Home » Gouvernance du SI

Category Archives: Gouvernance du SI

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

Introduction à COBIT 2019

L’ISACA vient de publier les deux premiers volumes de la nouvelle version de son cadre de Gouvernance et de Management de l’information d’Entreprise et des Technologies : COBIT 2019.

COBIT 2019 : le nouveau cadre de gouvernance et de management de l'I & T
© ISACA 2018

Nous vous proposons donc aujourd’hui une introduction à COBIT 2019. Cette introduction se compose de deux parties :

  • une présentation exécutive destinées aux équipes de direction. L’objectif est de mieux comprendre l’intérêt du cadre de gouvernance et de management de l’I & T,
  • les différences essentielles existant avec COBIT 5, la version précédente déjà largement adoptée dans le monde entier.

Concernant l’adoption de COBIT comme cadre de Gouvernance et de Management, mentionnons que la certification COBIT 5 Foundation fait une entrée remarquée dans les certifications qui correspondent aux meilleurs salaires en Europe en prenant cette année la 7ème place.

Présentation de COBIT 2019 et de ses nouveautés

Pour en savoir plus

Pour en savoir plus, nous vous conseillons la lecture de nos deux précédents articles COBIT 2019 – Les nouveautés ainsi que COBIT 2019 – Vos questions, nos réponses.

De plus, 2AB & Associates vous proposera début 2019 deux formations sur COBIT 2019 :

  • Une formation « Bridge » destinée aux certifiés COBIT 5 Foundation. Cette formation se déroulera sur 1 journée. Elle couvrira l’ensemble des différences entre COBIT 5 et COBIT 2019. A l’issue de cette formation, les participants pourront passer l’examen leur permettant d’obtenir la certification COBIT 2019 Foundation.
  • COBIT 2019 Foundation sans prérequis spécifiques. Cette formation d’une durée de 3 jours permet aux participants de comprendre les concepts du cadre de gouvernance et de management de l’I&T d’entreprise. A l’issue de la formation, les stagiaires passeront l’examen de certification COBIT 2019 Foundation.

Enfin, nous proposons également, sur demande, une présentation exécutive destinée aux dirigeants d’entreprises. Cette session est présentée par un de nos experts. Elle permettra donc aux participants d’échanger sur les avantages de la mise en oeuvre de COBIT 2019 dans leur organisation

Enfin, n’hésitez pas à commenter et à poser des questions à nos experts qui vous répondront en ligne. Et si vous aimez nos publications, vous pouvez bien entendu les partager sur les réseaux sociaux ou nous mettre un « like ».

Certifications et compétences qui paient en 2018

Comme chaque année, nous vous proposons un survol des certifications et compétences qui paient le mieux en 2018. Cet article s’appuie sur l’enquête annuelle réalisée par Global Knowledge sur les compétences et les salaires dans le domaine IT.

Les certifications et les compétences les mieux payées en 2018
Crédit © AdobeStock & Gwimages 2018

Notre précédent article sur les 6 certifications qui payaient le mieux en 2017 continue à être l’article plus lu de ce blog. Voici donc la version 2018 avec quelques évolutions notables. On constate un véritable glissement vers de nouvelles certifications et compétences correspondant aux meilleurs salaires. Cependant on peut constater des différences énormes selon les zones géographiques. Elles correspondent totalement à l’économie et aux besoins des entreprises dans chacune des zones. Il reste toutefois clair que les salaires sont dépendants de l’offre de compétences et de la demande régionale.

Vous courrez après les gros salaires? Cet article vous présente les certifications les mieux payées. Cependant il vous indique aussi ce que les employeurs attendent de vous et ce que cela implique. La certification ne suffit pas… C’est, pour un employeur potentiel, une assurance raisonnable quand à vos connaissances dans le cas de certifications courantes et aussi de votre compétence dans le cas des certifications professionnelles. Le recherche trois critères :

  • le savoir (sur la base de vos diplômes académiques et des vos certifications standards),
  • le savoir-faire (sur la base de vos certifications professionnelles et de votre expérience),
  • votre savoir-être sur la base de l’évaluation de votre comportement et de votre attitude (le recruteur ira chercher ces informations sur les réseaux sociaux, auprès de votre entourage professionnel et personnel).

Dans tous les cas, dites-vous que votre futur employeur vérifiera la réalité de ce que vous annoncez dans votre CV. Inutile donc de revendiquer une certification que vous n’avez pas. La vérification auprès de l’organisme émetteur de la certification révèlera immédiatement la supercherie. Cela se retournera contre vous. D’ailleurs, certains organismes de certification n’hésitent pas à porter plainte contre les fraudeurs et réclament des amendes importantes.

Certifications standards vs certifications professionnelles

Lorsqu’on parle de certification, il faut toujours bien faire attention à la signification qu’on donne aux mots. Les certifications standards sont par essence des certifications résultant de la simple réussite à un examen. C’est le cas des certifications ITIL, PRINCE2, VERISM, certaines certifications COBIT, etc. Elles se dénomment souvent Foundation, Practitioner, Intermediate ou encore Advanced. Aucune expérience dans le domaine n’est réclamée et la certification est valide sans limitation de durée.

Dans le cas des certifications professionnelles, à l’inverse, la réussite à l’examen n’est qu’une première étape. Ensuite il est nécessaire de prouver une expérience minimum de 3 à 5 ans dans le domaine concerné. L’organisme de certification effectue donc une vérification auprès des précédents employeurs de du candidat sur la valeur et la durée de son expérience ainsi que sur son attitude et son comportement. Ce n’est que lorsque cette vérification est positive que la certification est délivrée.

En général les certifications professionnelles ont une durée limitée, souvent de 3 ans. Chaque année ou chaque 3 ans, l’organisme exige la preuve que le certifié a bien suivi un nombre minimum d’heures de formation (CPD/CPE/CPU). Le certifié doit également acquitter de nouveau un montant significatif pour le renouvellement de sa certification. L’organisme de certification effectue alors, de façon aléatoire, des contrôles sur l’expérience acquise pendant les 3 ans ainsi que sur le comportement du certifié pendant cette période. A cette occasion la certification peut lui être retirée.

Parmi les certifications professionnelles, on peut citer CISA, CISM, CGEIT, CRISC, PMP, CIA, ISO 27001 Lead Implementer ou ISO 27001 Lead Auditor. Il est bien évident que les certifications professionnelles, plus « sérieuses », sont les plus recherchées par les employeurs. Ce sont donc aussi, logiquement, celles qui correspondent aux meilleurs salaires.

Les compétences les plus recherchées

Les compétences les plus recherchées sont bien naturellement celles qui paient le plus. C’est tout simplement la loi de l’offre et de la demande. Voyons ensemble les 5 domaines de compétences qui suscitent le plus de demandes en 2018. Précisons bien qu’il s’agit là de recherche de professionnels certifiés et pouvant démontrer plusieurs années d’expérience dans le domaine. Donc ce sont des domaines dans lesquels les employeurs recherchent en priorité des détenteurs de certifications professionnelles.

Notons toutefois que parmi ces 5 compétences les plus recherchées, deux certifications sont de niveau Foundation (COBIT 5 Foundation et Six Sigma Green Belt).

La cybersécurité

Comme lors des trois dernières années, les certifications en sécurité tiennent les premières places en matière de rémunération. Lorsque nous élargissons la liste aux 20 premiers, six certifications sont relatives à la sécurité an niveau mondial, y compris les deux premières places: CISSP de (ISC) 2 et CRISC de l’ISACA. Le CISM d’ISACA se classe au sixième rang mondial et au huitième rang en EMEA.

Le CISSP enregistre le salaire global moyen le plus élevé avec 70.177 € en EMEA (100.146 $ aux USA, ce qui représente une différence de plus de 27% entre les deux zones géographiques). Les professionnels de l’informatique possédant des certifications en sécurité ont tendance à avoir des salaires moyens globaux supérieurs de 15% (aux USA) à 63% (dans la région Asie-Pacifique) à la moyenne des autres certifiés.

Pour en savoir plus sur les certifications CISSP et CISM, nous vous invitons à lire notre article CISM vs CISSP : quelle certification choisir?

Le Cloud

Les certifications liées au Cloud, y compris AWS Certified Solutions Architect – Associate, ont des salaires moyens nettement supérieurs à la norme. En Amérique du Nord, le le salaire moyen du personnel informatique certifié AWS est 10% plus élevé que celui des personnels possédant une autre certification dans le Cloud et 29% supérieur au salaire moyen des professionnels IT certifiés dans un autre domaine. Toutefois, l’augmentation du salaire des professionnels certifiés en Cloud computing n’est pas limitée à ceux possédant les certifications AWS.

L’accent mis sur le nuage s’est également étendu à d’autres domaines fonctionnels. Les help-desks et les équipes de support technique recherchent activement des professionnels possédant des certifications dans le cloud computing et les réseaux.

La gestion de projet

Les gestionnaires de projets certifiés en Amérique du Nord ont également des salaires moyens au dessus de la norme. C’est particulièrement vrai pour ceux qui possèdent une certification PMP (103 406 $) par rapport à la moyenne des autres professionnels certifiés en gestion de projet, par exemple PRINCE2  (97 745 $). La tendance est beaucoup moins nette sur la région EMEA. Pour en savoir plus sur ces deux certifications, nous vous invitons à relire notre article PRINCE2 vs PMP : Quelle méthode de gestion de projet choisir?

On voit également émerger cette année une demande croissante pour les chefs de projets certifiés sur une méthode agile. Dans ce contexte c’est la certification Certified ScrumMaster (CSM) avec un salaire moyen de 98 562 $ qui tient la tête.

La gouvernance et le management

L’ISACA est une association indépendante axée sur l’adoption et l’utilisation des meilleures pratiques de gouvernance et de management de l’information et des technologies dans les organisations. L’ISACA possède six certifications dans le top 20 mondial, y compris CGEIT, CISA, CRISC et CISM . Une nette tendance se dégage également avec une demande de plus en plus forte de professionnels certifiés sur COBIT 5. Cela se traduit par un salaire moyen des professionnels certifiés COBIT 5 Foundation qui atteint maintenant 65.000 € dans la région EMEA.

Si vous vous posez des questions sur le CISA, nous vous conseillons trois articles précédemment publiés sur notre blog :

Compétences Six Sigma

La certification Six Sigma Green Belt est parrainée par l’association indépendante IASSC. C’est une certification de base sur un ensemble de techniques et d’outils d’amélioration des processus. Une tendance nette se dégage également en faveur des professionnels possédant une certification Six Sigma Green Belt qui obtiennent un salaire moyen de 99.865 $ en Amérique du Nord et de 69.000 Euros en EMEA soit une différence de 21%, la plus faible du top 20 des certifications.

Le top vingt des salaires par certification en Europe

Les résultats du classement 2018 sont extrêmement intéressants car ils montrent un changement important par rapport à 2017. La grande nouveauté est l’arrivée en force des certifications AWS (Amazon) dans les premières places du classement. A l’inverse les certifications qui monopolisaient les premières places ce dernières années subissent un fort recul (CISA, PMP). On voit également apparaître en 7ème position une certification qui fait sont entrée dans les 10 premières : COBIT 5 Foundation. Il est également à noter que cette année les certifications CISCO disparaissent complètement du classement.

Classement 2018 des 20 certifications et certifications professionnelles correspondant au meilleurs salaires en euros
Classement établi sur les salaires en région EMEA (Europe, Moyen Orient & Afrique). L’ordre est différent en Amérique du Nord.

L’autre enseignement de ce classement est la différence très importante des salaires entre la région EMEA et l’Amérique du Nord. Les salaires en EMEA sont tirés nettement vers le bas par la zone Afrique ainsi que le montre la carte suivante.

Salaires des professions IT par région du monde
Moyenne des salaires IT par région du monde – Crédit © Global Knowledge 2018

Conclusion

Ces éléments peuvent vous aider à choisir parmi les certifications disponibles celles qui vous conviennent le mieux. Bien sûr le salaire est un critère mais n’oubliez pas que la certification ne garantit pas le niveau de salaire. C’est votre compétences et votre adéquation au marché qui feront la différence.

N’hésitez pas à commenter cet article en y apportant vos témoignages sur votre expérience personnelle. Posez-nous également des questions. Nos experts se feront un plaisir de vous répondre. Si cet article vous a paru intéressant, n’hésitez pas à le partager sur les réseaux sociaux et à nous mettre un « like » si vous le souhaitez.

COBIT 2019 – Vos questions, nos réponses

Depuis la publication de notre article présentant, en avant-première, les nouveautés de COBIT 2019, vous nous avez posé de nombreuses questions. Nous vous apportons quelques réponses. Pour l’heure, nous ne pouvons pas encore tout vous dire. Soyez patients. Nous vous donnerons notre avis détaillé sur cette nouvelle version du cadre de référence en Gouvernance de l’Information dès que les deux premières publications seront disponibles sur le site de l’ISACA.

Cadre de gouvernance COBIT 2019 - Questions réponses
Crédit © rawpixel 2018

L’accélération de la transformation numérique a rendu l’information et la technologie (I&T) cruciales pour le soutien, la croissance et la durabilité des entreprises. Les conseils d’administration et les cadres dirigeants ont pu jadis déléguer, ignorer ou éviter les décisions liées à l’I&T. Cependant ils savent maintenant que cette approche est mal avisée. Ce ne sont pas uniquement les entreprises digitales qui dépendent de l’I&T pour leur survie et leur croissance. La création de valeur par les parties prenantes (c’est-à-dire la réalisation des bénéfices à un coût optimal en ressources tout en optimisant les risques) est également souvent obtenue par la digitalisation de nouveaux modèles d’affaires, grâce à des processus efficaces et à des innovations réussies.

L’I&T est maintenant totalement intégrée à la gestion des risques d’entreprise et de la création de valeur. Un accent particulier a donc été mis sur la gouvernance de l’information d’entreprise et de la technologie (GEIT) au cours des deux dernières décennies. COBIT a reflété cet accent mis sur la GEIT dans ses dernières mises à jour, aboutissant à COBIT 5. Toutefois, une nouvelle édition, dont la sortie est prévue en novembre 2018, étendra et facilitera encore cette tendance.

La nouvelle édition s’appelle COBIT 2019. Les mises à jour de COBIT ne seront dorénavant plus identifiées par des numéros de version. Au lieu de cela, elles porteront  la date de la dernière mise à jour. Cela correspond à un environnement I&T dynamique qui génère des changements à un rythme si rapide qu’il est difficile de les suivre. COBIT 2019 prend en compte ces problèmes et les résout en faisant de COBIT un cadre de gouvernance I&T dynamique pouvant être mis à jour plus rapidement, en appliquant les commentaires des utilisateurs pour qu’ils restent pertinents pour la communauté internationale des professionnels de la gouvernance.

Vos questions, nos réponses

Qu’est-ce que COBIT?

Le processus de mise à jour de COBIT a impliqué des efforts considérables pour mettre en perspective ce qu’il est et ce qu’il n’est pas. Cet article décrit chaque côté de l’équation, en commençant par ce qu’il est.

COBIT 2019 peut être décrit comme un cadre pour la gouvernance et la gestion de l’I&T des entreprises, destiné à l’ensemble de l’organisation. L’I&T d’entreprise fait référence à tous les traitements I&T mis en place par l’entreprise pour atteindre ses objectifs, quel que soit le lieu où cela se produit dans l’organisation. En d’autres termes, l’I&T d’entreprise ne se limite pas au service informatique d’une organisation, mais il est certain qu’elle l’inclut. Elle inclut aussi sans aucun doute d’autres départements tout aussi importants comme les ressources humaines.

COBIT 2019 définit les composants permettant de construire et de maintenir un système de gouvernance : politiques, processus et procédures, structures organisationnelles, flux d’informations, compétences, infrastructure, culture et comportements. Celles-ci étaient appelées «facilitateurs» (« enablers » en anglais) dans COBIT 5. Il définit également les facteurs de conception que l’organisation doit prendre en compte pour créer un système de gouvernance parfaitement adapté.

Il aborde les problèmes de gouvernance en regroupant les composants de gouvernance pertinents dans des domaines prioritaires pouvant être gérés aux niveaux de maturité requis.

Qu’est-ce que COBIT n’est pas?

Après avoir décrit ce qu’est COBIT 2019, il est important de définir ce qu’il n’est pas. Cela implique de tordre définitivement le cou à certaines idées fausses au sujet de COBIT, telles que :

  • COBIT 2019 ne décrit pas complètement l’environnement I&T d’une organisation.
  • Ce n’est pas un cadre pour organiser les processus métier.
  • Ce n’est pas un cadre technique (informatique) pour gérer toutes les technologies.
  • Il ne prend ni ne prescrit aucune décision liée à l’informatique. Par exemple, il ne répond pas aux questions telles que: quelle est la meilleure stratégie informatique? Quelle est la meilleure architecture? Combien devrait coûter l’informatique? Au lieu de cela, il définit tous les composants qui décrivent quelles décisions doivent être prises, comment et par qui elles doivent être prises.

Pourquoi le logo a-t-il changé?

COBIT 5 a été publié en 2012, ce qui fait presque 7 ans. Depuis cette époque, d’autres cadres et les normes ont évolué, créant un paysage différent. L’émergence de nouvelles technologies et les tendances business en matière d’utilisation des technologies de l’information (transformation numérique, DevOps, par exemple) n’étaient pas intégrées dans COBIT 5. Un réalignement était donc nécessaire.

Pour rester pertinent, il est impératif que COBIT continue d’évoluer, ce qui nécessitera des mises à jour plus fréquentes et plus fluides. Dans le nouveau logo, la flèche rouge symbolise cette notion d’évolution continue. De plus, pour assurer un contrôle efficace des versions, toutes les mises à jour futures comporteront l’année correspondant à la publication la plus récente.

Quelles sont les publications de COBIT 2019 et quand seront-elles disponibles?

La famille de produits COBIT 2019 est n’est pas limitée aux produits qui seront prochainement publiés. Le développement de nouvelles orientations, formations et ressources pour soutenir la famille de produits COBIT 2019 sera continuellement évaluée en fonction de la demande du marché. Ce développement sera géré en cohérence avec les autres produits de l’ISACA.

Disponibles le 12 novembre 2018

  • Cadre COBIT 2019: Introduction et méthodologie – Introduction aux concepts clés de COBIT 2019.
  • Cadre COBIT 2019: Objectifs de gouvernance et de gestion. Cette publication décrit de manière exhaustive les 40 objectifs fondamentaux en matière de gouvernance et de gestion, les processus qu’ils contiennent, et d’autres composants connexes. Ce guide fait également référence à d’autres normes et référentiels du marché.

Disponibles le 10 décembre 2018

  • Guide de conception COBIT 2019: Conception d’une solution de gouvernance de l’information et de la technologie. Ce guide explore les facteurs de conception pouvant influencer la gouvernance. Il inclut un flux d’activités afin de planifier un système de gouvernance sur mesure pour l’entreprise.
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une solution de gouvernance de l’information et de la technologie. Ce titre représente une évolution du Guide de mise en œuvre de COBIT 5.  Il propose l’élaboration d’une feuille de route pour l’amélioration continue de la gouvernance. Il peut être utilisé en combinaison avec le Guide de conception COBIT 2019.

Les publications COBIT 2019 seront-elles gratuites pour les membres ISACA?

Dans le cadre de l’engagement de l’ISACA d’apporter une valeur optimale à ses membres, le téléchargement au format PDF des quatre publications principales de COBIT 2019 suivantes seront gratuites pour les membres :

  • Cadre COBIT 2019 : Introduction et méthodologie
  • Cadre COBIT 2019 : Objectifs de gouvernance et de gestion
  • Guide de conception COBIT 2019 : Conception d’une solution de gouvernance de l’information et de la technologie
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une Solution de gouvernance de l’information et de la technologie

De plus, les membres de l’ISACA recevront des réductions exclusives sur l’achat de publications imprimées. Pour en savoir plus, consultez le site de ‘ISACA : http://www.isaca.org/COBIT.

COBIT 2019 est-il aligné avec les autres normes et cadres internationaux?

L’un des principes directeurs appliqués tout au long du développement était de maintenir son positionnement de COBIT 2019 en tant que cadre général de gouvernance. Ainsi, il continue de s’aligner sur un certain nombre de normes, cadres et / ou réglementations pertinents. COBIT 2019 comprend des références et s’aligne sur des concepts provenant d’autres sources. Par exemple COBIT 2019 est aligné, entre autres, sur ITIL, ISO 27001, ISO 20000, DEVOPS, PRINCE2, PMBOK, TOGAF, COSO, SFIA, etc..

Dans ce contexte, l’alignement signifie que :

  • COBIT 2019 ne contredit aucune indication des référentiels et normes correspondants,
  • Le cadre COBIT 2019 ne copie pas le contenu de ces référentiels et normes associés,
  • COBIT 2019 fournit des conseils ou références équivalents aux normes et référentiels correspondants.

Une liste complète des normes et guides pratiques utilisés dans le cadre du développement de COBIT 2019 est fournie dans la présentation PPT intitulée  COBIT® 2019 Overview. Celle-ci, en anglais, est disponible dans la boîte à outils COBIT 2019 sur le site de l’ISACA. Cette liste figure également dans la publication Cadre COBIT 2019 : Introduction et méthodologie.

Y aura-t-il un cursus de formation de certification COBIT 2019?

Un nouveau parcours de formation et de certification sera proposé dès le début 2019. COBIT 2019 est un cadre en évolution continue. En conséquence, l’ISACA continuera en permanence à évaluer le marché et à proposer de nouveaux modules de formation. Les premier modules seront disponibles selon le calendrier suivant :

Janvier 2019 : Atelier de transition COBIT 5 vers COBIT 2019 (1 journée)

Ce cours de transition d’une journée présente les concepts, les modèles et les définitions clés du nouveau cadre en mettant l’accent principalement sur les différences majeures entre COBIT 2019 et COBIT 5.

Janvier 2019 : Formation et certification COBIT 2019 Foundation (3 jours)

Développée pour préparer les participants à l’examen de certification COBIT 2019 Foundation, cette formation plongera dans le contexte, les composants, les avantages et les principales raisons pour lesquelles utiliser COBIT en tant cadre de gouvernance de l’information et des technologies en entreprise.

Avril 2019 : Formation et certification COBIT 2019 Conception et mise en oeuvre (3 jours)

Cette formation de 3 jours prépare les participants à l’examen de certification COBIT 2019 Design and Implementation. Les participants apprendront comment concevoir un système de gouvernance parfaitement adapté au contexte de leur entreprise en s’appuyant sur le cadre de gouvernance de l’ISACA.

Où puis-je me former et passer les certifications?

La formation ainsi que les examens de certification seront disponibles à partir de janvier 2019. Vous pourrez y accéder via les canaux suivants:

  • Centres de formation accrédités par ISACA (via APMG ou Peoplecert);
  • Chapitres ISACA;
  • Conférences ISACA et ateliers pré-conférence;
  • Programme de formation sur site d’ISACA.

Pour ce qui nous concerne, 2AB & Associates sera accrédité par l’ISACA dès le lancement des modules de formation. Nous avons d’ores et déjà commencé le développement des trois modules initiaux prévus par ISACA. Les premières sessions COBIT 2019 Bridge et COBIT 2019 Foundation sont déjà à notre calendrier dès janvier 2019. Nous proposons également pour les personnes déjà certifiées COBIT 5 Foundation un atelier d’une journée leur permettant de faire la transition de leur certification actuelle vers la nouvelle version.

Nous organisons également, à la demande, des présentations d’une demi-journée destinées aux dirigeants des entreprises. N’hésitez pas à consulter le site www.2abassociates.fr ou www.2abassociates.ca pour en savoir plus.

Les programmes de formation COBIT 2019 remplaceront-il les formations COBIT 5?

ISACA continuera à soutenir l’accréditation et la délivrance de la formation et du cursus de certification COBIT 5. Ainsi, la formation COBIT 5 continuera à cohabiter avec la formation COBIT 2019. Il ne serait donc par judicieux de remettre votre formation COBIT à plus tard en attendant le nouveau cursus de formation/certification. Tout au contraire, nous vous invitons à profiter de notre offre promotionnelle sous forme de package Formation et certification COBIT 5 Foundation + atelier de transition vers COBIT 2019.

Les publications COBIT 5 resteront-elles disponibles en 2019?

L’ISACA continuera de soutenir les nombreuses organisations gouvernementales et  non gouvernementales qui, depuis 2012, ont mis en oeuvre COBIT 5. Tous les guides COBIT 5 (et produits dérivés) vont donc rester disponibles pour téléchargement ou achat en ligne. De plus, tous les produits, ressources et programmes de formation COBIT 5 resteront disponibles (parallèlement à COBIT 2019).

Quelles sont les différences entre COBIT 2019 et COBIT 5?

COBIT 2019 offre une plus grande flexibilité et une plus grande ouverture pour améliorer la pertinence dans le temps de COBIT.

  • L’introduction de nouveaux concepts tels que les domaines de focalisation et les facteurs de conception permet de proposer des bonnes pratiques pour adapter un système de gouvernance aux besoins de l’entreprise.
  • La mise à jour de l’alignement sur les normes, les cadres et les meilleures pratiques améliore la pertinence de COBIT.
  • Un modèle de type «open source» permettra à la communauté mondiale de la gouvernance de contribuer aux futures mises à jour  en apportant des commentaires, en partageant des applications et en proposant des améliorations au
    cadre et aux produits dérivés en temps réel. De la sorte, de nouvelles évolutions de COBIT pourront être publiées sur une base cyclique.
  • De nouvelles orientations et de nouveaux outils soutiennent l’élaboration d’un système de gouvernance optimal. Cela rend donc COBIT 2019 plus prescriptif.

ITIL – 5 erreurs majeures de mise en oeuvre

Vous suivez les réseaux sociaux? Vous discutez avec des responsables informatiques dans des entreprises, comme je le fais chaque jour? Alors nul doute que vous entendez beaucoup de critiques vis à vis d’ITIL. Pas assez agile. Sa mise en oeuvre coûte très cher aux entreprises. Difficile de convaincre le management d’obtenir les ressources nécessaires. Depuis l’implémentation d’ITIL, on est moins performants qu’avant. Toutes ces critiques sont souvent justifiées. Malheureusement, elles sont souvent la conséquence d’erreurs majeures dans l’implémentation des bonnes pratiques proposées par ITIL.

ITIL : 5 erreurs majeures de mise en oeuvre
Crédit © rawpixel 2018

En tout état de cause, qu’il s’agisse de mauvaise compréhension des « meilleures pratiques » de gestion des services informatiques ou de difficultés de mise en oeuvre, le risque est toujours le même. L’informatique est devenue un outil indispensable au fonctionnement des entreprises. Une informatique qui fonctionne mal ou qui n’est pas alignée sur les besoins des métiers constitue un risque important pour les opérations. Ce premier article recense 5 erreurs parmi les plus importantes mais aussi les plus courantes lorsqu’on veut s’appuyer sur ITIL.

Erreur N°1 : Vouloir réaliser l’implémentation d’ITIL

La pire erreur de toutes est probablement d’essayer de réaliser la «mise en oeuvre» d’ITIL. ITIL est un cadre de bonnes pratiques et, par conséquent, n’est pas destiné une mise en oeuvre en l’état dans une organisation. La règle, souvent incomprise, c’est qu’on ne fait jamais l’implémentation d’ITIL. D’ailleurs, chaque publication ITIL explique bien que chaque pratique est destinée à être «adoptée et adaptée». On doit réaliser l’implémentation de processus spécifiques à chaque Entreprise. Et on le fera en s’appuyant sur les bonnes pratiques préconisées par ITIL. ITIL devrait être vu comme un recueil de conseils. Ce sont seulement des exemples génériques dont vous devez tirer des leçons. Si on essaie d’appliquer à la lettre ces conseils sans tenir compte du métier de l’entreprise, de sa culture et des ressources disponibles, on est assuré de l’emmener au mieux dans une impasse, et au pire à un désastre.

La dernière publication parue à ce jour, ITIL Practitioner, a été publiée en 2015. Elle décrit un ensemble de lignes directrices pouvant vous aider à adopter et à adapter les principes d’ITIL. Ces principes incluent des idées telles que «se concentrer sur la valeur», «rester simple» et «progresser de manière itérative». Si vous utilisez ces principes pour vous guider dans l’adoption et l’adaptation d’ITIL aux besoins de votre organisation, vous n’irez jamais trop loin dans l’erreur. Et même, vous avez réellement de grandes chances d’atteindre vos objectifs.

Erreur N° 2 : Se focaliser uniquement sur les processus

La plupart des gens imaginent qu’ITIL concerne uniquement les processus. Ils s’efforcent donc d’optimiser ces processus, de les rendre plus efficaces et de veiller à ce que chacun atteigne ses objectifs. Is oublient alors l’essentiel. Aucun processus ne se fonctionne dans le vide. Donc, si vous voulez être efficace, vous devez avoir une vue d’ensemble de l’entreprise. Il vous faut donc absolument conserver une vision holistique de l’organisation. En aucun cas, vous ne devez vous limiter seulement à ce qui est écrit dans une publication ITIL ni au seul département informatique..

La notion de création de valeur

ITIL a pour objectif de vous aider à créer de la valeur pour vos clients. Cela signifie que chaque fois que vous améliorez un processus, l’amélioration réalisée doit être axée sur l’amélioration pour vos clients, et pas seulement sur l’amélioration du processus pour lui-même. Demandez-vous donc si vous pouvez expliquer à vos clients le but d’une amélioration en des termes qui ont du sens pour eux. Si la réponse est «non», essayez de trouver ce qui cloche.

N’oubliez jamais que l’informatique ne crée aucune valeur directement. Les services informatiques ne servent qu’à aider les métiers de l’entreprise. Ce sont eux qui sont créateurs de valeur grâce à leurs clients. Vos processus doivent donc les aider à être plus performants vis à vis de ceux-ci. Ainsi, au quotidien, lorsque je travaille avec mes clients, je documente toujours l’objectif de haut niveau de chaque processus. Et je le fais dans des termes qui ont du sens pour les clients des métiers. Par exemple, «la gestion du changement garantira que les changements vont du développement aux opérations en temps voulu pour répondre aux besoins de l’entreprise». Je peux alors travailler avec mon client pour l’aider à optimiser ses processus de gestion du changement de manière à répondre à ses attentes. Ce qui est, en fait, exactement ce que les meilleures pratiques ITIL me conseillent de faire.

Les facilitateurs de la création de valeur

Pour réussir à créer de la valeur, les processus ne suffisent pas. Il faut bien sûr que les processus soient opérés par des ressources humaines. Ces ressources humaines doivent elles-mêmes être organisées en structures au seins de l’entreprise. Il est donc essentiel de ne pas se limiter aux processus mais de travailler en même temps sur les ressources humaines et sur les structures organisationnelles, au minimum.

Erreur N° 3 : Se focaliser sur les outils

La troisième grande erreur que je rencontre est celle des organisations informatiques qui pensent qu’un outil de gestion des services informatiques peut obliger les équipes à se conformer aux bonnes pratiques ITIL. Ils reconnaissent qu’ils ne gèrent pas les incidents, les problèmes et les changements aussi bien qu’ils le souhaiteraient. Alors ils décident que le meilleur moyen de résoudre ce problème est d’acheter un nouvel outil, qui résoudra tous leurs problèmes.

Bien entendu, ce nouvel outil n’a que très peu d’utilité, à moins que l’organisation ne définisse d’abord ce qu’elle tente d’obtenir et ce qu’elle devra faire pour s’assurer que c’est ce que l’outil fournit. Lorsqu’un nouvel outil ITSM est simplement configuré pour prendre en charge toutes les mauvaises pratiques de travail qui posaient problème avec l’ancien outil, l’organisation ne va pas tarder à attribuer au nouvel outil des problèmes qui ne peuvent être résolus qu’en intégrant de meilleures pratiques de travail.

Un nouvel outil ITSM ne vous aidera à vous améliorer que si vous avez correctement préparé le terrain. Comprenez-vous les améliorations dont vous avez besoin dans vos processus, relations, compétences, votre organisation et les autres domaines de gestion des services informatiques?

Erreur N° 4 : Assigner une personne à chaque rôle

ITIL décrit de nombreux rôles. Par exemple, chaque processus définit le rôle d’un propriétaire et d’un gestionnaire du processus, ainsi que de nombreux autres rôles spécifiques. Il est courant de penser que chaque rôle ITIL doit correspondre à un titre de poste unique. Habituellement, il est alors courant de le confier à une seule personne qui devra répondre aux objectifs du rôle. Dans ces circonstance, il sera alors nécessaire de disposer d’un grand nombre de ressources humaines. De plus, cela aura pour conséquence des  personnes essayant de faire des choses similaires avec beaucoup trop peu de collaboration. Il est clair que ce schéma est très inefficient.

Voyons ce que ITIL dit réellement sur les rôles.


Les rôles sont souvent confondus avec les postes, mais il est important de réaliser qu’ils ne sont pas identiques. Chaque organisation définira les intitulés de poste et les descriptions de poste correspondant à ses besoins, et les détenteurs de ces intitulés de poste peuvent jouer un ou plusieurs des rôles requis.


Il est donc essentiel de ne pas confondre les notions de poste et de rôle.

Erreur N° 5 : Lancer un « énorme » projet de mise en oeuvre

Il y a de nombreuses années, avant que les informaticiens aient entendu parler d’Agile, un projet typique d’ITIL pouvait impliquer une équipe de plusieurs consultants qui prendraient deux ans ou plus pour documenter les processus, configurer les outils ITSM, former le personnel et «mettre en œuvre» le nouvel outil aligné sur ITIL. La première fois que quelqu’un tirait parti de la solution, ce serait quelques semaines avant la fin du projet. C’est à dire longtemps après avoir lancé le projet. Et encore, dans la plupart des cas, le projet n’arrivait jamais à ce stade. Il était arrêté avant cela après avoir gaspillé beaucoup de ressources et cassé des choses qui fonctionnaient…

Aujourd’hui, même les entreprises informatiques qui utilisent encore une approche en cascade pour le développement de logiciels n’adoptent plus cette approche pour améliorer l’ITSM. Les experts ITIL savent que toute amélioration des services informatiques peut être réalisée de manière progressive.

Alors, établissez d’abord une vision partagée de ce que vous essayez d’atteindre. Cela vous permettra de faire un premier petit pas vers votre objectif. Ensuite, prenez ce que vous avez appris de cette première étape pour planifier et exécuter la suivante. N’essayez pas de documenter chaque étape avant de commencer. Au contraire, continuez à apprendre et à vous améliorer et vous continuerez à vous rapprocher de votre vision.

Conclusion

Voici donc 5 erreurs absolument majeures que vous risquez de commenter lors de l’implémentation de votre gestion des services IT. Vous vous reconnaissez dans l’une d’entre elles ou même dans plusieurs? Alors ne vous étonnez pas si les métiers de l’entreprise considèrent que l’informatique coûte très cher et ne leur apporte pas grand chose en terme de valeur.

Malheureusement, il y a bien d’autres erreurs courantes que vous risquez de commettre. Dans une deuxième partie qui sera publiée prochainement, nous étudierons 5 autres erreurs d’implémentation.

Vous avez vous-même une expérience de mise en oeuvre qui n’a pas apporté les résultats escomptés? N’hésitez pas à commenter cet article et à lancer le débat. ITIL n’est-il pas un cadre de bonnes pratiques issues du terrain?

Cybersécurité : la résilience, chaînon manquant de votre stratégie

A l’heure de la transformation numérique des organisations, la stratégie de cybersécurité est un sujet sur toutes les lèvres. Dans le même temps, on n’entend quasiment jamais prononcer le mot résilience. Pourtant, la résilience devrait être le pilier majeur de toute stratégie de réduction des risques. Essayons donc de décrypter les raisons de cette anomalie et d’en identifier les risques.

Résilience, le chaînon manquant de votre stratégie de cybersécurité
Crédit © rawpixel.com 2018

Et tout d’abord, il convient de situer la cyber-résilience par rapport à la cybersécurité. Dans les deux cas, il s’agit de répondre aux cyber-risques. Un risque se caractérise par une probabilité de survenance et par un impact (sous forme de conséquences) lors de la réalisation du risque. Dans tous les cas, la stratégie des risques a pour objet d’aligner le niveau des risques au seuil de tolérance de l’Organisation. Cela se fait en mixant la réduction de la probabilité et de l’impact. Bien sûr, la stratégie des risques couvre tous les risques de l’Entreprise et parmi ceux-ci, on aura les cyber-risques.

La réduction de la probabilité de survenance des évènements de sécurité sera essentiellement réalisée grâce à des mesures se situant en amont. On parlera de mesures préventives. On est là dans le domaine de la sécurité. Les mesures de sécurité sont essentiellement de 3 types :

  • préventives
  • de détection (pour détecter l’incident lorsqu’il se produit),
  • correctives pour corriger le système et revenir à une situation acceptable (incluant l’activation d’un plan de continuité ou PCA).

A côté de ces aspects, se pose le problème de la réduction de l’impact et de l’après-crise. Il s’agit donc de répondre à la question « comment pouvons-nous survivre si un tel incident se produit? ». En d’autres termes il s’agit de planifier ce qu’il convient de faire pour réduire les impacts lorsqu’un incident se sera produit. On est là dans le domaine de la résilience.

L’expérience de l’année écoulée

Il y a tout juste un an, l’été 2017 a montré très concrètement à quoi pouvait ressembler des cyber-attaques mondiales. Ce fut le cas notamment avec NotPetya. Un an plus tard, les conséquences du « ransomworm » ne sont toujours pas complètement terminées. Le groupe Merck a annoncé fin novembre 2017 que cette cybe-rattaque lui coûterait environ 600 millions de dollars sur l’exercice 2017 ! Mais, en additionnant les dernières annonces, le seuil des 2 milliards de perte est clairement plus réaliste. C’est la première fois qu’un tel impact est recensé pour un incident cyber. Ce changement de dimension mobilise aujourd’hui enfin les directions générales et les conseils d’administration. Et ce n’est pas trop tôt! Ils sont maintenant demandeurs de moyens pour limiter les impacts de telles attaques. Mais ils sont aussi en attente sur la posture à adopter lorsqu’un cas réel se présentera.

Les mesures préventives de cybersécurité ne suffisent clairement plus à empêcher les cyber-risques de se réaliser. Il est désormais évident que la technologie n’est pas le rempart infranchissable que tout le monde imaginait. La cyber-criminalité est devenue une véritable industrie qui progresse plus rapidement que les moyens de protection ne se développent.

Cyber-résilience : les actions clés

Une cyber-attaque majeure peut être destructive ou entraîner une perte de confiance dans les systèmes clés. Le premier réflexe pour une majorité d’entreprises est alors d’activer le plan de continuité d’activité (PCA). Celui-ci constitue un élément majeur de la stratégie de résilience des organisations. L’objectif est d’assurer la survie de l’organisation lorsque surviennent des sinistres d’ampleur entraînant l’indisponibilité de ses actifs clés. Il peut s’agir de moyens informatiques, d’infrastructures de communication ou d’immeubles voire de collaborateurs.

Or les cyber-attaques majeures, destructives comme Wannacry ou NotPetya, ou provoquant une perte de confiance dans les infrastructures (réseau, gestion des accès, gestion du parc…) telles que les attaques ciblées en profondeur, ne sont pas prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers sont focalisés sur un enjeu de disponibilité. Ils n’appréhendent pas les problématiques de destruction simultanée et de perte de confiance dans le SI induites par les cyber-attaques.

En effet, les dispositifs de continuité du SI sont plus souvent liés aux ressources qu’ils protègent. Ils sont donc également affectés par ces attaques. Depuis plus de dix ans, les dispositifs de continuité (utilisateurs ou informatiques) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud ». Le double objectif de cette approche est à la fois de répondre aux exigences de reprise rapide et d’une meilleure exploitabilité. Mais, de fait, le lien entre le SI nominal et son secours rend les dispositifs de continuité vulnérables aux cyber-attaques.

Des dispositifs de continuité vulnérables

À titre d’exemple, suite à l’attaque NotPetya, l’idée d’utiliser les postes de secours présents sur le site de repli a très rapidement été évoquée dans le cadre d’une gestion de crise. Malheureusement ceux-ci partageaient les mêmes systèmes de gestion de parcs et les mêmes vulnérabilités. Ils donc avaient été logiquement détruits de la même manière que les sites nominaux. Les investissements et les efforts investis dans les dispositifs de continuité ont semblé, à ce moment, très vains.

Enfin il reste les sauvegardes comme dernier rempart. Etablies sur une base souvent quotidienne ou hebdomadaire, elles constituent, pour la plupart des organisations, le dispositif de dernier recours pour reconstruire le SI.

Dorénavant, il n’est pas rare de faire face à une intrusion qui date de plusieurs mois. Bien que la  détection soit récente, dans ce cas, les sauvegardes embarquent de fait les éléments malveillants. Il peut s’agir de malwares par exemple, mais aussi de modifications déjà opérées par les attaquants.

De plus, la continuité en tant que telle des systèmes de sauvegarde est bien souvent négligée. Lors de plusieurs cas de gestion de crise sur NotPetya, les serveurs gérant les sauvegardes avaient eux-mêmes été détruits. Les restaurer a souvent nécessité plusieurs jours vu leur complexité et leur imbrication dans le SI.

S’agissant des SI industriels, les constats sont tout aussi alarmants. Les systèmes numériques industriels sont résilients à des pannes techniques ou des incidents mécaniques anticipés. En revanche, ils n’ont que rarement intégré, dès leur conception, les potentialités d’une malveillance humaine et ils ne disposent souvent pas de mécanismes de sécurité avancés. La longueur de leur cycle de vie (souvent plusieurs dizaines d’années) les expose à l’exploitation de vulnérabilités anciennes. Enfin l’indépendance des chaînes de contrôle  vis-à- vis des systèmes numériques qu’elles supervisent n’est pas toujours respectée.

Des leçons tirées de l’expérience

Il s’avère que lors du déroulement d’une crise, le cycle est souvent identique. Les écueils rencontrés sont quasiment toujours les mêmes. Il convient donc de tirer les leçons de cette expérience.

Gestion de crise en cas de cyber-attaques : les écueils rencontrés
Crédit © Wavestone 2017

Des scénarios d’attaques récurrents

Destruction massive ou indisponibilité d’une grande partie du SI

Ce type de cyber-attaques, concrétisé au travers des cas Wannacry et NotPetya, entraîne généralement une indisponibilité massive du fait du chiffrement des fichiers de données et/ou du système d’exploitation. Les sociétés touchées par des attaques de ce type (parmi lesquelles Merck, Maersk, Saint Gobain, Fedex… mais aussi Sony Pictures ou Saudi Aramco) ont perdu jusqu’à plus de 95% de leurs systèmes d’information (des dizaines de milliers d’ordinateurs et de serveurs) en un délai souvent inférieur à 1h.

La situation au démarrage de la crise est alors très difficile. En effet, il n’y a plus aucun moyen de communication et d’échange au sein de l’entreprise, y compris au sein de la DSI. Les victimes ont communiqué sur des pertes atteignant plusieurs centaines de millions d’euros suite à ces attaques.

Compromission et perte de confiance dans le SI

Il s’agit d’attaques ciblées ne remettant pas en cause le bon fonctionnement du système. Elles visent par contre à donner aux attaquants l’accès à l’ensemble des systèmes de l’entreprise (messagerie, fichiers, applications métiers…). Elles leur permettent d’usurper l’identité de n’importe quel employé et de réaliser des actions en leur nom. Les attaquants peuvent ainsi atteindre tout type de données ou réaliser des actions métiers nécessitant plusieurs validations successives.

Ces cyber-attaques ont touché de très nombreuses entreprises dans tous les secteurs. Les conséquences sont souvent des fraudes massives, comme celles ayant touché la banque du Bangladesh. Il peut aussi s’agir de vols de données financières et de paiements. Ce fut le cas de celles ayant touché plusieurs groupes de distribution aux Etats-Unis dont Target ou encore Home Depot.

La situation au démarrage de ce type de cyber-crise est extrêmement complexe. La raison réside dans la conjugaison de plusieurs éléments aggravants : perte de confiance dans le système d’information et flou grandissant sur les actions et objectifs. Il faut alors investiguer discrètement jusqu’à pouvoir déloger l’attaquant et reconstruire un système sain. Les victimes de ces attaques ont également fait état d’impacts financiers atteignant plusieurs centaines de millions d’euros.

La résilience passe par une bonne gestion de crise

Les crises cyber sont des crises très particulières. Elles sont souvent longues (plusieurs semaines). Elles sont parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?). Elles impliquent des parties prenantes externes, elles-mêmes souvent peu préparées sur ce sujet (avocats, huissiers, autorités, fournisseurs, voire les clients…). Il est donc indispensable d’ajuster les dispositifs existants qui n’ont pas été conçus pour intégrer cette dimension particulière.

Acteur opérationnel de la gestion de la crise cyber, la DSI ne doit pas être sur-mobilisée sur l’investigation et la défense. Cela se ferait au détriment de la production et du secours. Cet aspect constitue un point d’anticipation important à ne pas négliger. Il s’agit donc d’identifier clairement les équipes à mobiliser sur la crise et d’organiser les interventions parallèles d’investigation et de construction du plan de défense.

Au-delà de l’aspect organisationnel, il faut s’assurer de disposer également de l’outillage d’investigation (cartographie, recherche de signature de l’attaque, SI de gestion de crise indépendant, capacité d’analyse de malware inconnu…), d’assainissement (capacité de déploiement rapide de correctifs, isolation en urgence de portions non touchées du SI, isolation réseau…) et de reconstruction (accès rapide aux sauvegardes, accès aux documentations minimum de reconstruction, support des fournisseurs clés, capacité à réinstaller massivement des postes de travail…) requis pour comprendre la position de l’attaquant, stopper sa propagation et faire repartir au plus vite l’activité.

La rédaction d’un guide de gestion de crise, définissant les étapes structurantes, les responsabilités macroscopiques et les points de clés de décision sera un plus. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faudra faire face à la crise, la réalisation d’exercices de crise sera un bon révélateur de la situation réelle.

Les dispositifs de continuité doivent être repensés

Des solutions les plus simples…

Les dispositifs de continuité doivent également évoluer pour s’adapter aux cyber-menaces. Les solutions possibles sont nombreuses. Elles peuvent toucher tous les types de dispositifs de continuité. Le plan de reprise utilisateur peut intégrer par exemple la mise à disposition de clés USB avec un système alternatif. Les collaborateurs pourraient l’utiliser en cas de destruction logique de leur poste de travail.

Certaines organisations ont fait le choix de provisionner des volumes de postes de travail de remplacement directement avec leurs fournisseurs de matériel afin de les installer rapidement en cas de destruction physique.

A des solutions très complexes et coûteuses…

Le plan de continuité informatique peut inclure de nouvelles solutions pour être efficace en cas de cyber-attaques. La plus emblématique vise à construire des chaînes applicatives alternatives. Il s’agit de « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. C’est une solution extrême, très coûteuse et difficile à maintenir. Elle est envisagée pour certaines applications critiques dans le monde de la finance notamment.

A des solutions intermédiaires mais suffisantes

D’autres solutions moins complexes sont envisagées. Il s’agit par exemple de l’ajout de contrôle fonctionnel d’intégrité dans le processus métier. Son concept repose sur la réalisation de contrôles réguliers, à différents niveaux et à différents endroits dans la chaîne applicative. Ceci permet de détecter rapidement des attaques qui toucheraient par exemple les couches techniques (modification d’une valeur directement dans une base de données) sans avoir été réalisées par les actions métier classiques (via les interfaces graphiques). Ces mécanismes peuvent aussi s’appliquer aux systèmes d’infrastructures, par exemple en réconciliant les tickets de demande de création de compte d’administration avec le nombre de comptes réellement dans le système.

D’un niveau de complexité intermédiaire, il est possible d’envisager la définition de zone d’isolation système et réseau que l’on peut activer en cas d’attaques et qui vont isoler les systèmes les plus sensibles du reste du SI. Le SI industriel pourra, à ce titre, constituer à lui seul, une de ces zones d’isolation vis-à-vis du reste du SI.

Cyber-résilience et cybersécurité doivent être imbriqués

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas eux-mêmes déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Risk Manager  — ou, s’il est désigné, son Responsable du Plan de Continuité d’Activité (RPCA) — sera alors un plus. Il est aujourd’hui communément acquis qu’il est impossible de sécuriser des systèmes à 100%. Il faut donc accepter la probabilité d’occurrence de cyber-attaques. C’est à ce moment-là que le Risk Manager ou le Responsable du PCA prendra tout son rôle.

Il est très clair que la résilience est un pilier majeur de votre stratégie de cybersécurité. A ce titre il convient de l’y intégrer dès la conception. Mais il vous appartient également de convaincre votre conseil d’administration de la réalité des cyber-risques et de la nécessité de la mise en oeuvre de mesures de résilience.

Comment s’y prendre concrètement?

Nous ne le répétons, jamais assez, mais deux bonnes pratiques de base sont absolument nécessaires.

Inutile de réinventer la roue : appuyez-vous sur ce qui existe

Il serait vain de partir d’une feuille blanche. Inspirez-vous des bonnes pratiques du marché. A cet effet, AXELOS a publié une référentiel de bonnes pratiques en matière de résilience des SI : RESILIA. Complémentaires d’ITIL, ces bonnes pratiques vous aideront à compléter vos processus existants afin d’y incorporer la planification de la résilience de votre SI

Faite monter vos collaborateurs en compétence, formez-les

La réponse aux cyber-attaques nécessite une préparation minutieuse et du personnel formé et efficace. A cet effet, 2AB & Associates vous propose des formations sur RESILIA (RESILIA Foundation et RESILIA Practitioner) ainsi que des formations sur la continuité des activités (Business Continuity Foundation et ISO 22301 Lead Implementer). Nous vous proposons également une formation indispensable pour mieux évaluer et planifier la réponse aux cyber-risques : ISO 27005 Risk Manager.

Et bien sûr, nos experts sont à votre disposition pour répondre à vos commentaires.

Transformation numérique : les conseils d’administration sont-ils prêts?

Les conseils d’administration (CA) devraient être impliqués dans la direction et le leadership de la transformation numérique de leur organisation, en prenant en considération les scénarios de risque non négligeables associés à cette mutation.

Transformation numérique : les conseils d'administration sont-ils prêts
Crédit © image par rawpixel.com

Le rôle du Conseil d’Administration de toute organisation est de s’assurer pour le compte des parties prenantes de l’Entreprise, de la création de valeur sous forme de bénéfices, tout en optimisant les risques et les ressources. Selon COBIT, le référentiel de Gouvernance publié par l’ISACA, cela passe par trois phases. La première consiste à évaluer les besoins de chacune des parties prenantes. La seconde est de prendre une décision en terme de direction à suivre par le management. Enfin, la troisième étape consiste à surveiller la performance et le progrès réalisé par l’Organisation dans la direction donnée.


«Les conseils d’administration jouent un rôle essentiel dans le processus de transformation numérique en apportant expertise, jugement, scepticisme sain et souci de la valeur à long terme.» (Deloitte)


Malheureusement les conseils d’administration ne sont pas encore prêts à superviser les technologies de l’information.  Ils le sont donc d’autant moins en ce qui concerne la transformation numérique de leur Organisation. En effet, non seulement «plus de 80% des CA pourraient ne pas avoir les compétences et les connaissances nécessaires pour gérer efficacement la technologie des entreprises et réaliser des gains stratégiques et des rendements financiers au niveau de l’entreprise» mais, de plus, les cadres mondiaux de gouvernance d’entreprise (COSO par exemple) ne font encore aucune référence significative au leadership numérique du CA.

La transformation numérique a cependant des impacts extrêmement importants sur le fonctionnement des Organisations. Le degré de focalisation requis pour garantir que la transformation numérique se concrétise comme prévu est donc très  élevé. Quels sont les problèmes à surmonter dans la structure des conseils d’administration si les organisations qu’ils supervisent doivent être durables dans le cadre de la transformation digitale actuelle? Les comités stratégiques IT du CA constituent un moyen clé de mieux superviser et contrôler la transformation numérique.

La gouvernance du SI a encore trop de mal à trouver sa place

Selon une étude du Gartner, jusqu’à 85% des projets en technologies de l’information échouent. Les défaillances informatiques détruisent la valeur pour les actionnaires en gaspillant des ressources. Ces défaillances font échouer des opportunités business et détruisent ainsi la valeur que les services informatiques auraient pu créer. Il ne fait aucun doute que ce taux d’échec continuera, voire augmentera, pour les initiatives de transformation numérique.

Une évolution dans le bon sens depuis dix ans

Le besoin de conseils d’administration ayant des compétences en technologies de l’information s’impose de plus en plus au niveau mondial. Cela leur permet d’atténuer les risques d’échec technologiques. C’est tout particulièrement important lorsque le succès stratégique et la pérennité de l’entreprise dépendent de la réussite de son informatique. La figure suivante illustre l’évolution de la gouvernance du SI ces dernières années.

L'évolution de la gouvernance du SI depuis 10 ans
Crédit © 2018 ISACA

L’exception chez les « gaulois réfractaires »

Cette gouvernance formelle du SI se matérialise de plus en plus par un comité stratégique informatique. C’est une préconisation phare de COBIT, le cadre de Gouvernance du SI publié par l’ISACA en 2012. C’est également une tendance forte dans les très grandes organisations qui ont souvent des comités stratégiques. Du moins dans les pays anglo-saxons…

conseil d'administration : l'exception chez les gaulois réfractaires

Lors d’une récente conférence destinée aux administrateurs au Canada, le consensus a été que les comités stratégiques informatique sont encore largement méconnus dans ce pays. Ils sont également ignorés dans la quasi totalité des pays francophones Européens (France, Belgique, Luxembourg) et encore plus en Afrique. A l’inverse on trouve de plus en plus souvent un comité stratégique IT dans les entreprises des pays anglophones. Est-ce à dire que l’absence de gouvernance du SI est une caractéristique liée à la langue Française? Serait-ce le syndrome du « Gaulois réfractaire » évoqué par le Président Macron récemment? Je ne saurais répondre mais le constat est hélas factuel. C’est d’autant plus inquiétant pour l’avenir économique des ces pays à l’heure de la transformation numérique mondiale.

Les conseils d’administration de l’ère digitale doivent s’adapter

Lors d’un récent congrès d’administrateurs de sociétés, une question des organisateurs portait sur le comité stratégique informatique. De façon très décevante, la réponse quasi-unanime des participants était que ni l’ampleur de leurs dépenses informatiques ni la contribution de l’informatique au risque opérationnel n’avaient été jugées suffisamment importantes pour justifier la création d’un comité stratégique distinct. C’est là une preuve supplémentaire de la totale déconnexion des membres des conseils d’administration de la réalité du changement en cours au niveau mondial. Peut-être est-ce dû au fait que, à ce jour, les conseils d’administration peuvent apparaître comme ayant fait du bon travail de gouvernance dans des entreprises de premier plan sans aucune expertise en TI dans leurs rangs? En tout cas, il y a beaucoup de choses derrière cette réponse totalement inadéquate.

D’autant que ce sont ces mêmes membres du conseil d’administration qui parlent publiquement de la transformation numérique et de l’innovation numérique! Ils sont donc apparemment inconscients de l’impact organisationnel énorme et des risques que comporte une telle mutation, qui, par définition, inclut les TI. Ce risque augmente significativement lorsque les membres du CA ne reconnaissent pas leurs responsabilités dans la gouvernance du SI.

L’évolution nécessaire de la composition du CA

Aux Etats Unis, la plupart des membres des conseils d’administration sont indépendants. C’est là une conséquence directe de la loi Sarbanes-Oxley (SOX) depuis 2002. D’ailleurs, dans le S & P 500, Spencer Stuart constate que 85% des administrateurs sont indépendants depuis 2007. Une autre conclusion intéressante de cette étude porte sur l’âge moyen de ces administrateurs qui était de 63,1 ans en 2017. En France, selon l’AGEFI, l’âge moyen des administrateurs des sociétés du CAC40 est de 58,9 ans en 2017. Il apparaît en légère hausse par rapport à 2016. Seulement 68% des membres des CA du CAC40 sont indépendants selon le même rapport de l’AGEFI en 2017.

Un problème de compétence, mais pas seulement

Une question que le Forum Economique Mondial pose aux administrateurs est de savoir si leur conseil d’administration possède des compétences numériques, multigénérationnelles et une expertise suffisante pour donner des conseils sur des sujets commerciaux et technologiques en évolution rapide. En ce qui concerne la sensibilisation au digital, Mckinsey constate que peu de CA ont une expertise numérique suffisante. Difficile donc d’avoir des échanges significatifs sur ce sujet important avec la direction à l’ère de la transformation digitale. Par ailleurs, avec une moyenne d’âge de 63,1 ans (59,9 ans en France), il est difficile de qualifier le conseil d’administration moyen de multigénérationnel.

 L’âge moyen des membres du conseil d’administration en question

Cela complète les conclusions d’une enquête menée par le Harvard Law School Forum impliquant 860 administrateurs de sociétés publiques. De nombreux membres du conseil d’administration ne sont pas à l’aise avec la supervision informatique car, avec un âge moyen de 63,1 ans:

  • L’expérience professionnelle de la plupart des membres du conseil d’administration est antérieure à l’ère de la transformation digitale des organisations;
  • Très peu d’administrateurs ont simplement des connaissances de base en technologies de l’information.

Ce n’est donc pas que les conseils d’administration en général ne souhaitent pas une gouvernance informatique accrue. C’est plutôt que les administrateurs en place n’ont tout simplement pas les compétences ou l’expérience nécessaires pour comprendre pourquoi ou quand ils ont besoin de gouvernance informatique ou même d’un comité stratégique informatique. Les conseils d’administration peuvent-ils être négligents en n’ayant pas de compétences en informatique à bord et, par conséquent, ne pas être en mesure de poser des questions approfondies de supervision des TI au-delà des questions d’audit générales du comité d’audit? La réponse est «non», les conseils ont le devoir fiduciaire d’avoir un minimum de compétence en informatique.

Le vice-président du Comité d’Hygiène et de Sécurité du CA de Delta Air Lines a bien résumé la situation :


Les conseils d’administration doivent être préparés avec les compétences, la technologie et les processus appropriés. Hélas, la plupart des CA échouent sur la majorité ou la totalité de ces exigences.


Dans le cadre de la transformation digitale de l’économie, il est temps que les actionnaires repensent la façon dont ils votent pour les membres du CA lors de leurs assemblées générales annuelles (AGO).

Le périmètre de la transformation digitale mal compris

L’une des clés pour mieux comprendre l’approche des administrateurs est l’écoute de leurs remarques face aux technologies de l’information. Le mot spécifique qu’ils utilisent le plus souvent, c’est «dépenser» (coût). Or le coût est plus en adéquation avec l’informatique opérationnelle qu’avec la transformation numérique. Cela signifie que les membres des conseils d’administration  semblent voir l’informatique uniquement sous l’angle des coûts opérationnels. Ils n’ont pas une approche incluant aussi les  opportunités. C’est pourquoi ils trouvent acceptable de «gouverner» l’informatique par le biais du comité d’audit. S’appuyant sur les constatations citées à la figure 1, la gestion des TI au sein du comité d’audit n’est pas satisfaisante. C’est d’autant plus vrai lorsque la transformation numérique est un objectif stratégique de l’Entreprise.

Lors d’une discussion récente que j’avais avec un administrateur d’une grande société Française cotée au CAC40 et figurant parmi les leaders mondiaux de son domaine, il me disait « La transformation numérique? C’est juste de la technologie. Et la technologie suivra toujours ». Cela révèle pour le moins une incompréhension du périmètre de la transformation numérique par ceux-là même qui doivent la superviser. Ce n’est clairement pas de bon augure pour les organisations concernées.

Cette approche uniquement basée sur les coûts est aujourd’hui largement dépassée. Elle suggère qu’il n’y a peut-être pas de véritable transformation digitale dans ces organisations. Cela va à l’opposé des commentaires publics apparemment tournés vers l’avenir des membres du conseil d’administration.

Cybersécurité, compétitivité, intégration stratégique et transformation numérique

L’informatique a longtemps été beaucoup plus axée sur la durabilité organisationnelle et le positionnement stratégique que sur le coût de l’automatisation des processus. Bien sûr, le conseil d’administration continue de devoir s’intéresser à la gouvernance. Il est cependant peu probable que de nombreux administrateurs soient en mesure de discerner le rôle de l’informatique dans la réalisation des préoccupations de Deloitte concernant la création de valeur à long terme.

Recommandations aux actionnaires et aux membres du CA

La gouvernance du système d’information, pilotée par KING III, ISO / IEC 38500 et COBIT, a été formalisée depuis 2008 au moyen de la norme ISO / IEC 38500. Si l’informatique est simplement opérationnelle dans une organisation, la gouvernance informatique ne doit pas dépasser la charte des coûts du comité d’audit et risque. Mais si l’activité de l’Entreprise dépend de façon stratégique de son informatique, y compris dans un contexte de transformation digitale, alors, conformément à la norme ISO / IEC 38500, le conseil d’administration a trois responsabilités principales:

  • Evaluer continuellement les performances informatiques dans le cadre de la stratégie organisationnelle;
  • Réorienter continuellement l’informatique si ses performances compromettent la stratégie de l’organisation;
  • Surveiller en permanence les performances informatiques pour s’assurer que la stratégie de l’entreprise sera livrée aux actionnaires.

Un outil efficace : le comité stratégique TI

Les problèmes business critiques tels que celui évoqué dans cet article prennent beaucoup de temps pour être résolus. Il est donc nécessaire de réagir efficacement. La création d’un comité stratégique TI est indubitablement un outil efficace pour y remédier. Incontestablement, le sujet des systèmes d’information a depuis longtemps dépassé les domaines d’audit et de risque de base. Des organisations importantes telles que Wallmart en ont tiré les conséquences. Ainsi Wallmart s’est doté d’un comité stratégique TI dédié au niveau du conseil d’administration. Il ne faut surtout pas croire hâtivement qu’un comité stratégique TI est technique. Ce n’est pas du tout le cas. Les responsabilités énumérées dans le paragraphe précédent, ainsi que des sujets tels que la compétitivité, la transformation et la durabilité fondées sur l’informatique, sont clairement stratégiques.

Bien que la gouvernance informatique ait continué à se développer au cours de la dernière décennie et soit devenue la gouvernance du SI, le chemin à parcourir est encore long. Non seulement il n’ya pas de discussion majeure sur le leadership numérique au sein des cadres de gouvernance d’entreprise au niveau mondial, mais les administrateurs ne semblent pas encore avoir les aptitudes et les compétences nécessaires pour gérer correctement les initiatives de transformation numérique.

Une nécessité : le renouvellement des conseils d’administration

Que peut-on faire dans cette situation? En règle générale, les administrateurs sont élus lors de l’assemblée générale annuelle (AGO) par les actionnaires. Dans les organisations où la durée du mandat est limitée, les administrateurs devraient être renouvelés et bénéficier de nouvelles perspectives sur le rôle et les risques. en transformation numérique. Les actionnaires détiennent généralement une partie du pouvoir nécessaire pour remplacer les administrateurs actuels au sein des conseils d’administration. Ils ont par conséquent des moyens d’action sur les membres du CA. Ils peuvent donc s’assurer que les administrateurs possèdent des connaissances de base en informatique.

La question est de savoir si ils le veulent vraiment ou si les facteurs générant des gains à court terme (croissance du prix des actions) sont plus importants que la viabilité à long terme. Ces deux objectifs sont totalement incompatibles. Et c’est là que se situe une partie du problème.

Restons positifs malgré tout

On commence, dans certaines entreprises, à apercevoir une lueur au bout du tunnel. Quelques Organisations, auprès desquelles j’interviens comme conseil, ont unanimement considéré que la durabilité par le biais de la transformation numérique exige plus qu’un simple créneau dans les ordres du jour plus larges des comités d’audit ou des risques.

Au lieu de cela, dans le contexte de la transformation digitale, le service informatique mérite un degré de gouvernance spécialisé qui ne peut lui être accordé que par le biais d’un comité stratégique informatique dédié. C’est une première étape encourageante. Il faut maintenant oeuvrer pour que cela se développe et se généralise. C’est en s’appuyant sur des cadres de gouvernance tels que COBIT ou ISO 38500 qu’on a quelques chances d’y parvenir. Malheureusement cette mutation est très lente. Et pas sûr que les conseils d’administration aient le temps d’évoluer avant que la situation ne devienne critique.

Cybersécurité : rôle et responsabilités du Conseil d’Administration

Les cyber-menaces sont complexes et en constante évolution. Elles peuvent aussi causer d’importants dommages financiers et de réputation à une Organisation. De plus, il n’y a aucun moyen d’être protégé à 100%. C’est pourquoi la cybersécurité ne relève plus uniquement des services informatiques. Les Conseils d’Administration sont les premiers responsables de la survie de leur organisation et, dans le monde interconnecté d’aujourd’hui, la cyber-résilience fait partie intégrante de cette responsabilité. Cela signifie que le Conseil d’Administration à un rôle actif à jouer et doit assurer ses responsabilités en matière de cybersécurité.

Cybersécurité : rôle et responsabilités du Conseil d'Administration
Crédit © image by rawpixel.com

En charge de la Gouvernance de leur Organisation, les Conseils d’Administration s’assurent de l’optimisation des risques et des ressources. Dans un monde en pleine transformation digitale, ils devraient donc considérer le cyber-risque comme prioritaire. Ceci implique qu’ils devraient jouer un rôle de leader en matière de cybersécurité au sein de leur Entreprise. Dans ce cadre, voici donc quelques responsabilités en matière de sécurité informatique qui leur incombent directement.

Principes de base en matière de cyber sécurité

COBIT, référentiel de bonnes pratiques en gouvernance des Entreprises, définit un certain nombre de principes de base pour gouverner une Organisation. Le Manuel de l’Administrateur sur la surveillance des risques lés au cyber espace, publié aux USA par L’Association Nationale des Administrateurs de Sociétés (NACD) définit également le rôle et les responsabilités du C.A. en matière de cybersécurité. Cinq principes se dégagent. Ces principes de base sont universels. Ils s’appliquent à toute Organisation, publique, privée ou même à but non lucratif, quelles que soient sa taille, son domaine d’activité ou sa localisation. Ils devraient donc être pris en considération par  tous les C.A. afin d’améliorer leur surveillance des cyber-risques.

1 – La cybersécurité est une problématique d’Entreprise et non une problèmatique technologique

Les administrateurs doivent comprendre et aborder les questions de la cybersécurité en tant que sujet de gestion des risques à l’échelle de l’entreprise, et pas uniquement en tant que sujet informatique.

Il est toujours aussi surprenant de constater combien d’entreprises associent encore la sécurité des informations ou la cybersécurité à l’informatique. Certes, la plupart des signalements d’incidents de sécurité proviennent de l’informatique, Mais on ne peut pas s’y limiter car les impacts se font sentir à l’échelle de toute l’organisation. Les compétences requises pour gérer les risques et traiter les problèmes doivent donc se situent au niveau global de l’organisation. Le Conseil d’Administration doit comprendre que tout miser sur la technologie est une grave erreur.  C’est d’ailleurs la cause sous-jacente d’un grand nombre de violations majeures.

2 – Comprendre les implications juridiques et réglementaires des cyber-risques

Les administrateurs doivent comprendre les implications légales et réglementaires des cyber-risques dans la mesure où ceux-ci se rapportent au caractère spécifique de leur Organisation.

Avec la fonction vient la responsabilité. La direction et le conseil d’administration sont considérés comme responsables ultimes des cyber-risques. Ces derniers mois, de nombreux piratages importants se sont produits et, dans de nombreux cas, ils ont perdu leur poste. Gregg Steinhafel, Président du Conseil d’Administration et Directeur Général de Target, a été contraint de démissionner de toutes ses fonctions à la suite de la violation massive des données de l’Entreprise en 2013. Et plus récemment, le Directeur Général d’Equifax, Richard Smith, a du démissionner à la suite de l’important piratage informatique qui a compromis les données d’environ 143 millions d’Américains.

3 –  S’appuyer sur l’expertise adéquate et mettre la cybersécurité à l’orde du jour

Les conseils d’administration devraient avoir un accès adéquat à l’expertise en matière de cyber-risques et de cybersécurité. D’autre part, les discussions sur la gestion des risques informatiques devraient faire l’objet d’une point régulier à l’ordre du jour des réunions du conseil. Il est également très important de pouvoir accorder un temps suffisant aux discussions sur ce sujet important. Il est de plus en plus courant de voir des membres du conseil d’administration qui ont un bagage technologique ou en sécurité. Cette expertise peut vraiment aider à sensibiliser les autres administrateurs. C’est la prise de conscience qui permet de gagner la bataille contre les cybercriminels.

4 – Mettre en oeuvre un cadre de sécurité pour l’Entreprise doté de ressources suffisantes

C’est la responsabilité du Conseil d’Administration de s’assurer de la mise en place d’un cadre de gestion des risques au niveau de l’Entreprise. La Direction doit être en charge de sa mise en oeuvre, de sa surveillance et de son suivi. Il est essentiel que le Conseil d’Administration lui donne les ressources nécessaires pour atteindre cet objectif. Ces ressources devront comprendre le personnel adéquat, les budget et les outils et technologies indispensables.

Pour la définition du cadre de risques, il est toujours plus facile d’appuyer sur des référentiels existants et éprouvés. Ainsi aux USA, il sera pertinent de s’appuyer du le référentiel NIST CSF. Ce cadre a été élaboré par le  National Institute of Standards and Technology . Il a pour but de permettre aux organisations – indépendamment de la taille, du degré de cyber-risque ou de la sophistication de la cybersécurité – d’appliquer les principes et les meilleures pratiques de gestion des risques à l’amélioration de la sécurité et de la résilience des infrastructures critiques. En Europe, NIST CSF est quasi inconnu. On pourra utiliser comme base de travail les normes ISO 27001 (Systèmes de management de la sécurité de l’information) et ISO 27005 (Gestion des risques liés à la sécurité de l’information).

Il existe de nombreuses autres sources également très intéressante pour l’élaboration de votre cadre de risque. Parmi celles-ci, vous  pouvez également  vous appuyer sur la publication COBIT for risk de l’ISACA.

Une chose est sûre : il est inutile de réinventer la roue!!!

5 – Identifier les risques, prioriser, définir l’approche et planifier

La discussion du conseil d’administration sur les cyber-risques devrait inclure l’identification des risques à éviter, à accepter, à atténuer ou à transférer par le biais de l’assurance, ainsi que des plans spécifiques associés à chaque approche.

Une gestion efficace du risque de cybersécurité nécessite une compréhension de l’importance relative des actifs de l’entreprise afin de déterminer la fréquence à laquelle ils devront être examinés pour détecter les expositions au risque. Ce n’est pas une tâche simple. Il faut beaucoup de réflexion et d’efforts, ainsi qu’une grande expertise en cybersécurité.

Exigences légales et réglementaires

Les industries les plus matures ont également des directives et des exigences réglementaires sectorielles en ce qui concerne les responsabilités en matière de cybersécurité du conseil d’administration. C’est par exemple  cas du secteur financier et bancaire. Certaines exigences réglementaires et légales sont aussi à l’étude au niveau des états. Parmi ces réglementations présentant des exigences en matière de sécurité des informations, on peut citer le RGPD.

Le RGPD (ou GDPR en Anglais) est la réglementation européenne sur la protection des données personnelles. Elle s’impose à toute Organisation publique ou privée traitant les données personnelles de citoyens européens. Le RGPD comporte plusieurs exigences précises en matière de cybersécurité des données personnelles. Le non respect de cette réglementation expose l’Organisation contrevenante, quelle que soit sa localisation dans le monde à une amende pouvant atteindre 4% de son chiffre d’affaire mondial avec un minimum de 20 millions d’Euros. La conformité réglementaire et légale est une responsabilité de la Gouvernance. Il s’agit donc d’une responsabilité du Conseil d’Administration. Déjà plusieurs Entreprises ont été sanctionnées en France par la CNIL pour non conformité au RGPD. Et, à chaque fois, il s’agissait de problématiques liées à la sécurisation de données dans leur système informatique.

Responsabilités du Conseil d’Administration

Le Conseil d’Administration assure la responsabilité de Gouvernance de l’Organisation. Gouverner une organisation consiste à s’assurer de la création de bénéfices pour les parties prenantes en optimisant les risques et les ressources. Ceci peut être représenté par le diagramme suivant extrait de COBIT.

Responsabilités de la Gouvernance et du Management - COBIT
Crédit © 2012 ISACA

Le Conseil d’Administration a pour responsabilité d’évaluer les bénéfices attendus, les risques et les ressources nécessaires (Evaluate). Il devra, suite  à cette évaluation, donner l’orientation à suivre (Direct). Il a également la responsabilité de surveiller la performance et les progrès réalisés (Monitor).

Evaluer les besoins, les risques et les ressources

Une évaluation de la posture de la cybersécurité est une première étape utile pour toute organisation qui souhaite identifier sa position actuelle en matière de cybersécurité, ses faiblesses, les risques encourus et ce qu’elle doit entreprendre pour augmenter son niveau de maturité. C’est là une étape importante pour permettre à toute organisation de renforcer ses défenses en matière de cybersécurité. Le Conseil d’Administration pourra dès lors prioriser les risques et fournir une feuille de route concrète à la Direction.

En quoi consiste votre posture de cybersécurité?

Selon le National Institute of Standards and Technology (SP 800-128 de NIST), une posture de cybersécurité se rapporte à «l’état de sécurité des réseaux, informations et systèmes d’une entreprise basé sur des ressources de sécurité de l’information (personnes, matériel, logiciels, stratégies). ) et des capacités en place pour gérer la défense de l’entreprise et réagir à mesure que la situation change ».

En d’autres termes, votre posture de cybersécurité indiquera à quel point votre entreprise est saine et cyber-résiliente. Elle indiquera à quel point l’organisation peut se défendre contre les cyberattaques, les violations et les intrusions. Définir votre posture de cybersécurité est donc important. En effet, cela guidera toute votre stratégie de cybersécurité, déterminera vos projets et influencera vos dépenses en la matière au fil des ans.

Signification des niveaux de maturité

  • Un niveau de maturité faible de la cybersécurité faible signifie généralement des défenses faibles. L’organisation  court donc un risque élevé. Elle nécessite par conséquent des améliorations significatives à plusieurs niveaux pour renforcer sa posture de cybersécurité et protéger ses actifs essentiels contre les violations et les intrusions.
  • Si le niveau de maturité est moyen c’est généralement indicatif de défenses de cybersécurité moyennes. L’organisation a alors pris plusieurs mesures pour sécuriser ses actifs critiques. Elle est cependant toujours en danger et il reste encore beaucoup à faire.
  • Un niveau de maturité élevé indique généralement de solides défenses. Cela signifie que l’organisation a mis en œuvre les stratégies, processus et procédures nécessaires pour optimiser sa posture de cybersécurité. Elle est conscients de ses actifs critiques et est préparée à faire face à des incidents de sécurité en toute confiance.

Donner l’orientation à la haute direction

Le Comité Stratégique IT

Le Conseil d’Administration définit l’orientation concernant l’utilisation de l’informatique par l’Organisation. Le Conseil d’Administration doit approuver le plan stratégique informatique, le programme de sécurité de l’information et les autres politiques liées aux TI. Pour ce faire, le Conseil d’Administration peut créer un  comité stratégique en charge des problématiques IT. Ce Comité Stratégique IT sera présidé par un membre du Conseil et aura notamment les responsabilités suivantes :

  • Examiner et approuver un plan stratégique informatique qui s’aligne sur la stratégie d’entreprise globale;
  • Promouvoir une gouvernance informatique efficace;
  • Superviser les processus d’approbation des fournisseurs tiers de l’organisation;
  • Superviser et recevoir des mises à jour sur les principaux projets informatiques, les budgets informatiques, les priorités informatiques et les performances informatiques globales;
  • Approuver les politiques à appliquer et signaler les incidents de sécurité importants au conseil d’administration;
  • Superviser l’adéquation et l’allocation des ressources informatiques pour le financement et le personnel;
  • Tenir la direction responsable de l’identification, de la mesure et de l’atténuation des risques informatiques;
  • Assurer une couverture d’audit indépendante, complète et efficace des contrôles informatiques.

Le recours à des sous-traitants pour la fournitures de certains services

Le Conseil d’Administration et la haute Direction devraient établir et approuver des politiques fondées sur les risques pour régir le processus d’impartition. Les politiques devraient reconnaître le risque pour l’Organisation d’externaliser les relations. Elles devraient également être adaptées à la taille et à la complexité de l’Organisation. Les facteurs que les Entreprises devraient envisager sont les suivants:

  • S’assurer que chaque relation d’impartition appuie les exigences globales et les plans stratégiques de l’organisation;
  • S’assurer que l’organisation dispose d’une expertise suffisante pour superviser et gérer la relation;
  • Evaluer les prestataires potentiels en fonction de la portée et de la criticité des services externalisés;
  • Adapter le programme de surveillance des prestataires de services à l’échelle de l’entreprise en fonction des évaluations des risques initiales et continues des services externalisés;

Surveiller la performance de l’organisation et les progrès

L’audit

  • Le Conseil dAdministration et la haute direction ont la responsabilité de veiller à ce que le système de contrôle interne de l’établissement fonctionne efficacement;
  • Le Conseil d’Administration devrait s’assurer que des directives écrites pour la conduite des audits informatiques ont été adoptées;
  • Le Comité d’Audit (sous la responsabilité du C.A.) est chargé d’examiner et d’approuver les stratégies d’audit (y compris les politiques et les programmes) et de surveiller l’efficacité de la fonction d’audit.

 

Cybersécurité : comment convaincre le Conseil d’Administration

A l’heure où les Entreprises entreprennent leur transformation digitale, le risque en matière de Cybersécurité s’accroit de jour en jour et une question se pose : comment sensibiliser et convaincre le Conseil d’Administration d’adopter une stratégie en matière de cybersécurité?

Stratégie de cybersécurité : comment convaincre le Conseil d'Administration?
Crédit © Image by rawpixel.com

Lorsqu’il s’agit de mettre en œuvre une stratégie de cybersécurité à l’échelle de l’entreprise, les responsables de la sécurité, tels que les RSSI, les directeurs informatiques ou les gestionnaires des risques, ont souvent les mains liées. Ressources et budgets insuffisants, incompréhension du risque au plus haut niveau sont leur lot quotidien. Il leur faut donc tout d’abord convaincre le Conseil d’Administration de la criticité du sujet. C’est en effet le Conseil d’Administration qui exerce la responsabilité de gouvernance de l’Entreprise. C’est donc lui qui priorise les risques et définit les ressources qu’il autorise pour atteindre les bénéfices attendus par les parties prenantes de l’Organisation.

Heureusement, la cybersécurité est désormais passée de la sphère technique à la salle du conseil au cours de ces dernières années. Aussi, de plus en plus de membres du conseil d’administration comprennent l’importance d’une bonne cybersécurité dans l’environnement numérique actuel. Il faut dire aussi que beaucoup d’Entreprises ont renouvelé leurs conseils d’administration avec des administrateurs plus jeunes et plus au fait des problématiques de sécurité de l’information.


La stratégie de cybersécurité doit être décidée par le Conseil d’Administration, exécutée par le Comité de Direction et devenir la propriété des premières lignes de l’Organisation. (Help Net Security)


Néanmoins, environ 87% des membres du Conseil d’Administration et des cadres supérieurs n’ont pas confiance dans le niveau de cybersécurité de leur organisation.

Vous êtes RSSI ou responsable de la mise en œuvre des stratégies de sécurité pour votre organisation? Alors il est très probable que vous serez amené à présenter vos propositions au Conseil d’Administration. Et vous devrez le faire d’une manière claire, pertinente et convaincante. Nous allons donc vous donner quelques pistes pour mieux sensibiliser les administrateurs à l’urgence d’agir en la matière.

Cybersécurité : comment convaincre votre Conseil d’Administration?

Nous vous proposons 10 bonnes pratiques à suivre pour expliquer la cybersécurité à votre conseil d’administration afin d’obtenir l’adhésion nécessaire pour sécuriser votre entreprise. Il ne s’agit pas là d’une liste exhaustive et vous devrez, sans aucun doute l’adapter en fonction des priorités de votre Organisation. Il s’agit seulement de 10 pratiques éprouvées par nos experts dans le cadre de leurs missions auprès des Entreprises :

  1. Apprenez à bien connaître les membres du CA
  2. Banissez les termes techniques
  3. Appuyez-vous sur des exemples réels
  4. Alignez-vous sur la stratégie business globale
  5. Concentrez-vous uniquement sur les points importants
  6. Adoptez une approche basée sur la gestion des risques
  7. Expliquez clairement ce que vous essayez de réaliser
  8. Argumentez en vous appuyant sur des chiffres significatifs et justes
  9. Proposez des solutions concrètes
  10. Démontrez le retour sur investissement

Apprenez à bien connaître les membres de votre Conseil d’Administration

Quel que soit votre secteur d’activité, la taille de votre entreprise ou son niveau de maturité en matière de cybersécurité, une présentation réussie dépendra de votre connaissance du public. Assurez-vous donc de vous familiariser vous-même avec chacun des membres du conseil avant d’entrer dans la salle. Apprenez à connaître leurs antécédents, leur position respective et leur influence dans l’organisation. Comprenez aussi leurs points sensibles et leur approche globale vis à vis de la sécurité et des risques. Plus vous en saurez sur les membres du conseil, plus il sera facile de les comprendre. Et cela vous permettra de les convaincre plus facilement avec des arguments qui leur parleront.

Au minimum, essayez d’en savoir un peu plus sur le président du Conseil d’Administration, ainsi que sur les présidents des comités suivants:

  • Comité de sécurité,
  • Comité des Risques et de la Conformité.

Banissez les termes techniques

Plus vous utiliserez des termes simples et mieux les membres du Conseil d’Administration comprendront votre présentation.

Il y a fort à parier que,votre CA ne soit pas très familier avec les termes, les outils et les technologies de sécurité. Pour vous assurer que vous pouvez être compris et faire passer votre message, banissez les termes techniques. Concentrez plutôt votre discours sur des principes et des scénarios faciles à comprendre. Remplacez les termes tels que les attaques  de type SIEM, DDoS et MITM par des concepts universels tels que la gestion des risques, les cyberattaques et les principes de sécurité.

Abordez les sujets qui intéressent les administrateurs tels que :

Appuyez-vous sur des exemples réels

Tout point que vous voudrez aborder doit être appuyé par un exemple concret. Cela aidera les membres du conseil à comprendre l’essence de ce que vous dites.

Par exemple, le niveau de maturité en matière de l’entreprise en matière de cybersécurité pourrait être présenté avec une échelle de feux tricolores simple allant du vert au rouge en passant par l’orange. L’impact de certaines cyber-menaces peut être souligné par des articles récents montrant les conséquences. Ainsi, par exemple, il peut s’agir des coûts résultant de l’absence de mise en oeuvre des mesures de cybersécurité appropriées.

Si ce n’est pas suffisant, appuyez vous sur des études de cas réels. Choisissez  des organisations similaires à la vôtre. Vous pourrez ainsi montrer comment les stratégies de cybersécurité ont aidé à sécuriser d’autres organisations contre les violations et les intrusions.

Alignez-vous sur la stratégie business globale de votre Organisation

Quelle que soit la conviction de votre proposition, elle sera inutile si elle ne correspond pas à la stratégie globale de l’organisation. Vous n’êtes pas là pour discuter des difficultés inhérentes à la gestion de vos opérations de sécurité. Votre CA ne s’intéresse qu’à la stratégie de haut niveau de l’entreprise. Aussi chaque décision sera probablement basée sur la manière dont elle aidera l’organisation à atteindre ses objectifs business.

Avant de parler aux administrateurs, assurez-vous de vous familiariser avec la stratégie et les objectifs globaux de l’entreprise. Faites ainsi valoir vos arguments en faveur de l’atteinte ces objectifs.

Concentrez-vous uniquement sur les points importants

Rappelez-vous que votre CA ne se réunit que de façon périodique et que son temps est précieux. C’est pourquoi votre présentation doit se concentrer uniquement sur les éléments critiques. N’incluez jamais des informations « intéressantes à avoir » mais non essentielles. Si vous éliminez le superflu votre CA appréciera votre respect pour son temps. Il se rappellera ainsi d’autant mieux les points essentiels que vous souhaitez faire passer.

Adoptez une approche basée sur la gestion des risques

Les entreprises ont des ressources limitées pour gérer leurs risques et le CA est le garant de leur optimisation. L’une des priorités majeures du Conseil d’Administration est de s’assurer que les risques pour l’Organisations sont correctement gérés. Lors de votre présentation, vous devez vous assurer que votre stratégie de cybersécurité aura un impact durable sur l’Entreprise. Concentrez-vous donc sur les principales stratégies qui peuvent vous aider à améliorer votre situation en matière de cybersécurité et à renforcer vos défenses contre les menaces et les intrusions.

En adoptant une approche de gestion des risques, vous serez mieux compris des administrateurs. C’est un des sujets auxquels ils sont très sensibles et qu’ils maîtrisent parfaitement.

Expliquez clairement ce que vous essayez de réaliser

En introduction essayez de bien faire comprendre aux administrateurs la raison de votre présence devant eux. Avant de commencer votre présentation, assurez-vous donc d’expliquer clairement quel est votre objectif :

  • S’agit-il d’une nouvelle orientation stratégique en matière de cybersécurité?
  • Avez-vous besoin de plus de budget pour certaines acquisitions?
  • Devrez-vous embaucher des ressources supplémentaires et obtenir leur approbation?
  • Avez-vous besoin que le CA examine et approuve une nouvelle politique relative à la sécurité?

Les membres du conseil d’administration doivent avoir une compréhension claire de ce que vous essayez d’obtenir de leur part.

Argumentez en vous appuyant sur de chiffres significatifs et justes

Collectez des faits et des chiffres. Et surtout préparez-vous à répondre de façon précise aux questions.

Il est probable que les membres du Conseil d’administration poseront des questions spécifiques sur la situation actuelle de l’organisation en matière de cybersécurité, son évolution au fil des dernières années et la manière dont ils peuvent mesurer le niveau d’exposition au risque.

Assurez-vous de trouver des chiffres et des statistiques pertinents pour faire valoir votre point de vue. Par exemple, la stratégie de cybersécurité proposée peut nécessiter un budget supplémentaire de 8%, mais vous obtenez un retour sur investissement mesurable car votre exposition au risque sera réduite de 25%. La connaissance des chiffres significatifs et vérifiables constituera un argument clé pour convaincre le conseil.

Proposez des solutions concrètes

Soulever un problème est une chose, proposer une solution en est une autre.


Souvent les managers des départements ou des équipes viennent me voir en me disant « J’ai un problème ». Et j’ai l’habitude de leur répondre « Alors va le résoudre, et reviens me voir lorsque tu auras des solutions à me proposer ». Le CA n’est pas là pour vous aider à résoudre vos défis. Il a seulement pour rôle d’entériner une des solutions que vous lui proposez.


Assurez-vous de ne pas simplement parler de vos défis mais plutôt de mettre en place des solutions concrètes de cybersécurité qui vous faciliteront la vie tout en bénéficiant à l’Organisation. Par exemple, votre présentation pourrait se terminer par une liste de 5 stratégies concrètes que vous prévoyez d’entreprendre. Présentez leur impact budgétaire, leur date de début et de fin, leur impact sur l’activité et le retour sur investissement prévu. Une conversation de haut niveau est un bon point de départ. Cependant seules des solutions concrètes permettront d’apporter un changement durable.

Démontrez le retour sur investissement

Si vous voulez obtenir l’adhésion du CA à votre proposition de stratégie de cybersécurité, assurez-vous d’expliquer clairement comment vous allez rendre compte de vos projets. Et surtout, expliquez comment vous pouvez démontrer le retour sur investissement de votre proposition. Par exemple, vous pouvez décider de mener une évaluation de la situation de la cybersécurité de votre entreprise pour savoir où vous en êtes aujourd’hui et où vous devriez vous situer à la fin de la mise en œuvre.

Une progression mesurable du niveau de maturité de l’Entreprise en matière de cybersécurité peut aider à gagner l’adhésion des membres du conseil d’administration. Ils pourront ainsi être assurés que leur engagement a été payant.

En conclusion…

Pour qu’une stratégie de cybersécurité soit efficace et permette d’opérer un changement durable, le RSSI devra faire preuve d’intelligence pour obtenir l’adhésion de son Conseil d’Administration. Gardez à l’esprit que le temps que vous allez passer devant le CA est limité (généralement moins de 30 minutes). Alors concentrez-vous sur les éléments les plus importants qui éveilleront leur intérêt  et qui sont alignés avec leurs priorités et objectifs permettant d’assurer le succès de l’Entreprise sur le long terme

Si vos arguments sont clairs, pertinents et facilement compréhensibles, liés aux opérations et à la stratégie de l’entreprise, et que vous pouvez démontrer le retour sur investissement de votre proposition de stratégie de cybersécurité, alors vous aurez de meilleures chances d’obtenir le soutien nécessaire pour ce que vous essayez de réaliser.

Vous avez besoin d’aide pour préparer votre intervention ou même pour vous assister lors de votre présentation au CA? Vous pouvez contacter l’un de nos experts en Gouvernance et en Stratégie de cybersécurité qui vous proposera une présentation exécutive efficace à destination des membres de votre Conseil d’Administration.

CISA vs CIA – Infographie

Beaucoup d’auditeurs se posent la question du cursus le plus adapté pour favoriser leur évolution professionnelle : CISA ou bien CIA. Notre article CISA vs CIA : Quel choix pour un auditeur? mettait en perspective les deux certifications professionnelles, Alors, pour mieux fixer les idées, vous proposons aujourd’hui une infographie résumant  les particularités de chacune. Les deux certifications ont leurs partisans et leur opposants. Le CIA, proposé par l’IIA (The Institute of Internal Auditors) est largement préféré par les auditeurs internes. Le CISA, proposé par l’ISACA (The Information Systems Audit and Control Association), est pour sa part largement plébiscité par les informaticiens.

Notre infographie CISA vs CIA

CISA vs CIA Infographie
© 2018 2AB & Associates

Pour en savoir plus

Vous souhaitez en savoir plus? Nous vous proposons d’approfondir avec quelques articles associés publiés sur notre blog :

Si vous avez déjà passé l’une de ces certifications, n’hésitez pas à nous faire part de vos commentaires qui aideront également les lecteurs à se faire leur propre opinion.

Nos experts se tiennent également à votre disposition pour répondre à toutes vos questions.

COBIT et VeriSM : la recette du succès

Le modèle VeriSM récemment lancé, semble être un complément intéressant à COBIT. VeriSM, bien que très récent, a suscité beaucoup d’intérêt et de discussions dans les équipes de gestion des services. Déjà de nombreuses organisations envisagent et évaluent cette approche.

COBIT et VeriSM : La recette du succès
Crédit : © Dreamstime

Des idées clés au cœur de VeriSM

Quelques idées fortes sont au coeur même du modèle VeriSM :

  • Dans un monde de services numériques, gouverner les services devient une préoccupation importante pour l’ensemble de toute organisation. Ce n’est plus le problème de l’informatique uniquement,
  • Le « département informatique » est simplement une aptitude organisationnelle comme toutes les autres (par exemple les RH, les ventes, le marketing). Il doit donc travailler en étroite collaboration avec toutes les autres capacités de conception, de construction et de gestion des services numériques,
  • Toutes les organisations doivent prendre conscience de leur environnement, des ressources et capacités disponibles (à la fois en interne et en externe) lors de la conception, du développement et de la fourniture de services numériques. C’est le concept de réseau de management ou de management maillé,
  • Des principes de gestion des services clairement définis devraient servir de guide pour tout nouveau service. Ceci, afin de garantir que ce sont bien les bons «muscles» du maillage qui sont sollicités au fur et à mesure du développement du service et pendant toute la durée de son cycle de vie.

VeriSM n’est pas en soi un cadre, un référentiel ou une méthodologie. VeriSM est, en fait, un modèle préconisant l’évaluation et l’utilisation flexible des pratiques de gestion. Ces pratiques sont décrites dans VeriSM au travers des éléments du management maillé (« Management Mesh« ).

COBIT 5 est l’un de ces cadres de meilleures pratiques en matière de gouvernance et de management de l »information. Il présente donc une grande synergie avec VeriSM. De ce fait COBIT 5 aidera les organisations à adopter une approche VeriSM et à établir et exploiter efficacement un maillage du management.

LE CONCEPT DE MANAGEMENT MAILLE DE VeriSM

VeriSM - Le management maillé
Crédits © Van Haren 2017

COBIT 5 pour la Gouvernance

Le modèle VeriSM repose sur l’établissement d’une gouvernance efficace des services gestion de l’information et de la prestation de services informatiques performants.

COBIT 5 est un cadre reconnu en matière de gouvernance de l’Entreprise. Il définit un référentiel unique de gouvernance qui couvre de façon transparente l’ensemble de l’Entreprise, de manière globale et de bout en bout. Il s’agit là de trois des cinq principes clés de COBIT.

COBIT 5 : LES 5 PRINCIPES

COBIT : les 5 principes
Crédits : © ISACA 2012 – Tous droits réservés

Les principes de gestion des services VeriSM doivent refléter les besoins et les moteurs de l’organisation et de ses parties prenantes traduits en objectifs de l’entreprise. Ils constituent donc une composante clé de la gouvernance.

La cascade d’objectifs de COBIT 5

Les besoins des parties prenantes de l’Entreprise doivent être traduits en actions stratégiques pour être mise en oeuvre. La cascade d’objectifs de COBIT 5 représente le mécanisme de traduction des besoins des parties prenantes en objectifs d’entreprise précis, réalisables et personnalisés, puis en objectifs liés aux TI et en objectifs pour chacun des facilitateurs. Cette traduction permet de fixer des objectifs précis à tous les niveaux. De plus, ces objectifs couvrent tous les domaines de l’entreprise. Ils viennent ainsi en appui aux objectifs généraux et aux exigences des parties prenantes. Ils permettent donc de soutenir efficacement l’alignement entre les besoins de l’entreprise et les solutions et services informatiques.

LA CASCADE D’OBJECTIFS DE COBIT 5

La cascade d'objectifs de COBIT 5
Crédit : © ISACA 2012 – Tous droits réservés

COBIT 5 fournit de plus une matrice permettant de faire correspondre les principales préoccupations des parties prenantes avec 17 objectifs génériques de toute Entreprise. Grâce à une seconde matrice, ces 17 objectifs d’Entreprise peuvent ensuite être  mis en correspondance avec 17 objectifs pour le département TI. Par exemple, l’objectif de transparence financière de l’Entreprise  pourra être mis en correspondance avec l’objectif TI de « transparence des coûts, des bénéfices et des risques IT ». Enfin, une troisième matrice permet de faire correspondre ces objectifs TI avec les processus à mettre en oeuvre ou à améliorer. Les processus constituent une des 7 catégories de facilitateurs. La relation n’est pas univoque. Un processus de bas niveau peut ainsi supporter plusieurs objectifs d’entreprise. Toutefois grâce à cette cascade d’objectifs, il est aisé d’identifier les principaux processus soutenant chacun des objectifs stratégiques de l’Entreprise.

Bien sûr chaque entreprise est différente. Ces matrices sont donc fournies à titre d’exemples et doivent être adaptées à chaque organisation spécifique.

Le management maillé de VeriSM

Les organisations définiront leur maillage de gestion de différentes manières qui leur seront propres. Comme indiqué ci-dessus, les éléments du maillage sont nombreux et variés. COBIT 5 encourage également une approche holistique pour comprendre et rassembler les différentes ressources et capacités de gestion des services.

COBIT 5 définit 7 catégories de facilitateurs (« enablers ») :

Les 7 facilitateurs de COBIT 5
Crédit © ISACA 2012 – Tous droits réservés

À l’heure actuelle, l’ISACA n’a publié des guides de référence détaillés que pour les facilitateurs « processus » et « information« . Cependant ils fournissent des indications importantes et suffisantes sur la documentation et la classification des éléments clés de tout maillage de gestion.

La mise en œuvre de VeriSM en Entreprise

Les organisations qui adoptent d’abord une approche VeriSM considéreront / évalueront très probablement COBIT 5 comme une manière d’ajouter une valeur significative au maillage de gestion. A l’opposé, les organisations qui utilisent déjà COBIT 5 y trouveront un avantage significatif lors de l’adoption d’une approche VeriSM. Quel que soit le modèle proposé en premier, le cycle de vie de mise en oeuvre inclus dans COBIT 5 est une excellente démarche pour répondre à la complexité et aux défis généralement rencontrés lors de tout projet de transformation.

L’approche de programme de transformation de COBIT 5

COBIT 5 : Le modèle de mise en oeuvre
Crédit © ISACA 2012 – Tous droits réservés

Le diagramme ci-dessus décrit avec une extrême précision le modèle de mise en oeuvre de tout projet de transformation.  Expliqué en détail dans le Guide de mise en œuvre  de COBIT 5 (ISACA) et soutenu par une qualification professionnelle, l’approche selon le cycle de vie détaille une démarche holistique en 7 étapes pour parvenir à un changement durable en se focalisant sur trois axes :

  • Amélioration continue : Permettre et soutenir le changement organisationnel pour offrir des avantages durables en veillant à ce que les améliorations soient intégrées dans la structure de l’organisation,
  • Facilitation du changement : Le programme est conçu pour soutenir le besoin d’amélioration continue, avec des changements apportés dans des itérations hiérarchisées et gérables, garantissant que les avantages sont fournis à un rythme de changement auquel l’organisation peut faire face,
  • Gestion de programme : appliquer des techniques formelles de gestion de programme et de projet (analyse de rentabilisation formelle, objectifs bien définis et bien définis, parrainage de cadres) pour garantir que les avantages sont réalisés

L’importance de la facilitation du changement

On estime jusqu’à 70% le taux d’échec des projets de transformation. Bien sûr, il y a de nombreuses raisons à cela. Cependant,  parmi celles-ci, les principales sont liées aux personnes et en particulier à la résistance au changement.

Kotter reconnaît cela dans son modèle de changement en huit étapes, dont la première étape critique est de créer un sentiment d’urgence. Cela se reflète dans l’étape 1 de l’anneau de facilitation du changement. En clair, cela signifie être capable de répondre à la question suivante :


Il y a un million et une chose que nous pourrions faire,

Pourquoi cela doit-il se produire et pourquoi cela doit-il arriver maintenant?


Si cela ne peut pas être clairement expliqué, d’une manière qui ait du sens et soit convaincante pour l’ensemble de l’organisation, la réponse est probablement : « ça ne marchera pas!« .

Encore une fois, la cascade des objectifs est utile ici. Il devrait y avoir une cascade claire entre les objectifs du programme et la réalisation des objectifs de l’Entreprise. Certes, la réalisation d’objectifs d’entreprise de haut niveau, bien qu’ils soient clairement pertinents pour tous les employés, n’est peut-être pas ce qui nous fait sortir du lit le matin. Cependant, c’est ce qui excite les plus hauts niveaux du management organisationnel et de la gouvernance. C’est donc ce qui assurera le parrainage de la direction qui est si crucial pour la réussite de tout programme.

Les services numériques au coeur du besoin de transformation des entreprises

Il existe de nombreuses définitions différentes du terme service numérique. La mienne serait : un service numérique est un service qui permet aux consommateurs de traiter avec l’entreprise par voie électronique à un moment et à un endroit qui leur conviennent, sans qu’une interaction humaine soit nécessaire. Amazon, Uber, Airbnb sont tous des exemples de fournisseurs de services numériques. La demande des consommateur est en croissance exponentielle. Déjà aujourd’hui on voit les consommateurs aller voir et toucher les produits qu’ils souhaitent acheter dans des magasins. Ensuite ils rentrent les commander en ligne sur un site de vente en ligne tel qu’Amazon. Demain cela concernera 90% des Entreprises dans tous les domaines (banques, assurance, hôtellerie, etc.). Toutes ces Entreprises vont devoir se transformer pour survivre.

 

Crédits : Mark Flynn et blog de l’APMG

Catégories

Archives

Calendrier

décembre 2018
L M M J V S D
« Nov    
 12
3456789
10111213141516
17181920212223
24252627282930
31  
%d blogueurs aiment cette page :