mais elle renvoie également au défi que pose la portée du CAB. La gestion du changement détermine si quelque chose doit être changé et quand. La gestion des mises en production vérifie si le package de modifications, quel que soit son contenu, est prêt à être mis en production et à quel moment. Par souci de simplicité, examinons la gestion des mises en production dans le cadre de la gestion des changements…

La manière dont le CAB a été conçu dans de nombreuses organisations pour les changements liés aux logiciels est en réalité un processus d’approbation de mise en production (RAP : Release Approval Process). D’ailleurs ce processus est assez amusant. Plutôt que d’évaluer l’état de préparation à la mise en production et au déploiement (ce qui est à nouveau une tâche à effectuer, de préférence de manière automatisée avec beaucoup de retours), le RAP/CAB évalue la viabilité du changement lorsque le travail sur ce changement a déjà commencé, ou même le plus souvent, a déjà été achevé. C’est évidemment bien trop tard!

Les processus de prise de décision pour les changements (si une modification logicielle est nécessaire) et pour les mises en production (comment valider au mieux la modification) sont déconnectés et mal alignés. Dans ces organisations, la pratique de gestion du changement – bien que généralement non dénommée ainsi – s’appuie sur« le métier», et« l’informatique » et permet de prendre les commandes une fois la décision prise, de livrer ce qui était prévu (mais rarement décrit correctement), et d’assurer qu’aucune perturbation ne surviendra sur aucun service.

Il y a trop de dysfonctionnements dans ce scénario pour pouvoir les détailler et les intégrer dans cet article. Aussi, ce que je voudrais faire, c’est proposer un point de vue différent pour examiner les changements logiciels. Cela permettra peut-être de supprimer en partie la tension entre la communauté ITSM et la communauté DevOps.

Etendre le mandat

Examinons le développement logiciel agile avec intégration continue (CI: Continuous Integration) et livraison continue (CD: Continuous Delivery). En principe, nous pouvons supposer que le code injecté dans le pipeline CI / CD a été pré-approuvé. C’est-à-dire que le développeur a le mandat de travailler dessus. Il nécessite seulement de passer les contrôles de qualité (automatisés) avant d’atteindre l’environnement de production.

Cette approbation préalable ne signifie pas que quiconque a demandé que le travail de développement soit effectué soit sûr à 100% que ces changements spécifiques produiront les résultats escomptés. Pas plus que le développeur n’est totalement convaincu que le code passera les revues qualité sans problèmes. Le temps de retour pour le développeur se compte en minutes / heures. Il se compte pour le client en heures / jours / semaines, en fonction de la conception du pipeline et de la méthodologie de développement utilisée. Le délai de retour est donc extrêmement long et ne correspond pas aux besoins des métiers.

Si le client a déjà décidé qu’il souhaite le changement, cette décision doit en réalité être une décision du CAB. Mais ce n’est pas le CAB tel qu’il est mis en oeuvre habituellement. Ainsi, plutôt que d’essayer même d’évaluer manuellement chaque version logicielle en cours de traitement dans un CAB (ou RAP), les équipes chargées de la gestion des changements et des mises en production doivent alors travailler ensemble pour concevoir et améliorer le pipeline CI / CD. et des revues qualité automatisées.

Est-il raisonnable de démanteler le CAB?

Quelle que soit la conception de votre CAB actuel ou futur, la question clé à garder à l’esprit est la suivante: aide-t-il à obtenir les résultats attendus des métiers?

Une Gestion des Changements efficace ne peut pas être limitée à un portique de sécurité pour l’accès au service informatique. Cela signifie que la gestion du changement n’est pas basée uniquement sur le CAB. Le CAB n’est pas le processus de gestion des changements. C’est juste un mécanisme qui peut être utile au sein du processus. Il reste probablement beaucoup d’autres choses nécessitant une amélioration dans votre gestion du changement.

S’agissant de votre CAB, s’il s’agit d’un groupe de personnes qui ne connaissent pas les détails des changements / mises en production dont ils discutent mais qui prennent cependant des décisions en évitant de répondre de ces décisions, alors c’est clairement un CAB à éliminer d’urgence.  En effet, ce n’est pas du tout le CAB, préconisé par les bonnes pratiques, dont votre entreprise a besoin..

Mais si c’est un groupe de personnes qui peuvent conseiller sur les changements planifiés, aider à la coordination et à la hiérarchisation, et qui sont là pour aider l’organisation plutôt que leur carrière personnelle, alors conservez-le. Mais améliorez-le de façon continue également.

Vous souhaitez évaluer la viabilité des changements? Alors, vous devez le faire en vous appuyant sur des personnes qui comprennent ces changements. C’est la viabilité des Mises en Production que souhaitez évaluer? Alors, cette tâche devrait être effectuée par des personnes qui comprennent ces Mises en Production.

Pour améliorer la qualité, n’oubliez jamais que vous devez réduire les intermédiaires et automatiser autant que faire se peut.

 

Crédits : cet article est inspiré d’une publication de Kaimar Karu

COBIT 2019 : les nouveautés

A quelques jours seulement du lancement de COBIT 2019, prévu pour le 12 novembre 2018, nous vous livrons, en avant-première, quelques informations sur cette nouvelle version du référentiel de gouvernance de l’ISACA. Bien sûr nous reviendrons plus longuement sur les aspects majeurs de COBIT 2019 dans de prochains articles.

COBIT 2019 - Les nouveautés attendues
Crédit © ISACA 2019

COBIT, reconnu internationalement comme la référence en matière de bonnes pratiques de gouvernance efficace et stratégique de l’information d’entreprise et des technologies associées (GEIT),vient d’être mis à jour avec de nouvelles publications et guides pratiques facilitant une mise en œuvre sur mesure simplifiée.

Les nouveautés attendues de COBIT 2019

Une gouvernance efficace de l’information et de la technologie est essentielle pour succès commercial de toute organisation. Cette nouvelle version cimente encore davantage le rôle continu de COBIT en tant que moteur important de l’innovation et de la transformation des entreprises.

COBIT 2019 est une évolution de la version précédente du cadre de gouvernance de l’ISACA. Construire sur les bases de COBIT 5, elle intègre les derniers développements affectant l’information d’entreprise et la technologie. Mais ce n’est pas tout.

En plus de la mise à jour du référentiel, COBIT offre maintenant davantage de ressources de mise en œuvre, des conseils pratiques plus avancés, ainsi qu’un cursus de formation complet. COBIT 2019 aide entreprises à mieux gouverner et gérer l’information et la technologie là où elle se trouve.

Une opportunité de positionnement des entreprises

COBIT 2019 offre une opportunité de mieux positionner toute entreprise en favorisant sa réussite future :

  • Nouveaux processus, tous essentiels à une entreprise, offrant une couverture étendue des données, des projets et de la conformité; mises à jour de domaines tels que cybersécurité et la protection de la vie privée; liens actualisés avec les normes, directives, réglementations et meilleures pratiques. COBIT reste le cadre de référence pour toutes les activités de gouvernance de votre entreprise.
  • Un modèle «open source» est en cours d’adaptation à partir de COBIT 2019. Il permettra à la communauté internationale de la gouvernance de proposer en temps réel des commentaires et des améliorations. Ceux-ci se combineront aux autres évolutions de COBIT. Celles-ci seront publiées sur une base continue et incorporées dans le cadre de base et dans les produits dérivés. Ainsi, vos connaissances permettront la mise à jour du référentiel, lui permettant d’évoluer avec le temps. Il ne sera donc plus nécessaire de redéfinir, ré-implémenter ou redémarrer vos efforts de gouvernance à un certain moment en vous appuyant sur un modèle ou un cadre différent.
  • La mise en œuvre de COBIT 2019 est désormais plus flexible. Elle propose de nouvelles utilisations du référentiel à la fois ciblées sur la base de projets pour des situations spécifiques de résolution de problèmes ou globales pour l’adoption à l’échelle de l’entreprise dans le cadre de la transformation numérique des organisations. COBIT permet de personnaliser une solution de gouvernance adaptée aux besoins spécifiques de chaque entreprise.
  • Le nouveau cursus de formation de COBIT 2019 vous garantit un retour sur investissement maximal de votre programme de gouvernance. Il complète ainsi les formations précédentes sur COBIT 5. Il étend désormais vos activités de gouvernance à la stratégie et aux efforts d’innovation clés pour la transformation de l’entreprise. En raison de la nature évolutive de COBIT 2019, votre formation ne deviendra jamais obsolète. Par conséquent, la formation COBIT 2019 devient un investissement qui pérennise sa valeur, tout en ouvrant des voies à l’innovation. Il n’a jamais été aussi nécessaire de suivre une formation COBITL’information et la technologie constituent les « joyaux de la couronne » de toute organisation cherchant à accroître et stimuler la croissance, à créer des avantages concurrentiels et se renforcer face aux menaces et aux risques.

Les publications constituant le noyau de COBIT 2019

Le cadre de gouvernance COBIT 2019 va bien au-delà des technologies de l’information et fonctions du service informatique. La bonne gouvernance est un élément vital pour la formulation de la stratégie et succès de la transformation de l’entreprise. COBIT 2019 peut vous aider à tracer la voie du succès pour votre entreprise ainsi que pour votre carrière et votre apprentissage.

Le noyau de COBIT 2019 incluant le cadre de référence ainsi que des guides pratiques est constitué des quatre publications.

Référentiel COBIT 2019 : Introduction et méthodologie

COBIT 2019 Introduction et méthodologieLe coeur du référentiel COBIT 2019 intègre une définition élargie de la gouvernance. Il met à jour les principes COBIT tout en établissant la structure du cadre général. Les nouveaux concepts sont introduits et la terminologie est expliquée. Le modèle central COBIT et ses 40 objectifs de gestion fournissent le socle permettant d’établir votre programme de gouvernance. Le système de gestion de la performance est mis à jour. Plus flexible, il permet désormais d’utiliser à la fois des mesures de maturité et des mesures d’aptitude.  L’introduction aux facteurs de conception et aux domaines d’intervention propose des conseils pratiques supplémentaires en vue d’une adoption flexible de COBIT 2019, que ce soit pour des projets spécifiques ou pour une mise en œuvre complète. Publication annoncée pour le 12 novembre 2018.

Référentiel COBIT 2019 : Objectifs de gouvernance et de gestion

COBIT 2019 - Objectifs de gouvernance et de gestionCette publication contient la description détaillée du modèle central COBIT. Elle décrit ses 40 mesures de gouvernance et de gestion. Chaque mesure de gouvernance ou de gestion ainsi que son objet sont définis puis mis en correspondance avec les processus, les objectifs d’alignement et les objectifs d’entreprise. De fait on y retrouve les éléments essentiels de la cascade d’objectifs.

Les informations présentées ici peuvent être utilisée de la façon similaire à celles du guide COBIT 5 – Enabling processes. Publication annoncée pour le 12 novembre 2018.

 

Guide de conception COBIT 2019

COBIT 2019 - Guide de conceptionUne question m’est régulièrement posée à l’issue des formations COBIT 5 que j’anime : comment mettre COBIT en pratique? C’est la question à laquelle réponds cette nouvelle publication. Elle propose ainsi une approche prescriptive pour l’utilisateur. Vous y trouverez des conseils pratiques sur comment adapter un système de gouvernance à des circonstances et à un contexte uniques de l’entreprise. Elle définit et énumère les divers facteurs de conception et leur lien avec les nouveaux concepts COBIT 2019.  L’impact potentiel chaque facteur de conception sur la mise en œuvre d’un système de gouvernance est analysé et des recommandations de workflows pour créer le design adapté à votre organisatione sont proposées. Publication annoncée pour le 10 décembre 2018.

Guide de mise en oeuvre de COBIT 2019

COBIT 2019 - Guide de mise en oeuvreCe guide est la mise à jour de l’ancien guide d’implémentation COBIT 5. Il adopte donc une approche similaire pour la mise en œuvre. Cependant, la nouvelle terminologie et concepts de COBIT 2019, y compris les facteurs de conception, sont intégrés à ce guide. Grâce à ce guide, la mise en oeuvre de COBIT apparaît sous un angle pratique. Elle est plus adaptable aux exigences spécifiques de gouvernance de chaque organisation. Publication annoncée pour le 10 décembre 2018.

Cyber-risques : technologies émergentes et vie privée

De nouveaux cyber-risques apparaissent au fur et à mesure que des technologies émergentes arrivent sur le marché. Dans de nombreux cas les données privées sont menacées. La protection de la vie privée des individus, malgré le RGPD, est de plus en plus mise en défaut. Y a-t-il des solutions? Quelles sont les responsabilités?

Cyber-risques : Technologies émergentes (objets connectés, IoT) et protection des données personnelles et de la vie privée
Crédit © rawpixel.com 2018

Il est maintenant possible de connecter presque tous les objets. Bien sûr on pense à la montre connectée, mais il y a aussi de nombreux autres équipements concernés. Il peut s’agir d’accessoires automobiles ou d’accessoires de la maison (stores, réfrigérateur, télévision, thermostat intelligent, etc.). On ne doit pas non plus faire abstraction des drones et autres équipements médicaux tels que pacemakers ou autres. Aujourd’hui, 6,4 milliards d’appareils sont ou vont être connectés à Internet. Et si ça se passait mal? Si des pirates pouvaient avoir accès au données personnelles collectées par ces terminaux? Et même si les GAFAM (Google-Amazon-Facebook-Apple-Microsoft) récupéraient ces données et les revendaient? Et même si des cyber-criminels prenaient le contrôle de ces objets connectés? Alors, que pourrait-il advenir?

Une menace claire et omni-présente

Vous vous dites peut-être que c’est juste de la science-fiction. Et pourtant, il serait insensé de penser que les thermostats intelligents connectés à Internet ou d’autres appareils intelligents ne posent pas de problème de sécurité pour les organisations. Lors du développement d’objets connectés (IoT), l’absence de réflexion en matière de sécurité a entraîné un risque considérable pour les réseaux d’entreprises.

Selon Kaspersky Labs, 85 000 raisons très claires sont prises en compte lorsque l’on considère le coût moyen d’une attaque par déni de service distribué (DDoS) pour l’entreprise. En octobre 2016 déjà, de larges pans de l’internet sont devenus indisponibles en Europe et en Amérique du Nord. Amazon, PayPal, Netflix, Airbnb, Twitter et Visa ont figuré parmi les grands noms qui ont subi des perturbations. La cause? Une attaque DDoS contre le fournisseur Dyn. La vraie cause? Mirai.

Mirai est un logiciel malveillant qui transforme des ordinateurs utilisant le système d’exploitation Linux en bots contrôlés à distance. Ils forment alors un botnet (réseau de bots) utilisé notamment pour réaliser des attaques à grande échelle sur les réseaux. Mirai s’attaque principalement à des dispositifs grand public tels que des caméras pilotables à distance ou encore des routeurs pour la maison. En gros, il force brutalement les appareils IoT, bien que peu de force soit généralement nécessaire, à cause de mesures de sécurité rares (voire nulles). Suite à l’attaque de 2016, le botnet qui en a résulté était composé d’environ 150 000 caméras IP, de routeurs domestiques et même de moniteurs pour bébé.

Des failles de sécurité pour le moins surprenantes

La plupart des fabricants d’objets connectés (IoT) ne placent pas la sécurité au centre des préoccupations de conception. Le plus souvent , de nombreux fournisseurs et l’industrie technologique font alors porter la faute sur les utilisateurs. Il les accusent de n’avoir pas déployé suffisamment d’efforts pour sécuriser les appareils en modifiant les mots de passe par défaut. Et de leur côté, il arrive même que les fabricants fassent des erreurs majeures de sécurité. Ainsi, certains vont jusqu’à coder en dur des mots de passe faciles à deviner dans leurs appareils. C’est le monde à l’envers. Toutes les bonnes pratiques sont bafouées pour des raisons de coût essentiellement. La conséquence c’est que les cyber-risques explosent.

Des responsabilités claires des fabricants

Certes, les utilisateurs ne modifient pas toujours les mots de passe par défaut pour les rendre plus difficiles à deviner. Cela, les fabricants le savent. Alors pourquoi ne proposent-ils pas un mot de passe par défaut unique, difficile à pirater?

On peut toujours facilement reprocher aux utilisateurs de ne pas mettre à jour les systèmes avec les derniers correctifs. Mais, dans la réalité, ces mises à jour fournies par les fabricants d’objets connectés ne sont pas très fréquentes. Et elles n’arrivent généralement qu’après qu’un périphérique ait déjà été piraté. Ils sont en mode réactif et quasiment jamais en mode proactif.

Les dispositifs IoT sont conçus pour être faciles à utiliser. Ce sont aussi, souvent, des appareils destinés à être vendus à un prix attractif. La question du coût de réalisation devient donc un facteur primordial pour les fabricants. Or les compétences en sécurité sont relativement rares sur le marché et, par conséquent, relativement chères. Aussi, très souvent, la sécurité est développée par des techniciens n’ayant pas les compétences suffisantes en matière de sécurité. Au lieu de cela, il faudrait que les fabricants d’objets connectés fassent développer leurs appareils par des spécialistes de la sécurité possédant, en plus, des compétences de développement et ayant une parfaite compréhension des conséquences d’une protection insuffisante. Pas l’inverse!!

Des réglementations insuffisantes

En outre, l’industrie de l’internet des objets n’est, à ce jour, ni normalisée ni réglementée. La conséquence est une anarchie complète pour les utilisateurs finaux. Cela pourrait changer si le gouvernement tentait d’inciter les fabricants d’appareils IoT à adopter une approche de la protection de la vie privée dès la conception (Protection by Design). Les gouvernements pourraient chercher à légiférer si les fabricants d’appareils IoT n’écoutent pas les conseils. Il y a bien sûr une tentative d’évolution dans ce sens avec le RGPD. Malheureusement c’est encore insuffisant pour faire bouger les lignes au niveau des objets connectés..

L’évolution de la surface d’attaque des entreprises

Il est clair que quelque chose ne va pas dans le monde de la technologie lorsque vos utilisateurs deviennent le périmètre du réseau, étant donné le rôle qui consiste à empêcher les menaces de s’infiltrer davantage dans le réseau.

Les appareils IoT ouvrent le réseau à un éventail de risques beaucoup plus large. Ils servent de points de terminaison à sécuriser, tout en diluant les ressources assignées pour la définition classique et traditionnelle de la protection contre les menaces.

La bascule intelligente

Étant donné ce que vous ne pouvez pas faire pour empêcher la compromission des périphériques IoT, quel est le revers de la médaille? Il ne s’agit pas d’un exercice de «longueur de chaîne» comme le suggère la variété presque infinie d’appareils dont nous parlons. D’ailleurs, cette accusation de conception par des « comptables » que nous avons formulée plus tôt va, en fait déjà, commencer à tomber, dès que les vendeurs verront une opportunité du marché de fournir des produits plus sécurisés.

Attendez-vous à ce que la segmentation du réseau et l’authentification entre périphériques (si aucun cryptage de données suffisamment puissant n’est possible) figure parmi les priorités dans les listes de fonctionnalités des objets connectés.

Gardons un oeil sur le futur

Quoi que l’avenir nous apporte, vous ne devez pas perdre de vue ces objets connectés (IoT), ni même leur emplacement. Vous devez absolument savoir quels appareils vous avez, avec quoi ils se connectent et comment ils le font. Tenir un inventaire détaillé des vos actifs informationnels fait partie des bonnes pratiques de sécurité de l’information. Cependant on oublie souvent ces appareils dans la liste des actifs informationnels.

La visibilité est essentielle pour sécuriser l’IoT dans la mesure où votre entreprise est concernée. Ces points de d’accès sont les endroits où les attaquants rechercheront des vulnérabilités pour essayer de franchir le fossé entre les équipements et l’infrastructure de votre entreprise.

 

Catégories

Archives

Calendrier

décembre 2018
L M M J V S D
« Nov    
 12
3456789
10111213141516
17181920212223
24252627282930
31  
%d blogueurs aiment cette page :