Home » Gouvernance du SI

Category Archives: Gouvernance du SI

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

COBIT et VeriSM : la recette du succès

Le modèle VeriSM récemment lancé, semble être un complément intéressant à COBIT. VeriSM, bien que très récent, a suscité beaucoup d’intérêt et de discussions dans les équipes de gestion des services. Déjà de nombreuses organisations envisagent et évaluent cette approche.

COBIT et VeriSM : La recette du succès
Crédit : © Dreamstime

Des idées clés au cœur de VeriSM

Quelques idées fortes sont au coeur même du modèle VeriSM :

  • Dans un monde de services numériques, gouverner les services devient une préoccupation importante pour l’ensemble de toute organisation. Ce n’est plus le problème de l’informatique uniquement,
  • Le « département informatique » est simplement une aptitude organisationnelle comme toutes les autres (par exemple les RH, les ventes, le marketing). Il doit donc travailler en étroite collaboration avec toutes les autres capacités de conception, de construction et de gestion des services numériques,
  • Toutes les organisations doivent prendre conscience de leur environnement, des ressources et capacités disponibles (à la fois en interne et en externe) lors de la conception, du développement et de la fourniture de services numériques. C’est le concept de réseau de management ou de management maillé,
  • Des principes de gestion des services clairement définis devraient servir de guide pour tout nouveau service. Ceci, afin de garantir que ce sont bien les bons «muscles» du maillage qui sont sollicités au fur et à mesure du développement du service et pendant toute la durée de son cycle de vie.

VeriSM n’est pas en soi un cadre, un référentiel ou une méthodologie. VeriSM est, en fait, un modèle préconisant l’évaluation et l’utilisation flexible des pratiques de gestion. Ces pratiques sont décrites dans VeriSM au travers des éléments du management maillé (« Management Mesh« ).

COBIT 5 est l’un de ces cadres de meilleures pratiques en matière de gouvernance et de management de l »information. Il présente donc une grande synergie avec VeriSM. De ce fait COBIT 5 aidera les organisations à adopter une approche VeriSM et à établir et exploiter efficacement un maillage du management.

LE CONCEPT DE MANAGEMENT MAILLE DE VeriSM

VeriSM - Le management maillé
Crédits © Van Haren 2017

COBIT 5 pour la Gouvernance

Le modèle VeriSM repose sur l’établissement d’une gouvernance efficace des services gestion de l’information et de la prestation de services informatiques performants.

COBIT 5 est un cadre reconnu en matière de gouvernance de l’Entreprise. Il définit un référentiel unique de gouvernance qui couvre de façon transparente l’ensemble de l’Entreprise, de manière globale et de bout en bout. Il s’agit là de trois des cinq principes clés de COBIT.

COBIT 5 : LES 5 PRINCIPES

COBIT : les 5 principes
Crédits : © ISACA 2012 – Tous droits réservés

Les principes de gestion des services VeriSM doivent refléter les besoins et les moteurs de l’organisation et de ses parties prenantes traduits en objectifs de l’entreprise. Ils constituent donc une composante clé de la gouvernance.

La cascade d’objectifs de COBIT 5

Les besoins des parties prenantes de l’Entreprise doivent être traduits en actions stratégiques pour être mise en oeuvre. La cascade d’objectifs de COBIT 5 représente le mécanisme de traduction des besoins des parties prenantes en objectifs d’entreprise précis, réalisables et personnalisés, puis en objectifs liés aux TI et en objectifs pour chacun des facilitateurs. Cette traduction permet de fixer des objectifs précis à tous les niveaux. De plus, ces objectifs couvrent tous les domaines de l’entreprise. Ils viennent ainsi en appui aux objectifs généraux et aux exigences des parties prenantes. Ils permettent donc de soutenir efficacement l’alignement entre les besoins de l’entreprise et les solutions et services informatiques.

LA CASCADE D’OBJECTIFS DE COBIT 5

La cascade d'objectifs de COBIT 5
Crédit : © ISACA 2012 – Tous droits réservés

COBIT 5 fournit de plus une matrice permettant de faire correspondre les principales préoccupations des parties prenantes avec 17 objectifs génériques de toute Entreprise. Grâce à une seconde matrice, ces 17 objectifs d’Entreprise peuvent ensuite être  mis en correspondance avec 17 objectifs pour le département TI. Par exemple, l’objectif de transparence financière de l’Entreprise  pourra être mis en correspondance avec l’objectif TI de « transparence des coûts, des bénéfices et des risques IT ». Enfin, une troisième matrice permet de faire correspondre ces objectifs TI avec les processus à mettre en oeuvre ou à améliorer. Les processus constituent une des 7 catégories de facilitateurs. La relation n’est pas univoque. Un processus de bas niveau peut ainsi supporter plusieurs objectifs d’entreprise. Toutefois grâce à cette cascade d’objectifs, il est aisé d’identifier les principaux processus soutenant chacun des objectifs stratégiques de l’Entreprise.

Bien sûr chaque entreprise est différente. Ces matrices sont donc fournies à titre d’exemples et doivent être adaptées à chaque organisation spécifique.

Le management maillé de VeriSM

Les organisations définiront leur maillage de gestion de différentes manières qui leur seront propres. Comme indiqué ci-dessus, les éléments du maillage sont nombreux et variés. COBIT 5 encourage également une approche holistique pour comprendre et rassembler les différentes ressources et capacités de gestion des services.

COBIT 5 définit 7 catégories de facilitateurs (« enablers ») :

Les 7 facilitateurs de COBIT 5
Crédit © ISACA 2012 – Tous droits réservés

À l’heure actuelle, l’ISACA n’a publié des guides de référence détaillés que pour les facilitateurs « processus » et « information« . Cependant ils fournissent des indications importantes et suffisantes sur la documentation et la classification des éléments clés de tout maillage de gestion.

La mise en œuvre de VeriSM en Entreprise

Les organisations qui adoptent d’abord une approche VeriSM considéreront / évalueront très probablement COBIT 5 comme une manière d’ajouter une valeur significative au maillage de gestion. A l’opposé, les organisations qui utilisent déjà COBIT 5 y trouveront un avantage significatif lors de l’adoption d’une approche VeriSM. Quel que soit le modèle proposé en premier, le cycle de vie de mise en oeuvre inclus dans COBIT 5 est une excellente démarche pour répondre à la complexité et aux défis généralement rencontrés lors de tout projet de transformation.

L’approche de programme de transformation de COBIT 5

COBIT 5 : Le modèle de mise en oeuvre
Crédit © ISACA 2012 – Tous droits réservés

Le diagramme ci-dessus décrit avec une extrême précision le modèle de mise en oeuvre de tout projet de transformation.  Expliqué en détail dans le Guide de mise en œuvre  de COBIT 5 (ISACA) et soutenu par une qualification professionnelle, l’approche selon le cycle de vie détaille une démarche holistique en 7 étapes pour parvenir à un changement durable en se focalisant sur trois axes :

  • Amélioration continue : Permettre et soutenir le changement organisationnel pour offrir des avantages durables en veillant à ce que les améliorations soient intégrées dans la structure de l’organisation,
  • Facilitation du changement : Le programme est conçu pour soutenir le besoin d’amélioration continue, avec des changements apportés dans des itérations hiérarchisées et gérables, garantissant que les avantages sont fournis à un rythme de changement auquel l’organisation peut faire face,
  • Gestion de programme : appliquer des techniques formelles de gestion de programme et de projet (analyse de rentabilisation formelle, objectifs bien définis et bien définis, parrainage de cadres) pour garantir que les avantages sont réalisés

L’importance de la facilitation du changement

On estime jusqu’à 70% le taux d’échec des projets de transformation. Bien sûr, il y a de nombreuses raisons à cela. Cependant,  parmi celles-ci, les principales sont liées aux personnes et en particulier à la résistance au changement.

Kotter reconnaît cela dans son modèle de changement en huit étapes, dont la première étape critique est de créer un sentiment d’urgence. Cela se reflète dans l’étape 1 de l’anneau de facilitation du changement. En clair, cela signifie être capable de répondre à la question suivante :


Il y a un million et une chose que nous pourrions faire,

Pourquoi cela doit-il se produire et pourquoi cela doit-il arriver maintenant?


Si cela ne peut pas être clairement expliqué, d’une manière qui ait du sens et soit convaincante pour l’ensemble de l’organisation, la réponse est probablement : « ça ne marchera pas!« .

Encore une fois, la cascade des objectifs est utile ici. Il devrait y avoir une cascade claire entre les objectifs du programme et la réalisation des objectifs de l’Entreprise. Certes, la réalisation d’objectifs d’entreprise de haut niveau, bien qu’ils soient clairement pertinents pour tous les employés, n’est peut-être pas ce qui nous fait sortir du lit le matin. Cependant, c’est ce qui excite les plus hauts niveaux du management organisationnel et de la gouvernance. C’est donc ce qui assurera le parrainage de la direction qui est si crucial pour la réussite de tout programme.

Les services numériques au coeur du besoin de transformation des entreprises

Il existe de nombreuses définitions différentes du terme service numérique. La mienne serait : un service numérique est un service qui permet aux consommateurs de traiter avec l’entreprise par voie électronique à un moment et à un endroit qui leur conviennent, sans qu’une interaction humaine soit nécessaire. Amazon, Uber, Airbnb sont tous des exemples de fournisseurs de services numériques. La demande des consommateur est en croissance exponentielle. Déjà aujourd’hui on voit les consommateurs aller voir et toucher les produits qu’ils souhaitent acheter dans des magasins. Ensuite ils rentrent les commander en ligne sur un site de vente en ligne tel qu’Amazon. Demain cela concernera 90% des Entreprises dans tous les domaines (banques, assurance, hôtellerie, etc.). Toutes ces Entreprises vont devoir se transformer pour survivre.

 

Crédits : Mark Flynn et blog de l’APMG

COBIT – La gouvernance, clé du succès de l’entreprise

Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur le 25 mai 2018, exigeant une bonne gouvernance des données pour toutes les entreprises et collectivités, indépendamment de la juridiction, sur le traitement des données personnelles associées aux citoyens de l’UE et de l’EEE. Dans un précédent article, j’ai montré comment COBIT 5 pouvait aider tout projet de mise en conformité au RGPD. Si le RGPD a été vraiment pris au sérieux, nos organisations sont aujourd’hui en mesure de mieux gérer leurs données. De fait, cela facilite leur tâche de gestion quotidienne de l’Entreprise.

COBIT Gouvernance, la clé du succès en entreprise
Crédits © weerapat1003

Grâce à une bonne gouvernance, nous pouvons aborder avec confiance des problèmatiques actuellement encore ignorées par la pensée dominante. Elles sont pourtant désormais très pertinentes et constitueront un facteur de succès ou d’échec pour les prochains mois et les prochaines années. Parmi les problèmes dominants affectant les Entreprises, on peut citer :

  • L’adaptation de la main-d’œuvre du troisième millénaire,
  • La transformation digitale de l’économie,
  • Après le RGPD, le règlement sur la protection de la vie privée ,
  • Le BREXIT,
  • Les géants du web, notre nouveau risque systémique,
  • L’insécurité intégrée…

Le thème central, commun à tous ces sujets, est celui des systèmes d’information. L’activité stratégique et opérationnelle doit désormais adopter une approche plus «entrepreneuriale» que «mature» pour exploiter les opportunités au fur et à mesure qu’elles se présentent. Les cadres de gouvernance doivent encourager l’innovation et gérer simultanément les risques associés au moyen de politiques, de procédures et de pratiques adaptées. Une approche collaborative est nécessaire pour anticiper et répondre rapidement au changement.

COBIT 5 : le cadre de Gouvernance d’Entreprise publié par l’ISACA

Le cadre COBIT 5 de l’ISACA permet d’avoir un aperçu de la gouvernance d’entreprise. La famille de publications comprend «COBIT 5, a Business Framework for the Governance and Management of Enterprise IT». Ce document de 94 pages fournit un guide complet sur où et comment rechercher des opportunités d’évolution et d’innovation dans votre entreprise.

COBIT 5 : un mythe tenace

Malheureusement la traduction Française de cette publication n’est pas très pertinente. Elle semble faire plus de cas de l’informatique que des métiers de l’Entreprise, seuls créateurs de valeur. Le titre lui-même a été traduit par « COBIT 5, un référentiel orienté affaires pour la gouvernance et la gestion des TI de l’entreprise ». Le titre original, en Anglais, ne fait pas référence aux TI mais à « l’information de l’entreprise et aux technologies associées ». C’est beaucoup plus vaste et cela couvre la totalité des métiers au lieu de la seule informatique. Pour COBIT, l’informatique n’est seulement qu’un « outil » au service des métiers de l’Entreprise (on parlera du 6ème « enabler »). COBIT n’est aucune un référentiel destiné à l’IT. C’est un référentiel de Gouvernance et de Management de l’Entreprise.

Le périmètre de COBIT 5 : La gouvernance et le management de l’entreprise

Cela inclut bien évidemment l’IT, mais seulement comme un composant de l’Entreprise.

Vous pouvez accéder au périmètre des publications COBIT 5 sur le site de l’ISACA. COBIT a la particularité d’être composé de publications permettant au lecteur d’accéder au contenu du cadre au travers des filtres. L’accès au cadre de référence complet est totalement gratuit. Certains autres documents, tels que le modèle de référence des processus ou le guide de mise en oeuvre sont gratuits pour les membres de l’ISACA. Enfin, d’autres documents, notamment les guides professionnels, sont payants mais avec une remise substantielles pour les membres.

Publications COBIT
Source © ISACA

COBIT 5 : quelques cas réussis de mise en oeuvre dans le monde

Chacun des cas présentés ici correspond à la liste des problèmes dominants identifiés au début de cet article. Il n’ont souvent qu’un lien très lointain avec les technologies de l’information. Vous y trouverez des liens utiles présentant le contexte et la façon dont  COBIT 5 a permis relever ces défis organisationnels.

Adaptation de la main d’oeuvre du 3ème millénaire – Cas PWC

PWC, tout comme DELOITTE et d’autres grands cabinets internationaux exigent un engagement intensif de leurs salariés dès le début. Des récompenses en matière d’évolutions de carrière, telles que des partenariats, sont appelées à venir plus tard. Ces entreprises sont actuellement confrontées à un turnover croissant de jeunes, essentiellement nés entre 1980 et 1995. Il s’agit de ceux qu’on qualifie généralement d’enfants du millénaire. Ceux de la génération Z, nés après 1995, commencent à peine à arriver sur le marché de l’emploi. PWC et DELOITTE ont constaté que la main-d’œuvre entrante avait des attentes différentes de celle des générations précédentes. Les jeunes souhaitent désormais une approche flexible pour travailler. Ils attendent des récompenses pour de bonnes performances dès le début ainsi que tout au long de leur carrière.

COBIT 5 via son approche de cascade des objectifs se focalise sur l’identification besoins des parties prenantes. Ceux-ci sont alors traduits en objectifs de l’entreprise liant les attentes internes et externes des parties prenantes avec celles de l’entreprise.Une fois identifiés, les changements appropriés peuvent être apportés aux politiques et aux pratiques.

Pour mieux comprendre comment vous appuyer sur COBIT pour résoudre cette problématique, nous vous proposons les liens suivants :

Transformation digitale de l’économie – Cas Domino’s

La transformation digitale pousse les entreprises à adapter leurs modèles commerciaux et à se concentrer. Domino’s a réalisé qu’ils devaient passer d’un service de restauration rapide à un service digital. En utilisant l’analyse de données pour personnaliser les offres marketing auprès des clients, les clients sont attirés par un service correspondant à leur style de vie.

COBIT 5, au travers des conseils sur les services, l’infrastructure et les applications, aide les entreprises à évaluer le potentiel de la transformation numérique sur l’organisation. Cette orientation élargit la réflexion, de la définition d’une solution unique jusqu’à la mise en œuvre d’un actif holistique, intégrale et soutenant les objectifs de l’entreprise.

Si vous souhaitez mieux comprendre comment COBIT a permis à Domino’s de réussir sa transformation digitale : https://www.bernardmarr.com/default.asp?contentID=1264.

Mise en conformité au futur règlement Européen sur la protection de la vie privée – Cas WhatsApp

Le règlement sur la vie privée et les communications électroniques, qui devrait être adopté par l’UE à la fin de 2018, constitue un ajout subtil au RGPD couvrant les communications électroniques.Des consentements explicites supplémentaires seront nécessaires. L’infrastructure de communication intelligente transporte, génère, utilise et stocke des données personnelles et corporatives identifiables. Donc, de fait, les principaux services de communication tels que WhatsApp sont inclus. C’est aussi le cas des fournisseurs de cookies, d’appareils IoT et de marketing direct et e-marketing.

COBIT 5 fournit des conseils sur la façon dont les entreprises, incluant leur IT, doivent se conformer aux exigences réglementaires. COBIT peut donc aider à révéler où des consentements explicites pourraient être nécessaires.

Voici quelques liens qui peuvent vous permettre de mieux comprendre comment COBIT aide à mieux protéger la vie privée :

Le BREXIT – Cas Currency Cloud

La situation sur le BREXIT restant assez imprévisible à l’heure actuelle, les entreprises doivent donc définir des plans d’urgence afin de minimiser les impacts d’un accord non favorable. Même si une organisation n’a aucun contact avec l’UE, elle doit vérifier comment le BREXIT affecte sa chaîne d’approvisionnement et sa banque. Pour certains, comme la plateforme d’échanges financiers Currency Cloud, «pas d’accord» avec l’UE serait synonyme de devoir mettre en place une présence européenne pour obtenir leur licence opérationnelle européenne, au cas où.

COBIT 5 couvre les exigences de conformité aux réglementations, lois et autres normes. Cela aide à identifier le point de départ et les processus sur lesquels se focaliser. COBIT inclut des sections sur la continuité des opérations, couvrant la prévention, l’atténuation et le retour à la normale en cas de perturbation pour aider à identifier les possibles zones de friction.

Pour mieux comprendre comment COBIT peut aider les entreprises britanniques à affronter le BREXIT : https://www.ibtimes.co.uk/why-neither-brexit-nor-loss-passporting-will-stop-uks-fintech-momentum-1659410.

Les géants du web, nouveau risque systémique – Cas des GAFAM

Chaque entreprise est dans un marché pour acheter et vendre. Pour opérer de manière efficace et efficiente, beaucoup d’entre nous se tournent vers l’infrastructure informatique et les fournisseurs de communication offrant des solutions «guichet unique» faciles à utiliser, telles que Google, Apple, Facebook, Amazon et Microsoft. Mais c’est une épée à trois tranchants.

Le grand avantage, qui les rend si attrayants, est qu’ils devient facile d’accéder à des structures de communication et de stockage avec la sécurité et l’échelle nécessaires. Les principaux inconvénients sont :

  1. avec peu d’acteurs dominants, le contrôle sur les marchés n’est pas entre nos mains
  2. et si l’un d’eux échoue, techniquement ou commercialement, l’impact négatif sur les affaires et la vie privée sera énorme.

COBIT 5 peut aider à définir une nouvelle approche pour traiter un point de défaillance systémique. Il existe également une liste de contrôles utiles sur les questions à poser aux parties prenantes externes.

L’insécurité intégrée – Cas Expedia

Un sous-produit de la construction l’efficacité de l’entreprise de construction est de jeter les bases de l’insécurité par inadvertance. Expedia a découvert qu’une de ses filiales avait laisser fuiter des données sur ses clients. Le partage et la gestion des données, même au sein d’un même groupe, sont difficiles à contrôler car les exigences et la responsabilité sont diluées, obscurcies ou réinterprétées par le partenaire en charge du traitement des données.

Pour en savoir plus sur le cas Expedia : https://www.cnbc.com/2018/03/20/an-expedia-subsidiary-says-a-security-breach-affected-880000-cards.html.

COBIT 5 est derrière chaque entrepreneur pour l’aider

COBIT 5 est là pour nous aider à mieux réfléchir à la manière dont nous gérons et opérons. Tant de choses sont demandées aux entreprises, il est facile de rater les choses auxquelles nous devrions penser. La technologie détermine à la fois le rythme et la façon dont nous travaillons. Une bonne gouvernance est essentielle pour assurer la prospérité des entreprises.COBIT 5 est essentiel p our bien gouverner.

Pour mieux comprendre pourquoi une formation COBIT vous est indispensable : http://www.ab-consulting.fr/blog/geit/cobit-5/formation-cobit-7-raisons.

Vous aussi vous avez un cas particulier, hors du domaine IT, d’utilisation réussie de COBIT 5 dans un contexte particulier? N’hésitez pas à nous laisser votre commentaire.

RGPD/GDPR : appuyez-vous sur COBIT

Dans notre précédent article intitulé RGPD/GDPR ; Les changements au 25 Mai 2018, nous vous avons proposé 10 axes clés pour devenir conforme au RGPD. La mise en conformité est, par définition, un projet transversal relevant de la gouvernance de l’Entreprise. Or, dès lors qu’on parle de Gouvernance, le référentiel susceptible de nous aider est COBIT 5. Dans quelle mesure, COBIT 5 peut-il nous aider à mettre en oeuvre le RGPD (GDPR) via ses 7 facilitateurs, en s’appuyant sur les 5 principes de la Gouvernance?

RGPD : comment COBIT peut vous aider
Crédits : Tatyana – Fotolia.com

Le RGPD (GDPR en Anglais) contient 99 articles définissant les exigences et les droits accordés aux citoyens de l’UE. Le RGPD (/GDPR) décrit également la structure de conformité et pénalités pour non-conformité. Chaque organisation a besoin de bien comprendre le RGPD (/GDPR) et de déterminer ses prochaines actions. Nous allons, pour les principaux sujets de préoccupation, décrire comment l’approche COBIT peut vous aider à y répondre.

Quel rapport en tre RGPD (GDPR) et COBIT?

Le RGPD (GDPR en Anglais) est une Règlementation Européenne destinée à la protection des renseignements et des données personnelles des citoyens de l’Union. Il s’agit donc d’une loi, applicable à toute entreprise ou organisme, public ou privé, dans l’Espace Economique Européen. Cette loi est entrée en vigueur le 4 Mai 2016 (date de publication au journal officiel de l’Union Européenne) . La Commission Européenne a accordé  deux ans de grâce aux Etats et aux organisations pour se mettre en conformité. Ce délai de grâce expire le 25 Mai 2018. Par conséquent, les sanctions prévues par loi vont s’appliquer à compter cette date. De plus, il faut reconnaître que les sanctions prévues sont dissuasives (jusqu’à 4% du chiffre d’affaires mondial annuel pour les grandes entreprises et 20 Millions d’Euros pour les TPE et PME).

Malheureusement, comme d’habitude, les organisations des pays francophones ont attendu le dernier moment pour se préoccuper de leur mise en conformité. Aussi, à un mois de l’échéance, beaucoup d’entre elles commencent seulement à se poser la question. De plus, elles pensent, de façon totalement erronée, qu’il s’agit simplement d’un projet informatique de plus.

La conformité légale et réglementaire est, par essence, un sujet de Gouvernance des Entreprises. Dans le cas précis du RGPD, il s’agit de Gouvernance du Système d’Informations. Or le référentiel de Gouvernance du Système d’Informations, reconnu dans le monde entier, n’est autre que COBIT 5. Il apparaît donc clairement que COBIT 5 peut nous aider efficacement à mettre en oeuvre des exigences du RGPD (GDPR).

Quelques exigences clés du RGPD (GDPR)

Identification des données présentant un risque élevé et analyses d’impact

Les entreprises ont désormais l’obligation effectuer des analyses d’impact sur la protection des données (DPIA) lors de l’utilisation de nouvelles technologies ou lors du lancement de nouveaux projets, pour toute donnée présentant un risque élevé pour les droits et libertés des citoyens de l’UE. Ces analyses d’impact doivent également décrire comment l’entreprise entend aborder le risque grâce à un traitement systématique et étendu ou via des activités de surveillance. Donc, cela s’apparente à une évaluation traditionnelle des risques qui analyse les risques et les mesures en place pour y remédier. Ainsi, il est simple, en nous appuyant sur la cascade d’objectifs, d’identifier les processus primaires de COBIT à considérer:

  • EDM02 Ensure Benefits Delivery ;
  • EDM04 Ensure Risk Optimization ;
  • APO11 Manage Quality ;
  • APO12 Manage Risk ;
  • APO13 Manage Security ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Protection, traitement et stockage des données personnelles

Les données personnelles de chaque personne concernée doivent être traitées de manière transparente, et uniquement pour les finalités spécifiées. L’Entreprise doit garantir un niveau « raisonnable » de protection des données et des renseignements personnels. Les données doivent être traitées en toute sécurité pour se protéger contre tout accès non autorisé, perte ou dommage. Des mesures techniques et organisationnelles appropriées doivent être mises en oeuvre. Le RGPD (GDPR) ne définit pas ce que cela signifie de façon précise. Il est cependant clair que si les données sont perdues ou volées, l’entreprise est manifestement en violation de la conformité. Les principaux processus COBIT à considérer sont donc les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO02 Manage Strategy ;
  • APO03 Manage Enterprise Architecture ;
  • APO10 Manage Suppliers ;
  • BAI01 Manage Programs and Projects ;
  • BAI02 Manage Requirements Definition ;
  • BAI03 Manage Solutions Identification and Build ;
  • BAI04 Manage Availability and Capacity ;
  • BAI06 Manage Changes ;
  • BAI07 Manage Change Acceptance and Transitioning ;
  • BAI08 Manage Knowledge ;
  • BAI09 Manage Assets ;
  • BAI10 Manage Configuration.

Consentement, portabilité, droit d’accès et droit à l’oubli

Les individus doivent donner leur consentement explicite concernant le traitement de leurs données personnelles. Rappelons que le RGPD (GDPR) considère comme traitements la collecte initialel’enregistrementl’organisationla structurationla conservationl’adaptation ou la modificationl’extractionla consultationl’utilisationla communication par transmissionla diffusion ou toute autre forme de mise à dispositionle rapprochement ou l’interconnexionla limitationl’effacement jusqu’à la destruction.

Ces personnes (« les personnes concernées ») ont le droit de savoir, sur demande, quelles données personnelles une entreprise utilise et comment ces données sont utilisées. Un citoyen de l’UE peut également obtenir, sur demande, le transfert de ses données personnelles d’une entreprise à une autre dans un format lisible par machine. De plus, les entreprises ont l’obligation  d’arrêter de traiter et / ou de supprimer des données personnelles sur un citoyen de l’UE sur sa demande. Cette exigence va plus loin: il s’agit de permettre aux citoyens de l’UE le droit d’être oublié en ayant des données personnelles supprimées sur demande. Les principaux processus COBIT à considérer sont les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO08 Manage Relationships ;
  • APO09 Manage Service Agreements ;
  • APO10 Manage Suppliers ;
  • BAI08 Manage Knowledge.

Nomination d’un délégué à la protection des données

Certaines organisations ont obligation de désigner un délégué à la protection des données (DPO). Le rôle du DPO est de superviser la stratégie de sécurité des données de l’entreprise et sa conformité au RGPD (GDPR). Alors, quelles sont les  organisations qui ont l’obligation d’avoir un DPO? L’exigence s’applique à toute organisation qui traite ou stocke de grandes quantités de données sur les citoyens de l’UE. Elle s’applique également aux organisations qui traitent ou stockent des données personnelles, surveillent régulièrement les individus. Enfin elle s’applique à toutes les autorités publiques. Pour répondre à cette exigence, les principaux processus COBIT à considérer sont :

  • EDM01 Ensure Governance Framework Setting and Maintenance ;
  • APO07 Manage Human Resources ;
  • BAI05 Manage Organizational Change Enablement.

Notification des violations de données à caractère personnel

Les entreprises (et plus particulièrement les responsables du traitement) doivent informer les autorités de contrôle dans les 72 heures suivant la découverte d’une violation de données à caractère personnel. Les sous-traitants sont généralement ceux qui découvrent en premier  une telle violation de données. Par conséquent, la loi les rend responsables d’informer sans délai le responsable du traitement. Beaucoup d’organisations ont déjà mis en place de telles procédures. Cependant,  peu d’entre elles effectuent régulièrement des tests pour s’assurer que les exigences sont bien respectées. Concernant cet axe de travail, les principaux processus COBIT à considérer sont :

  • DSS01 Manage Operations ;
  • DSS02 Manage Service Requests and Incidents ;
  • DSS03 Manage Problems ;
  • DSS04 Manage Continuity ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Assurer la conformité réglementaire

Pour assurer la conformité à la législation, les organisations ont l’obligation de s’évaluer, de surveiller et d’évaluer en permanence leurs contrôles et d’étudier les améliorations continues à mettre en oeuvre en termes de technologies et d’idées. Les organisations doivent également fournir l’assurance qu’elles suivent les obligations énoncées. Pour cette exigence du RGPD (GDPR) les principaux processus COBIT à améliorer sont les suivants :

  • APO04 Manage Innovation ;
  • APO05 Manage Portfolio ;
  • APO06 Manage Budget and Costs ;
  • MEA01 Monitor, Evaluate and Assess Performance and Conformance ;
  • MEA02 Monitor, Evaluate and Assess the System of Internal Control ;
  • MEA03 Monitor, Evaluate and Assess Compliance With External Requirements.

Quelques conseils et astuces pour réussir la mise en œuvre du RGPD

Pour faciliter le travail de mise en conformité, nous vous livrons ici une série de conseils et d’astuces basés sur COBIT 5. De plus, ces conseils et astuces proviennent des observations et recommandations issues de l’expérience d’organisations qui ont déjà entamé, et pour certaines terminé avec succès, leur marche vers la conformité au RGPD (GDPR). Ce qui suit est  donc, de fait, une liste des facteurs clés de succès à prendre en compte dans votre programme de mise en conformité.

1. Créez un sentiment d’urgence et de criticité au niveau du top management

Très logiquement, c’est la toute la première des choses à faire. Obtenir le soutien de niveau exécutif est clé. C’est ce soutien qui déclenchera les attitudes et provoquera les attentes nécessaires permettant d’adopter avec succès les bonnes pratiques de gouvernance. En effet ce sont ces pratiques qui permettront d’appliquer et de se conformer les exigences du RGPD. Pour obtenir ce soutien précieux, vous devez absolument convaincre le Comité de Direction de l’urgence et de la criticité de ce programme.

Astuce : Lisez COBIT 5 Implementation Guide pour plus de conseils et techniques permettant d’obtenir un soutien de niveau exécutif et faire reconnaître le besoin d’agir.

2. Considérez le RGPD comme une opportunité de créer davantage de valeur

Le RGPD n’est pas seulement un contrainte. C’est aussi l’opportunité d’améliorer les pratiques et créer davantage de valeur pour les parties prenantes de l’organisation. Bien que mettre en oeuvre et maintenir la conformité puisse sembler pesant, c’est clairement la bonne approche. Rappelez-vous que la raison d’être de l’entreprise est de créer de la valeur pour les parties prenantes. Et le RGPD  bien appliqué est un important contributeur à la création de valeur ajoutée.

Astuce : La cascade d’objectifs de COBIT 5 identifie les besoins des parties prenantes et les transforme en objectifs d’affaires. Ensuite ceux-ci sont déclinés en objectifs informatiques permettant de soutenir les objectifs métiers. Enfin, les objectifs informatiques permettent d’identifier les processus les plus appropriés sur lesquels se concentrer pour améliorer valeur pour les parties prenantes.

3. Inventoriez les pratiques et les référentiels utilisés actuellement

Identifiez les pratiques et les référentiels utilisés actuellement dans le cadre de la gouvernance et de management de l’entreprise, y compris le plan de protection des données existant. La plupart des entreprises ont déjà mis en place un tel  plan (souvent basé sur ITIL, COBIT ou ISO 27001 par exemple). Cependant elles devront le revoir et le mettre à jour pour s’assurer qu’il s’aligne bien avec les exigences du RGPD.

Astuce : Le RGPD est une préoccupation réglementaire qui peut être satisfaite en s’appuyant sur les meilleures pratiques existantes du marché telles que COBIT, ITIL, TOGAF (le référentiel d’architecture d’entreprise de l’Open Group), le cadre de l’Institut National Américain des normes et de la technologie (NIST), les normes ISO (ISO 27001, ISO 29100 par exemple) et bien d’autres. N’hésitez pas à vous appuyer sur ce qui existe déjà au sein de l’Organisation.

4. Considérez COBIT 5 un intégrateur des autres référentiels de bonnes pratiques

Ne vous arrêtez pas à un seul référentiel. Il s’agit là d’une extension de l’astuce précédente. Bien que COBIT soit le seul cadre d’affaires pour la GEIT (Gouvernance de l’Information d’Entreprise et des Technologies associées), COBIT n’est pas le seul référentiel susceptible de vous aider. Cependant, il est bien adapté pour servir de cadre pour aider à déterminer les composants nécessaires d’autres référentiel et fournir un vrai modèle GEIT.

Astuce : Le site web COBIT Online contient des informations supplémentaires à propos de cette approche https://cobitonline.isaca.org/about.

5. Nommez un DPO dès maintenant

Nommez dès maintenant un DPO et d’éventuels autres rôles pertinents. Même dans entreprises qui ne sont pas concernées par le RGPD, certains rôles sont indispensables. Ils doivent être identifiés et assignés. Ces rôles peuvent être remplis sous des noms différents. L’essentiel est que les responsabilités correspondantes soient bien attribuées sans qu’il n’y ait de conflit d’intérêt.

Astuce : La publication COBIT 5: Enabling Processes identifie les diagrammes RACI pour chacun des 37 processus de COBIT 5. Vous pouvez vous en inspirer pour identifier les rôles et responsabilités nécessaires au bon fonctionnement de votre organisation.

6. Menez une évaluation des risques

Une évaluation des risques d’entreprise permet d’aider à la prise de décision. Il est important de savoir quelles données personnelles l’entreprise stocke et traite sur les citoyens de l’UE, ainsi que le risque associé. Les évaluations des risques permettent d’identifier les risques, de déterminer des mesures pour réduire les risques et développer des plans d’actions pour gérer les risques. Avant chaque traitement important et au début de chaque nouveau projet, le RGPD impose qu’une analyse d’impact sur les données personnelles soit menée et que des actions soient prises en fonction des risques identifiés.

Astuce : COBIT 5 for Risk et ISO 31000 constituent d’excellents cadres de référence pour déterminer le processus approprié d’évaluation des risques et le relier aux exigences du RGPD.

7. Lancez un vaste programme de sensibilisation et de formation

Tout le personnel de l’organisation doit être familier avec les exigences du RGPD ainsi qu’avec leurs applications à chaque rôle spécifique de l’Entreprise. La formation est probablement l’une des actions les plus importantes qu’une entreprise peut lancer pour augmenter la probabilité de réussite d’un programme tel que la mise en conformité à la réglementation.

Astuce : Dans les entreprises qui s’appuient sur COBIT pour leur gouvernance et le suivi de leur conformité, le cours COBIT 5 Foundation constitue une excellente première étape. Dans tous les cas, une sensibilisation au RGPD  d’une journée est un bon point de départ pour l’ensemble des employés traitant des données personnelles.

8. Préparez et répétez les plans de réponse aux incidents

Planifiez les plans de réponse aux incidents. Et surtout n’oubliez pas de les tester, de les répéter et de les revoir régulièrement. La plupart des organisations ont déjà mis en place une forme de processus de gestion incidents. Cependant, le RGPD impose certaines exigences qui n’ont pas toujours été prises en compte dans le plan déjà en place. Notamment, les entreprises doivent signaler toute violation de données personnelles à l’Autorité de Contrôle dans les 72 heures suivant sa découverte. La façon dont les équipes d’intervention réagiront influera directement sur les risque d’amendes pour l’entreprise en cas de non respect des exigences.

Astuce : Améliorez les procédures existantes de gestion des incidents en vous appuyant, le cas échéant, sur les processus COBIT, ITIL ou ISO 27001 applicables et adaptez les pour créer un modèle spécifique intégrant les exigences du RGPD.

9. Focalisez-vous sur l’information

Quand on parle de protection des données personnelles, on fait référence à un type particulier d’information.. Rappelez-vous que l’information est un actif, une ressource qui, si elle n’est pas protégée peut devenir un passif. Comprendre les attributs, l’emplacement et le cycle de vie des données permet d’améliorer la capacité de l’entreprise à fournir les protections requises par le RGPD.

Astuce : COBIT 5: Enabling Information peut aider à la compréhension du cycle de vie et des attributs de l’information.

10. Effectuez des évaluations et des audits continus

Le maintien de la conformité nécessite un suivi et une amélioration continue. Il est important pour l’entreprise de ne pas laisser ses efforts s’estomper en passant à la prochaine initiative. Dans ce cas,  des surprises désagréables peuvent survenir. Poursuivez l’élan sans relâcher les efforts.

Astuce : Utilisez le modèle de mise en œuvre de COBIT (COBIT Implementation) ou l’approche d’amélioration continue des services d’ITIL (CSI) et veillez à ce les fonctions d’audit et d’audit interne soient pleinement impliquées dans la démarche.

Les apports de COBIT dans votre mise en conformité avec le RGPD

Les organisations qui se concentrent uniquement sur la conformité sont généralement celles qui n’ont pas mis en oeuvre de cadre de gouvernance. La conformité au RGPD n’est qu’une conformité supplémentaire à respecter. C’est une composante d’une initiative plus vaste basée sur un ratio risque / bénéfice. L’objectif doit être d’équilibrer cette conformité avec les performances de l’entreprise. Le référentiel COBIT 5 est complet dans la couverture de la gouvernance d’entreprise. Cependant il ne répond pas à tous les besoins de conformité d’une entreprise. Toutefois, il peut certainement fournir le cadre de gouvernance et de gestion permettant de déterminer l’approche la plus appropriée visant à créer de la valeur et de la confiance pour les parties prenantes. Dans ce cas, il permet de donner l’assurance que les données personnelles bénéficieront de bien de la confidentialité, de l’intégrité et de la disponibilité sur la base du RGPD (GDPR).

Une remarque? Un commentaire? Une question? N’hésitez pas à lancer la discussion. Nos experts sont à votre disposition pour vous répondre. Alors merci de nous laisser un commentaire sur ce blog.

ITIL : renaissance ou dernier soupir?

ITIL, le référentiel phare en matière de gestion des services informatiques commence à prendre de l’âge. Aucune évolution notable n’a été publiée depuis 2011. Et encore, la version 2011 n’était elle-même qu’une révision cosmétique (en anglais « refresh ») de la version ITIL V3 publiée en 2007. Cela fait donc dix ans que rien de vraiment nouveau n’a été publié. A l’occasion du salon ITSMF Fusion 2017, AXELOS a levé le voile sur l’avenir d’ITIL en 2018.

ITIL: renaissance en 2018?
Crédits: © AXELOS

On peut comprendre qu’une méthodologie n’évolue pas beaucoup. Mais justement le problème d’ITIL c’est qu’il ne s’agit aucunement d’une méthodologie. ITIL est un cadre de bonnes pratiques pour améliorer les services informatiques délivrés aux métiers. Or, durant ces dix dernières années, les Entreprises et leurs métiers ont subi une transformation radicale. Il est donc clair que leurs besoins de services informatiques ont également énormément changé. Les attentes des affaires sont très différentes aujourd’hui de ce qu’elles étaient il y a dix ans. Les risques auxquels tout service TI est exposé ont également évolué. L’environnement technologique a subi un bouleversement encore jamais vu auparavant.

L’annonce faite par AXELOS

Selon AXELOS, propriétaire du référentiel, ITIL® est «l’approche la plus largement utilisée pour la gestion des services informatiques dans le monde». La société indique qu’il existe des millions de praticiens d’ITIL dans le monde. Elle indique également que le référentiel est utilisé par la majorité des grandes organisations pour gérer leurs  opérations informatiques.

Il aurait donc été naturel que l’annonce d’une mise à jour d’ITIL suscite de nombreux commentaires. Cependant, comme vous l’avez sûrement constaté, tant la presse que les réseaux sociaux ne s’y sont guère intéressés.

La raison de ce manque d’intérêt est la raison même pour laquelle AXELOS veut faire cette mise à jour. ITIL a désormais atteint un point de non pertinence dans un monde économique dynamique et agile. L’environnement économique est aujourd’hui très différent de celui dans lequel ITIL a été développé.

De nouveaux modèles d’architecture, de nouvelles approches de management et, plus généralement, la transformation numérique des organisations ont relégué ITIL au stade de relique du passé.

Pourtant, des investissements substantiels ont été réalisés par nombre d’organisations dans le monde. Il s’agit notamment de la certification de leurs collaborateurs. Le grand nombre de fournisseurs de technologie qui ont vu le jour autour de ce framework et le vaste réseau de consultants et de sociétés de formation qui ont bâti leurs offres autour d’ITIL suggèrent que ce référentiel ne disparaîtra pas tranquillement du jour au lendemain.

Mais cette mise à jour annoncée sera-t-elle suffisante pour une renaissance d’ITIL en 2018? Ou marquera-t-elle son dernier soupir?

ITIL est-il en core pertinent dans un monde qui change?

Lors de l’annonce faite à ITSMF Fusion 2017, Margo Leach, Chef de produit chez AXELOS a admis la nécessité de faire évoluer ITIL pour pouvoir s’aligner sur un monde en pleine évolution tout en revendiquant sa pertinence au jour d’aujourd’hui.


« Les principes fondamentaux d’ITIL sont valables et restent essentiels pour permettre aux entreprises de se transformer et d’évoluer », a déclaré M. Leach. « Mais nous devons ajouter un élément supplémentaire au cœur d’TIL: la rapidité de mise sur le marché et l’agilité, c’est-à-dire la capacité d’une entreprise à répondre aux menaces commerciales, aux demandes et aux opportunités du marché. »


AXELOS a également reconnu que d’autres approches, (DevOps, …) traitent déjà de ces problèmes. « Le nouvel ITIL doit inclure des conseils pratiques et explicites sur la façon d’intégrer les principes des nouvelles méthodes de travail contemporaines« , a déclaré Margo Leach.

L’évolution rapide des technologies basées sur le cloud, les nouvelles approches telles que DevOps et l’enracinement des méthodologies agiles ont remis en question bon nombre de méthodes, apparemment rigides et bureaucratiques, souvent associées à ITIL.

En conséquence, et en dépit de leurs investissements importants dans le référentiel sous la forme de formation et d’outils, de nombreuses Organisations mettent maintenant l’accent sur la nécessité d’investissement futur sur de nouveaux cadres plus pertinents.

Alors n’est-il pas trop tard pour un nouvel ITIL?

La mise à jour d’ITIL ne devrait donc pas surprendre. Même si l’éditeur a affirmé il y a plusieurs années qu’il n’y aurait plus d’autres mises à jour. Néanmoins, le manque de pertinence perçu s’est également traduit par la perte de position dominante comme en témoigne l’arrivée d’une approche de gestion de service et d’un programme de certification concurrents, appelé VeriSM.

VeriSM prétend également représenter une approche moderne de «Gestion des services pour l’ère numérique». Le nombre de leaders de l’industrie et d’organisations qui le soutiennent est éloquent. A tout le moins, c’est la reconnaissance évidente par l’industrie que le domaine traditionnel de la gestion des services est en train de perdre son sens original et risque de ne plus être pertinent.

La transformation digitale entraîne un changement d’orientation

Ce que je crains, c’est que la prochaine mise à jour ITIL et la nouvelle approche VeriSM passent à côté de ce qui se passe réellement. A mon sens, la transformation numérique ne concerne pas vraiment la technologie ni son utilisation particulière. Il s’agit de la transformation des modèles d’affaires et d’opérations. Cela se traduit par un transfert fondamental de pouvoir de l’Entreprise vers le Client. En d’autres termes il ne s’agit pas d’une transformation technologique. Il s’agit plutôt d’une transformation de la société.

En tant que tel, le paradigme organisationnel de l’organisation doit passer de l’optimisation et de l’efficacité à l’expérience client et à facilitation pour l’utilisateur tout au long de son parcours. Le problème est que l’accent principal, tant pour ITIL que pour la gestion des services au sein des organisations, est entièrement basé sur l’efficacité et l’optimisation des opérations (informatiques ou autres).

De plus, les adoptions de la gestion des services TI sont largement basées sur des processus linéaires. A l’opposé, le monde libre-service et centré sur le client crée une abondance d’interactions client asynchrones et asymétriques avec l’organisation et la technologie qui doit les supporter.

Le résultat net est un cadre de bonnes pratiques de plus en plus déconnecté des besoins réels des Entreprises qu’il soutient. C’est d’ailleurs aussi le cas pour un secteur industriel tout entier.

Y a-t-il un avenir pour ITIL?

Je rencontre quotidiennement des dirigeants d’entreprises et des DSI. Nous discutons des défis auxquels ils sont confrontés et des stratégies qu’ils utilisent pour y répondre. L’accent est alors systématiquement mis sur l’efficacité et l’optimisation. Ce sont là les facteurs de valeur traditionnels de la gestion des services informatiques (ITSM).

Mais la priorité est aujourd’hui ailleurs. C’est l’agilité, l’adaptabilité et l’amélioration de l’expérience client qui sont la clé des affaires en 2018. L’objectif pour toute Organisation est de créer un avantage compétitif sur le marché. Ce sont là des moteurs qu’AXELOS a correctement identifiés. L’efficacité demeure bien sûr une préoccupation quotidienne. Pour ce faire, les entreprises se tournent de plus en plus vers les services et l’automatisation basés sur le cloud pour optimiser leurs opérations.

ITIL, VeriSM ou tout autre cadre ou approche de gestion de service souhaite reste pertinent? Alors leur objectif doit être la prise en compte des nouvelles priorités des Organisations. Leur axe principal doit donc être de réorienter les organisations vers l’expérience client et de les éloigner des modèles centrés sur les systèmes ou centrés sur le service.

Les praticiens de la gestion des services IT vous diront que cela a toujours été l’objectif principal. Je ne les contredis pas. Mais il est temps de reconnaître que, dans la pratique, ce n’est pas ce qui s’est passé. Si ITIL doit rester pertinent en 2018, cela doit changer radicalement. Il n’y aura d’avenir pour ITIL qu’à cette condition.

Vous avez sûrement un avis. N’hésitez pas à nous laisser votre commentaire…

Protection des données. C’est votre responsabilité!

A l’heure où internet est partout et où nous communiquons de plus en plus de façon digitale, comment protéger vos données personnelles? La réponse n’est peut-être pas celle que vous attendez. La protection des données personnelles est de la responsabilité de chacun. Il ne faut pas attendre que les entreprises ou les états s’en chargent. Chaque utilisateur d’Internet doit prendre conscience de sa responsabilité à ce niveau. Internet est un univers absolument fantastique permettant au plus grand nombre de rester connectés. Mais Internet n’est rien d’autre que ce que ses utilisateurs en font. Dans le cadre du mois de la cybersécurité 2017, nous vous proposons de nous arrêter un moment sur ce sujet capital.

Protection des données. C'est votre responsabilité!
Crédit : © Africa Studio

La protection des données : votre responsabilité

L’être humain est ainsi fait qu’il attend toujours des autres de le protéger contre tous les dangers. Les éditeurs de logiciels et constructeurs de solutions informatiques l’ont bien compris. Ils se battent à coup d’initiatives technologiques censées protéger les utilisateurs contre le vol de leurs renseignements personnels sur Internet. Les états, soucieux de la protection des données de leurs citoyens, publient des réglementations toujours plus contraignantes dans ce domaine. Bien sûr, cet arsenal technologique et réglementaire est utile pour se protéger. Mais il est très loin d’être suffisant. Le premier niveau de protection est totalement de notre responsabilité. Il consiste à adopter un comportement basé sur le bon sens. Hélas, il semble que le bons sens ne soit pas universellement partagé. Il convient donc de mettre l’accent sur la sensibilisation, l’éducation et la formation des individus. Et ce, dès le plus jeune âge…

Une technologie toujours plus performante

Au cours de ces dernières années, les éditeurs de logiciel et les constructeurs de matériel ont mis l’accent sur la protection des appareils. Cela concerne particulièrement les matériels permettant l’accès à internet comme les ordinateurs et les éléments du réseau. Malheureusement le même effort n’a pas forcément été déployé sur les téléphones portables. Bien sûr on a vu apparaître assez récemment sur ces téléphones mobiles des protections biométriques. Certains terminaux permettent aujourd’hui le cryptage des données qu’ils hébergent. Mais combien d’utilisateurs utilisent ces  systèmes de sécurisation? De plus, ces protections bien qu’assez performantes sont encore très insuffisantes pour résister à des hackers professionnels.

Pour rester performante, la technologie doit évoluer en permanence. En effet, la compétence des hackers évolue, elle, chaque jour. Cela signifie donc que les éditeurs doivent produire des mises à jour de sécurité très fréquentes. C’est généralement ce qu’ils font. La responsabilité d’installer ces mises à jours revient naturellement aux utilisateurs eux-mêmes. Or, souvent ils ne le font pas. Cela prend du temps et consomme du volume de données sur internet. Dans beaucoup de pays, notamment dans les pays africains, la facturation internet s’effectue au volume. Donc, une mise à jour de sécurité assez lourde se traduira par un coût important pour l’abonné. Par conséquent, la plupart du temps les mises à jour de sécurité ne sont pas installées, laissant des larges failles ouvertes à la disposition des pirates.

Des lois de plus en plus contraignantes

Pour protéger leurs citoyens, les états prennent des dispositions de plus en plus contraignantes en matière de protection des renseignements personnels. Ainsi, en Europe, la nouvelle réglementation connue sous le nom de GDPR (Generic Data Protection Regulation), qui entrera en vigueur le 25 mai 2018, impose aux entreprises qui utilisent et traitent des données personnelles de citoyens Européens des exigences très restrictives. Toute violation de cette réglementation sera punie d’une amende allant jusqu’à 4% du chiffre d’affaires mondial annuel de l’Entreprise fautive, avec un minimum de 20 millions d’Euros.

Parmi les contraintes imposées, figure l’obligation de recueillir le consentement explicite des personnes pour utiliser leurs données personnelles à des fins marketing ou commerciales.

Une autre disposition contraignante, ayant des impacts très importants, est la responsabilité du donneur d’ordre sur toute la chaîne de sous-traitance utilisée pour le traitement des renseignements personnels. Ceci signifie que dans le cas où des informations personnelles (nom, prénom, adresse mail ou numéro de téléphone par exemple) seraient volées à un sous-traitant de la Société qui a recueilli ces données, quel que soit l’endroit où ce vol surviendrait (sur un autre continent par exemple), la Société d’origine serait considérée comme totalement responsable du délit et passible de l’amende.

Une méconnaissance des risques

Depuis quelques années on constate une utilisation croissante des téléphones portables pour l’accès à internet. Ceux-ci sont de plus en plus performants et offrent souvent des fonctionnalités et une puissance équivalentes aux ordinateurs. Leur portabilité en fait le terminal privilégié des internautes. Pour autant ils sont beaucoup plus vulnérables que les ordinateurs. Très peu d’entre eux sont équipés d’anti-virus. Les mises à jour de sécurité sont réalisées de façon très aléatoires. Ils sont plus sujets à la perte et au vol que les ordinateurs portables.

Les téléphones mobiles constituent aujourd’hui un maillon faible en matière de protection des renseignements personnels. Chacun enregistre sur son téléphone une grande quantité de données personnelles. Il s’agit bien sûr des numéros de téléphones de ses contacts, mais aussi d’autres informations comme leur nom et leur adresse mail ou même leur adresse physique. Souvent on y retrouvera aussi leur date de naissance, pour penser à fêter leur anniversaire. Ces téléphones portables sont aussi largement utilisés, en Afrique notamment, pour le paiement par mobile ou le transfert d’argent.

Le paiement par mobile

Devant la faiblesse des banques, les opérateurs téléphoniques du continent Africain ont développé des services de paiement et de transfert d’argent extrêmement prisés. Ainsi, au Kenya, M-Pesa, le service de paiement mobile de l’opérateur Safaricom possédait plus de 29,5 millions d’abonnés fin 2016. Sur l’année 2016 plus de 6 milliards de transactions ont été réalisée par M-Pesa, pour un montant global de plus de 30 milliards de dollars US, soit près de 45% du PIB du Kenya tout entier.

Les montants annuels transitant par ces services mobiles sont devenus phénoménaux. De plus leur croissance est évolution constante. Le succès de ces offres repose sur l’ouverture de ce type de services au plus grand nombre. Par contre ni les utilisateurs, ni les vendeurs de ces services ne sont formés sur la sécurité. Le risque lié au paiement mobile en Afrique est donc, en peu de temps, devenu un risque majeur. Ce risque concerne bien sûr l’économie entière des pays concernés, mais aussi chacun des utilisateurs individuellement. Les services de paiement mobile constituent en effet une cible plutôt facile pour des pirates qui y voient une incitation financière importante.

Un comportement immature des utilisateurs

Pour la plupart des utilisateurs, la protection des données ne constitue pas une préoccupation majeure. La plupart d’entre eux considère n’avoir rien à cacher. Ils n’hésiteront pas bien longtemps devant un formulaire leur demandant des informations personnelles. Et surtout s’il y a une incitation à les fournir!

Hier encore je suis tombé sur la page Facebook d’une personne qui publiait publiquement, photos à l’appui, sur ses vacances, pendant 4 semaines à l’étranger. Sur son profil, toujours public, apparaissent diverses informations suffisamment détaillées permettant de l’identifier de façon précise avec la localisation de son domicile. Il s’agit là d’informations personnelles extrêmement faciles à exploiter par n’importe quel cambrioleur qui sait désormais que cette maison est inoccupée et que les propriétaires ne reviendront pas avant une certaine date. De plus, sur la base des informations communiquées sur son profil et des photos partagées prises à l’intérieur de cette maison, il est évident que le butin risque d’être très intéressant. Cette personne s’est elle-même exposée au risque de se faire cambrioler. Elle a donné en ligne, de son plein gré, tous les informations personnelles pouvant inciter au délit. Si, ce qu’évidement nous ne lui souhaitons pas, le cambriolage se produit, l’assurance de ladite personne ne couvrira pas les dommages car la compagnie d’assurance estimera, de façon tout à fait justifiée, que c’est la personne elle-même qui a « provoqué » le cambriolage.

C’est un exemple tout à fait courant, malheureusement, de ce que nous nommerons un comportement immature d’un utilisateur d’internet.

Comment en savoir plus?

Pour en savoir plus sur la protection des données personnelles, nous vous invitons à visionner l’enregistrement video de notre wébinaire du 11 Octobre dernier. La présentation était animée par David Henrard, expert international du domaine et actuel président du Chapitre ISACA de Québec. Vous pourrez ainsi avoir une vision complète de l’état des lieux en la matière à travers les différentes régions du monde.

Nous répondrons également avec plaisir à vos remarques, commentaires et questions sur cet article.

 

7 raisons de suivre une formation COBIT

Formation COBIT : Pour qui et pourquoi?

Au moment d’adopter COBIT® 5 en tant que cadre pour la Gouvernance et le Management de l’Information, de nombreuses questions se posent. Tout d’abord, l’entreprise comprend-elle parfaitement ce que signifie la gouvernance et la gestion l’Information d’Entreprise et de la Technologie Associée (GEIT)? Les professionnels de la gouvernance de l’entreprise savent-ils comment évaluer efficacement l’état actuel du système d’information de l’entreprise dans le but de déterminer quels aspects de COBIT® 5 mettre en œuvre? L’entreprise est-elle en mesure de réaliser une évaluation pour déterminer l’aptitude d’un processus défini?

7 raisons de suive une formation COBIT

Pourquoi une formation COBIT?

La formation COBIT® 5 constitue, bien évidemment, un aspect important pour pouvoir s’assurer que les professionnels de la Gouvernance du SI ont les réponses à leurs questions et deviennent des professionnels compétents sur COBIT®.

Bien que de nombreux concepts puissent sembler familiers aux personnels du domaine informatique, cette version évolutive intègre les dernières réflexions sur les techniques de Gouvernance et de Gestion de l’Information des Entreprises et fournit des principes, des pratiques, des outils analytiques et des modèles reconnus dans le monde entier.

COBIT 5 porte sur la Gouvernance et le Management du Système d’Information et non sur l’Informatique. L’informatique ne constitue qu’une faible partie du Système d’Information. L’information est partout dans l’Entreprise. Contrairement aux idées reçues, seule une très faible partie est gérée par la technologie. Il est donc essentiel de ne pas se limiter au domaine informatique. La réalisation d’un programme de formation approprié pour les professionnels des métiers de l’Entreprise sur ce qu’est vraiment COBIT et comment il peut être utilisé et mis en œuvre est absolument essentielle. Bien sûr les technologies de l’information sont également concernées mais à moindre titre.

Une formation COBIT pour qui?

La formation COBIT est d’abord destinée aux membres des conseils d’administration et des comités de direction ainsi qu’aux directions métiers. Les auditeurs IT / IS, les auditeurs internes, la sécurité de l’information sont également ciblés. Les consultants et les membres de la direction du SI et des TI, qui ont besoin de connaître la GEIT, en tireront également un grand bénéfice.

7 bénéfices clés d’une formation COBIT

Une formation sur le référentiel COBIT profitera tout autant à l’organisation qu’aux personnes qui auront la chance d’y participer. Examinons 7 de ces bénéfices, en gardant à l’esprit qu’il en existe bien d’autres.

1 – Amélioration de l’efficacité et de la productivité

Une formation COBIT 5 fournit les outils et les connaissances indispensables à l’utilisation de COBIT. Les professionnels comprendront mieux ce que signifie la GEIT et comment ce concept peut être appliqué à leur entreprise. Chaque individu en tirera une appréciation plus pratique de la façon d’appliquer COBIT 5 à des problèmes spécifiques d’entreprise, des points de douleur, des événements déclencheurs et des scénarios de risque. Les rôles et les responsabilités de chacun au sein de l’organisation, en relation avec COBIT, seront clairement définis (facilitateur 3), entraînant un accroissement de productivité et d’efficacité dans l’entreprise. Cette meilleure compréhension des rôles et responsabilités permettra de mieux gérer les ressources et les risques. L’ensemble de ces concepts sont étudiés dans la formation COBIT Foundation qui sert de point d’entrée dans le cursus.

2 – Renforcer la confiance et la valeur créée par les systèmes d’information

Les cours de formation COBIT 5 fournissent aux participants les concepts et les principes clés leur permettant de découvrir comment évaluer l’état actuel de leur système d’information d’entreprise, dans le but de déterminer quels aspects de COBIT 5 seraient les plus prioritaires à mettre en œuvre. La confiance provient du fait que chacun connaîtra son rôle et disposera des outils et des connaissances nécessaires pour mettre en œuvre et évaluer efficacement la Gouvernance et le Management de l’Information dans son Entreprise.

3 – Positionnement spécifique

La connaissance de COBIT par le professionnel de la Gouvernance lui permettra de bien dissocier les activités de Gouvernance des activités de Management. La Gouvernance consiste à Diriger, Evaluer et Surveiller la performance. Le Management Planifie, Construit, Exploite et Contrôle. Les formations COBIT 5 confèrent aux participants une connaissance inégalée en matière de Gouvernance et de Management de l’Information dans l’Entreprise sous la forme de concepts, de principes et de processus. Cette connaissance est cruciale pour l’évaluation de la capacité de l’Entreprise à créer de la valeur. Elle est également indispensable pour mettre en oeuvre un système de Gouvernance et de Management adapté. En outre, COBIT® est évolutif. Une formation accréditée permet ainsi au professionnel d’être à la pointe des connaissances et de la pratique.

4 – Accroissement de la confiance et de la capacité

Une formation COBIT permet aux participants d’affiner leurs compétences et d’améliorer la compréhension des risques IT. Elle permet notamment d’améliorer la prise de décisions éclairées pour réduire les incidents de sécurité de l’information. Cette compréhension et la sensibilisation au risque sont essentielles pour améliorer la prévention, la détection et la résilience aux incidents. Le professionnel COBIT sera capable de fournir des outils à son Organisation pour maintenir des informations de haute qualité lui permettant de prendre les décisions commerciales avisées et de l’aider à respecter les exigences réglementaires, légales ou gouvernementales. Ces connaissances permettront de mettre en place un programme d’amélioration continue en s’appuyant sur la formation COBIT Implementation.

5 – Crédibilité

Les organismes de formation COBIT accrédités par l’ISACA qui offrent des formations et des examens de certification doivent d’abord passer un processus d’agrément méticuleux. Les formateurs accrédités sont évalués régulièrement au travers d’audits sur site de leur compétence et de leur pédagogie. Les participants à une formation auprès d’un organisme de formation accrédité sont donc certains de la qualité de la formation qu’elles reçoivent. Les entreprises peuvent vérifier que l’organisme de formation auquel ils font appel est bien accrédité par APMG ou par Peoplecert. Les examens sont rigoureux, stimulants et cohérents, et, en conséquence, les participants peuvent être fiers de leur réussite. En outre, les employeurs peuvent vérifier auprès de l’ISACA si leurs employés sont vraiment titulaires d’une certification COBIT.

6 – Alignement de la sécurité de l’information avec la stratégie de l’organisation

La cascade d’objectifs est un outil essentiel pour aligner les objectifs de l’informatique avec les objectifs de l’Entreprise. Les participants à une formation COBIT apprendront à maîtriser cet outil très puissant. Ils seront ainsi en mesure d’assurer que la sécurité de l’information est bien alignée à la stratégie de l’Entreprise. Ceci leur permettra de s’assurer que la tolérance au risque de l’Organisation est bien respectée tout en maximisant les bénéfices et en optimisant les ressources. Ainsi, il leur sera plus facile de prendre les bonnes décisions tout en économisant les ressources et les budgets. Grâce à cette connaissance, la sécurité ne sera plus un sujet exclusivement technique. Selon une étude d’IBM, 95% des attaques réussies sur les données ne proviennent pas de l’informatique. Il est donc primordial de ne pas laisser ce sujet entre les mains des informaticiens.

7 – Assurance de l’aptitude de l’organisation à créer de la valeur

Grâce à la méthode d’évaluation d’aptitude des processus basée sur la norme ISO 15504, les auditeurs internes participant à une formation COBIT apprendront à s’assurer de l’aptitude de l’Entreprise à créer de la valeur. Il s’agit là d’un élément très important. Le programme d’évaluation de COBIT 5 se focalise sur l’aptitude plutôt que sur la maturité. C’est une approche radicalement différente de la plupart des autres cadres d’audit. La maturité correspond à la façon dont une organisation travaille. Ce qui est audité c’est l’application de processus formalisés au sein de l’Organisation. A l’inverse, l’aptitude fait référence à la qualité des processus et à leur capacité à délivrer de la valeur. C’est une autre approche extrêmement importante qui sera approfondie dans la formation COBIT Assessor.

Il sera ainsi possible d’auditer l’aptitude, par exemple, du processus de gestion des ressources humaines. Cela permettra également d’évaluer la qualité du système de Management de l’Entreprise. Une autre évaluation possible pourra concerner les risques, par exemple en matière d’éthique.

En savoir plus et échanger avec nos experts

Pour en savoir plus ou échanger avec nos experts, n’hésitez pas à nous laisser un commentaire. Nous vous répondrons alors avec grand plaisir. Si vous avez suivi une formation COBIT 5 ou si vous utilisez COBIT 5 dans votre entreprise, n’hésitez pas à nous laisser votre témoignage. Nous serons heureux de le relayer.

 

La version Française du Guide de mise en oeuvre COBIT 5 est disponible

Ca y est enfin!! Le guide « COBIT 5 Mise en oeuvre » est désormais disponible en Français. De longues semaines d’investissement personnel de l’équipe de traduction auront été nécessaires. Il n’est jamais simple de traduire un guide de bonnes pratiques ou de mise en oeuvre. L’Anglais est une langue typiquement orientée « business » et donc assez rigoureuse. A l’opposé, le Français est une langue plus orientée vers la littérature ou la diplomatie et dans laquelle, soit les termes anglais n’ont pas d’équivalent ou, pire encore, sont le plus souvent traduits par des termes erronés (les fameux faux-amis sur lesquels tous les élèves ont trébuché pendant leur parcours scolaire).

COBIT 5 Mise en Oeuvre

Bon, en ce qui concerne cette publication, l’honnêteté nous impose d’admettre que ce n’est pas réellement une version Française. C’est plutôt une version Québécoise, car réalisée par l’équipe du chapitre (tiens, encore un mot qui n’a pas d’équivalent direct en Français) ISACA de Québec, avec seulement deux contributions externes, l’une d’un expert en Gouvernance de Montréal (toujours au Québec) et l’autre de votre serviteur, seul Français (encore que résident en Côte d’Ivoire) à avoir participé à la préparation de cette version Française.

Les raisons d’une absence totale de la France

Mais pourquoi donc une version Française dans laquelle aucun Français (de France) ne s’implique? La question mérite d’être posée. Les réponses sont multiples et malheureusement assez désespérantes:

  • Une incompréhension totale, en France de ce que sont la Gouvernance et le Management, et donc un intérêt très faible pour le sujet,
  • Une mauvaise interprétation de la notion de création de valeur, comprise uniquement comme une valeur financière et focalisée majoritairement sur une réduction des coûts,
  • Un contexte légal basé sur un modèle hérité à la fois de systèmes monarchiques et « communistes » qui conduit irrémédiablement à la destruction de valeur au lieu de la création, qui ne favorise pas l’adoption du cadre COBIT,
  • Des structures organisationnelles et gouvernementales ne permettant pas de séparer la gouvernance du management,
  • Une culture, une éthique et des comportements inadéquats (particulièrement visibles en France en cette période électorale),
  • Une gouvernance et une gestion anarchique de l’information conduisant à des excès et induisant des conséquences catastrophiques,
  • Une technologie mal utilisée et mal exploitée pour la création de valeur et laissée entre les mains de techniciens et d’ingénieurs,
  • Un modèle éducatif et une gestion de la formation continue déconnectés des réalités et des besoins des organisations.

Nous reviendrons plus en détail sur ces raisons avec un autre article dans les prochains jours. Cependant les lecteurs connaissant COBIT® 5 auront reconnu là des faiblesses au niveau des facilitateurs (en Anglais on les nomme « enablers » ce qui est beaucoup plus fort que  facilitateur mais n’a pas de traduction littérale) d’une bonne gouvernance et d’un management efficaces qui manquent cruellement à la France.

A cela, il faut bien rajouter, mais peut-on encore leur en vouloir après ce que nous venons de dire, une absence totale de volonté de l’AFAI (chapitre Français de l’ISACA) de s’investir de quelque façon que ce soit dans la promotion de COBIT® 5 qui n’assure pas, aujourd’hui, compte tenu du modèle économique imposé par ISACA HQ, un bénéfice suffisant pour les membres Français. Or, en France, il est d’usage que la création de valeur s’évalue au niveau personnel et non au niveau d’une organisation. En d’autres termes, si je participe à ces travaux, qu’est-ce que j’y gagne personnellement?

Le marché pour une version Française des bonnes pratiques

La Francophonie compte aujourd’hui un peu moins de 280 millions de personnes dans le monde, réparties de la façon suivante (source: organisation internationale de la Francophonie)

  • environ 8% en Amérique du Nord (majoritairement au Canada)
  • 37% en Europe (majoritairement en France)
  • près de 54% en Afrique (où la culture et les institutions sont calquées sur la France, héritage de la colonisation)
  • autour de 1% dans le reste du monde.

Qu’est-ce qui fait la différence entre le Canada (ou plus précisément le Québec) et les pays francophones européens et africains? J’apporterai deux réponses:

  • La culture nord-américaine fortement ancrée au Canada, intégrant les bonnes pratiques de Gouvernance et de Management largement répandues dans cette partie du monde,
  • Des lois imposant l’usage de modèles intégralement francisés dans les organisations Québécoises, ce qui n’est pas le cas en Europe, ni en Afrique francophone.

Il est donc clair que l’environnement légal favorise l’adoption des bonnes pratiques décrites par COBIT 5 au Canada et qu’au contraire l’environnement local défavorise et décourage les bonnes pratiques basées sur COBIT 5 en Europe et en Afrique Francophones.

Il apparaît ainsi clairement que le marché pour une traduction Française du cadre COBIT 5 et de son guide de mise en oeuvre se situe majoritairement en Amérique du Nord. C’est donc fort logiquement que ce sont les Québécois qui font l’effort. Malheureusement, cela décourage encore un peu plus les Français d’adopter COBIT 5 et de s’appuyer sur le guide de mise en oeuvre pour lancer des initiatives d’amélioration de la Gouvernance et du Management car ils voient ces pratiques comme étant issues de la culture Américaine. De plus ils considèrent que le Québécois n’est pas le Français tel qu’il est parlé en Europe et en Afrique. Et ce n’est pas faux…

 COBIT 5 Mise en Oeuvre – Juste une référence indispensable

La publication de la version française du guide de mise en oeuvre vient complèter le référentiel et le modèle de référence des processus COBIT 5 déjà traduits par la même équipe qu’il convient de féliciter pour leur excellent travail.

Toutefois, il faut bien rappeler que ce guide ne décrit pas la mise en oeuvre du cadre de gouvernance et de management COBIT 5 mais la mise en oeuvre des sept facilitateurs soutenant la gouvernance et management de l’information dans l’Entreprise. Il s’agit en fait de la méthodologie extrêmement efficace et efficiente de gestion d’un programme de mise en oeuvre ou d’amélioration continue, décrite par COBIT et basée sur trois composants hérités des normes et bonnes pratiques du marché :

  1. l’amélioration continue en sept étapes (similaire à ITIL)
  2. la facilitation du changement (héritée des bonnes pratiques de Change Management)
  3. la gestion de programme et de projets (issue de PRINCE2, PMBok et M_o_P)

Gageons que la version Française du guide de mise en oeuvre sera une aide efficace pour les utilisateurs francophones et sera un réel succès.

GDPR et protection des données en Afrique

Les exigences et les conséquences du GDPR

La règlementation générale sur la protection des données (GDPR: General Data Protection Régulation) est applicable à partir du 25 mai 2018. Elle deviendra donc, de fait, une loi applicable dans chacun des pays de la Communauté Européenne à cette date. Encore une réglementation européenne de plus, pensez-vous? Non, pas exactement. Il s’agit là d’une réglementation majeure qui va impacter profondément les économies des pays Européens. Mais elle va également impacter celles des pays qui ont des liens commerciaux forts avec l’Europe. Les pays d’Afrique sont au premier plan des pays qui vont subir de plein fouet cette nouvelle réglementation. Alors de quoi s’agit-il? Faut-il s’inquiéter? Comment s’y préparer pour réduire les risques pour nos économies? Nous allons essayer de vous apporter quelques ébauches de réponses.

COBIT, GDPR et la protection des données

 GDPR – Ca veut dire quoi?

GDPR signifie Réglementation Générale sur la Protection des Données. Il s’agit d’une réglementation Européenne (99 articles décrits sur 88 pages) qui entrera en vigueur le 25 Mai 2018. A compter de cette date, elle s’impose à toutes les Entreprises de l’ensemble des états de la Communauté Européenne. L’objectif de cette réglementation est d’assurer la protection des données personnelles de l’ensemble des citoyens, notamment face aux risques de cybersécurité qui augmentent chaque jour.

La négligence, l’imprudence ou la simple malchance ne constitueront pas une excuse en vertu de la loi renforcée. Les entreprises qui seront en violation avec la loi devront faire face à une augmentation des peines importantes. A moins, bien sûr, qu’elles ne puissent démontrer que la protection des données qu’elles utilisent – la confidentialité et la sécurité – était manifestement au niveau de qualité exigé par le GDPR. Ceci a notamment pour objectif de nous assurer que nous, en tant qu’individus, disposons de privilèges plus étendus sur nos données personnelles, y compris le droit à l’oubli.

Quels sont les enjeux?

Le GDPR est fondamentalement une excellente chose. Il est moralement juste et chacun d’entre nous devrait y adhérer sans réserve. Il y a de bonnes raisons commerciales également à le respecter :

  • le respect du GDPR signifie que nous sommes alignés avec la réglementation Européenne en la matière et que nous pouvons donc avoir des activités commerciales avec des Entreprises dans tous les pays Européens,
  • c’est l’occasion de mieux protéger nos données contre les risques en matière de cybersécurité,
  • c’est aussi la meilleure façon d’assurer que nous sommes alignés avec la réglementation en vigueur en Amérique du Nord et que les risques de cybersécurité ne seront pas un frein à nos échanges avec les USA et le Canada.

Mais, malheureusement, il y a aussi des coûts associés :

  • la mise en oeuvre des obligations prévues par la réglementation,
  • les problèmes de réputation et les aspects stratégiques,
  • les coûts opérationnels et les coûts de conformité,
  • et enfin la mise à niveau, en termes de formation et de sensibilisation, de l’ensemble du personnel des Entreprises, depuis le Président du Conseil d’Administration jusqu’au gardien, car les individus sont les premiers remparts en matière de sécurité des données.

Tous ces coûts risquent fort d’être extrêmement importants. Et ce surtout en Afrique où le sujet n’intéresse, pour l’instant, pas grand monde et où le niveau de sécurité de l’information dans les Entreprises est proche de zéro. Combien d’Entreprises, par exemple, sont aujourd’hui, en Afrique, certifiées sur la base de la norme ISO 27001? L’étude annuelle réalisée début 2016 par l’ISO montre seulement 129 entreprises certifiées ISO 27001 en Afrique. Parmi celles-ci, seulement 2 sont en Afrique Francophone subsaharienne (1 en Côte d’Ivoire et 1 au Sénégal). Ce chiffre est à comparer avec les plus de 12.000 organisations certifiées en Asie…

Les exigences du GDPR en matière de protection des données

L’ICO (Information Commissioner’s Office), organisation indépendante créée au Royaume Uni en vue  superviser les droits sur l’information dans l’intérêt public, donne une explication détaillée et compréhensible des principaux aspects de cette règlementation.

Quelques points clés issus du contenu de la réglementation sont particulièrement importants pour les économies Africaines :

Fournisseurs et partenaires d’affaires sont inclus dans le périmètre

Les fournisseurs et les partenaires d’affaires doivent être inclus dans le périmètre de la gestion de la protection des données. Cela signifie qu’une Entreprise Européenne ne pourra transmettre des données (bancaires ou commerciales par exemple) à un fournisseur ou un partenaire d’affaires situé sur le continent Africain que si et seulement si ce fournisseur ou ce partenaire d’affaires peut apporter la preuve (au travers d’un audit ou d’une certification par exemple) qu’il sécurise ses informations à un niveau au minimum égal à ce qu’exige la réglementation Européenne.

Compréhension des vulnérabilité et menaces

Comprendre les vulnérabilités, les menaces et l’efficacité de votre maintenance corrective sont essentiels. Cela signifie, en clair, qu’il est indispensable que toutes les menaces, toutes les vulnérabilités et la maintenance corrective des logiciels que vous utilisez soient connues, comprises, évaluées et contrôlées. En Afrique, les Entreprises sont majoritairement des PMEs. Les budgets et les compétences nécessaires vont bien au-delà de leurs moyens. Par contre, cela rentre typiquement dans le périmètre des obligations d’un éditeur de logiciel. Cela signifie donc, entre autres, qu’il ne sera pas possible, sauf à démontrer que l’obligation est bien respectée grâce à des certifications internationales ou des audits, de s’appuyer sur des applications spécifiques, développées en interne par les Entreprises. Impossible également de s’appuyer sur du logiciel libre, largement répandu dans les Entreprises Africaines. Dans ce cas, il sera impossible d’apporter la preuve du respect de l’exigence dans le cadre d’un audit.

Sécurisation adéquate des données des clients

Les données des clients doivent être considérées parmi les « biens » les plus précieux de l’Entreprise. Elles doivent donc être protégées comme telles et  bénéficier d’un niveau de sécurité maximum. Des audits et/ou des certifications d’entreprises sur des normes internationales devront permettre de démontrer que le niveau adéquat de protection est bien appliqué aux données des clients (informations personnelles, informations bancaires, informations médicales par exemple), y compris lorsqu’elles transitent ou sont manipulées au sein d’une Entreprise Africaine, partenaire d’affaires, client ou fournisseur d’une Entreprise Européenne.

Protection efficace contre les faiblesses humaines

Une protection efficace est exigée contre des fuites de données involontaires, provoquées par l’entreprise et son personnel, notamment via les médias sociaux. Cela implique une formation de l’ensemble du personnel des Entreprises Africaines, allant du Président au gardien, sur la sécurité de l’information et la mise en oeuvre de moyens de contrôle, notamment sur la fuite d’informations via les réseaux sociaux. Cela risque de s’avérer quasi-impossible dans des pays où le moyen privilégié de communication est Facebook. Facebook constitue généralement, dans les pays d’Afrique subsaharienne, le support institutionnel pour la communication d’Entreprise.

De plus les législations locales des pays Africains n’autorisent pas ces pratiques de contrôle pour les Entreprises. Cela nécessite donc des changements culturels et législatifs qui prendront beaucoup de temps. Or le temps est compté puisque la réglementation s’applique à compter du 25 Mai 2018. De plus ces évolutions risquent fort de rencontrer une opposition farouche des populations. Elles considèreront cela, sans aucun doute, comme une entrave à leurs libertés.

Et si une Entreprise n’est pas conforme au GDPR?

L’article 83 du GDPR stipule que toute Entreprise Européenne non conforme à la réglementation sera soumise à une amende égale à la plus élevée des deux montants : 20.000.000 Euros ou 4% de son chiffre d’affaire annuel.

Il est clair qu’aucune organisation en Europe n’acceptera de courir un tel risque avec un partenaire d’affaires ou un fournisseur qui ne serait pas aligné sur les exigences de cette réglementation.

GDPR - Impacts

Les conséquences pour les économies des pays Africains

Les conséquences pour les économies Africaines sont donc claires. Elles doivent s’adapter pour permettre à leurs Entreprises de faire du business avec l’Europe, qui constitue un de leurs plus gros marchés. A défaut, elles seront dans de très grandes difficultés. Le temps presse car cette réglementation entre en vigueur le 25 Mai 2018. Inutile d’envisager de rediriger les marchés vers l’Asie ou l’Amérique du Nord. Des réglementations similaires, tout aussi contraignantes, y sont déjà appliquées ou en voie de l’être. Il faut donc transformer, dans un délai de 18 mois, les Entreprises pour les rendre conformes aux obligations réglementaires.

Dans notre prochain article, nous vous donnerons quelques pistes pour réussir cette transformation dans les délais en vous appuyant sur des référentiels de Gouvernance et de Management de la Sécurité de l’Information tels que COBIT ou ISO 27001 en vue d’une meilleure protection des données.

N’hésitez pas à nous communiquer vos commentaires et vos questions. Nos experts se feront un plaisir de vous répondre.

Culture et éthique au coeur de l’Entreprise

Pas de création de valeur sans culture et éthique

Ardent défenseur de la bonne gouvernance pour promouvoir les comportements adéquats, en matière de business, je défends depuis longtemps l’idée que les Entreprises doivent comprendre et pratiquer un capitalisme responsable. En ce moment même se déroule un G20 en Chine. C’est le cadre dans lequel deux des plus grands pollueurs de la planète, à savoir les USA et la Chine viennent enfin de ratifier l’accord de la COP21. Cet accord vise à réduire l’émission de gaz à effets de serre. Ces gaz menacent directement la survie même de l’humanité et plus globalement de la Terre. Il est donc désormais clair que le capitalisme responsable est plus que jamais une nécessité vitale. Cela s’appuie, de toute évidence, sur une culture et une éthique d’Entreprise plus exigeantes.

Corporate Culture of a Company and Responsibility

Qu’est-ce que le capitalisme responsable?

Il se trouve que ce concept a été soulevé, il y a quelques semaines par l’Institute of Business Ethics (IBE). L’IBE est une organisation Britannique non gouvernementale créée en 1986. Sa mission consiste à encourager l’adoption de normes de haut niveau en matière de comportement d’affaires au sein des Entreprises. Pour ce faire il est indispensable de s’appuyer sur des valeurs éthiques fortes. Or chacun sait que les Entreprises, par la voix de leur Conseil d’Administration réagissent majoritairement dans deux cas seulement. Elles doivent y être contraintes soit par des obligations légales ou réglementaires, soit par un scandale financier affectant leurs actionnaires. Dans les deux cas, elles réagissent sous la contrainte et sont malheureusement rarement pro-actives.

En juillet, l’IBE a présidé un excellent colloque sur ce que le «capitalisme responsable» signifie aujourd’hui. Cela conforte ce que je préconise depuis longtemps, m’appuyant sur COBIT 5, à mes clients et partenaires. Il est devenu indispensable de créer une culture d’entreprise permettant aux humains d’exploiter les opportunités, et pas l’inverse. Cet objectif se réalise, bien sûr, en encourageant la liberté de produire, de vendre et d’acheter des biens et services afin de créer de la valeur pour la Société, pour le plus grand profit de ses parties prenantes. Mais cela nécessite impérativement d’agir dans un cadre bien défini en matière de comportement d’affaires. C’est un pré-requis à la bonne gouvernance selon COBIT qui propose 6 autres facilitateurs pour la création de Valeur. 

Le rôle du Conseil d’Administration

Il est donc important que les Organisations définissent les comportements business qui sont et ne sont pas autorisés. Il est également vital de définir dans quelle mesure la culture de l’Organisation soutient ou contredit sa position éthique officielle.

Pour illustrer ce propos, prenons, par exemple, le cas de la FIFA (Fédération Internationale du Football Amateur). D’un point de vue éthique, la FIFA a pour mission de promouvoir les opportunités dans le monde du football. Son site Web met en exergue cette orientation. « La mission de la FIFA consiste à développer le football partout et pour tous, à toucher le monde à travers des tournois passionnants et à construire un avenir meilleur grâce au pouvoir du beau jeu ». Or nous avons tous en mémoire les récents scandales affectant la Direction de la FIFA et démontrant la corruption culturelle de cette Organisation. Ceci révèle une énorme différence entre la parole («ce que je dis») et les actes («ce que je fais»). Et cela conduit inévitablement à une faillite complète de l’Organisation et à la destruction de Valeur.

FIFA culture eroded ethics

Les scandales du LIBOR, du FOREX et des assurances emprunteurs PPI dans le secteur financier, la tricherie de Volkswagen sur les émissions de particules et les manipulations financières de Tesco destinées à dissimuler un trou au niveau comptable, sont autant d’exemples où la culture d’entreprise a violé l’éthique. Les Conseils d’Administration se réunissent et prennent note de ces violations. Hélas cela se passe seulement une fois que l’éthique a été violée. En effet, c’est seulement à postériori que les impacts au niveau de l’Entreprise se font sentir. Et c’est donc seulement après coup que le Conseil d’Administration se trouve contraint d’agir. A ce moment là, il est le plus souvent trop tard pour agir.

La création de valeur

Toutes ces Organisations étaient pourtant bien établies. Elles inspiraient suffisamment de confiance en terme de création de valeur. Malheureusement elles ont toutes fini par violer les règles fondamentales de l’éthique. C’est comme si la signification de la valeur avait été déformée. La valeur est la conjonction du profit, de l’optimisation des risques et de l’optimisation des ressources. Aujourd’hui, de nombreuses Entreprises évaluent uniquement la valeur d’un point de vue financier. Valeur devient synonyme de gros profits, gros dividendes et valeur marchande élevée. Elles font souvent fi de l’optimisation des risques liés à un comportement non éthique. De même elles se préoccupent  peu de l’utilisation efficiente des ressources.

Alors même qu’augmente la pression sur les ressources de la planète, et que la législation et la réglementation se concentrent maintenant sur la façon de faire les choses, les entreprises doivent désormais se focaliser sur leur façon de fonctionner, de produire et de servir. Le changement de la façon de faire des affaires favorise une approche éthique. la culture au sein des Organisations et des chaînes d’approvisionnement doit donc également se transformer pour permettre le  passage de la simple «création de richesse» à la notion de «création de bien-être».

Peut-être est-ce là la différence entre une entreprise bâtie sur le «capitalisme» (d’aucuns parlent de capitalisme sauvage) et une entreprise construite sur le «capitalisme responsable». Celui-ci intègre d’autres éléments dans sa définition de la «valeur», tels que les bénéfices sociaux et environnementaux. Le capitalisme responsable prolonge ainsi la «richesse» jusqu’au «bien-être». En d’autres termes, dans ce contexte, la valeur ajoutée est la somme de la richesse (s’appuyant sur le profit, pas seulement financier d’ailleurs) et du bien-être (résultant de l’optimisation des risques et des ressources). Cette création de valeur sera soutenue par l’éthique (objectif à atteindre), et la culture (moyen de la produire).

Peut-on auditer la culture d’une Organisation ?

Maintenant, il est nécessaire de mesurer tout cela. La culture est partout et nulle part dans les entreprises. Elle est partout dans le sens où elle est façonnée et déterminée par toutes les caractéristiques de l’entreprise – son personnel, son organisation, la façon de récompenser les gens, etc; – et nulle part, parce que la culture n’est pas tangible. Ce n’est pas un produit qu’on peut mettre sur une étagère, puis modifier et faire évoluer à volonté. Il est cependant nécessaire d’évaluer l’aptitude de la culture d’une entreprise à créer de la valeur pour l’Entreprise.

Avec quelque chose d’aussi intangible que la culture, où et comment peut-on commencer cette évaluation? Une bonne façon de démarrer une telle évaluation consiste à identifier la  « pression d’entreprise» sur son personnel. C’est cette pression qui va révéler les changements culturels et leur impact sur l’éthique. Cela soulèvera immanquablement des «feux rouges» indiquant que l’Organisation présente un risque important. Ce risque pourra se traduire notamment par un scandale affectant l’image de l’Organisation.

Les indicateurs de risque

Quels sont ces feux rouges? On peu en identifier cinq essentiels :

  • l’existence d’accords salariaux controversés, tels q’une rémunération anormalement élevée des dirigeants favorisant la prise de risques et encourageant uniquement des objectifs à court terme;
  • des structure juridique complexe rendant difficile la transparence, pour les Conseils d’Administration et le Management, sur ce qui se passe à l’intérieur de l’entreprise;
  • une mauvaise réalisation de Fusions / acquisitions conduisant à un mélange de cultures au sein de l’entreprise, avec des «poches» de mauvais comportement qui se développent hors du contrôle du Conseil d’Administration;
  • une discipline financière laxiste (par exemple Northern Rock et RBS avaient un endettement excessif qui a conduit à leurs problèmes) pouvant déclencher une crise;
  • des dirigeants « autocratiques » que le personnel craint de fâcher par crainte de représailles, ce qui signifie que des informations vitales sur les problèmes potentiels risquent de ne jamais atteindre la haute direction et les Conseil d’Administration.

COBIT 5 comme cadre d’évaluation

L’étape suivante consiste en la définition d’une approche pour examiner et évaluer la culture et l’éthique, en s’appuyant par exemple sur COBIT 5.

facilittaeurs de la création de valeur

Nous pouvons appliquer la publication COBIT 5 for Assurance, pages 139 – 141, à chacun des « feux rouges » identifiés ci-dessus. COBIT 5 examine l’influence sur le comportement par le Leadership selon trois axes, « à travers la communication, l’application et les règles », « au travers des incitations et des récompenses» et «par les actions de sensibilisation». Tous les trois portent sur les questions relatives à la pression de l’Entreprise.

La communication, les règles et leur application influencent les comportements

Cette perspective permettra de découvrir si l’entreprise « prend des raccourcis » ou fait preuve d’une discipline financière laxiste. Elle permettra également de découvrir si le conseil d’administration se concentre sur les mesures à court terme. On s’attachera notamment à ce niveau à étudier l’existence et le contenu des politiques et du système de management.

Les incitations et récompenses soutiennent les comportements souhaités:

Cet axe d’évaluation va révéler comment la rémunération et les récompense réelles correspondent aux schémas officiels de récompenses/pénalités en vérifiant si le personnel s’affranchit des limites, si les managers et le conseil d’administration tolèrent les petites infractions aux politiques et si les pénalités au niveau du salaire sont bien appliquées et encouragent la prise de risque – pour atteindre des objectifs à court terme.

La sensibilisation conditionne les comportements attendus

Cette perspective permet d’identifier si des structures juridiques complexes existent. C’est alors difficile, pour le conseil et la direction, de comprendre ce qui se passe à l’intérieur de l’entreprise. Par exemple, une complexité des structures peut résulter de prises de contrôle, conduisant à un choc de cultures. Cela générera des zones de mauvais comportement allant au-delà de la capacité de supervision du Conseil d’Administration.

En résumé, une évaluation globale basée sur COBIT 5 nous aidera à évaluer si le conseil change de direction s’écartant des pratiques validées sans officiellement modifier ou communiquer sa nouvelle approche.

A quoi sert vraiment COBIT ?

Mais COBIT 5 peut faire encore beaucoup plus pour nous. Il peut, de manière transparente, identifier la fourniture et l’utilisation des développements technologiques, tels que les objets connectés par Internet et le Big Data, et évaluer la réponse d’Entreprise en matière de confidentialité des données et de pratiques de cyber-sécurité. A mesure que les progrès technologiques se combinent de façon plus évidente, imbriquant chaque jour davantage vie professionnelle et vie privée, de nouvelles questions éthiques se posent. C’est l’évaluation continue de la culture et de l’éthique qui soutiendra toutes les opérations et l’obtention des résultats attendus.

Vous voulez découvrir comment COBIT peut vous aider?

AB Consulting, seul organisme de formation accrédité par APMG/ISACA sur l’ensemble des certifications COBIT 5 en Afrique de l’Ouest et du Nord, mais également certifié en matière d’audits sur la base de COBIT 5 vous propose de découvrir comment ce cadre de Gouvernance et de Management qui couvre la totalité de l’Entreprise, bien au delà du département informatique, peut vous aider à créer de la valeur au sein de votre organisation. N’hésitez pas à consulter notre site web pour en savoir davantage ou pour vous inscrire à l’une de nos formations certifiantes.

Des commentaires à faire sur cet article? Un témoignage à nous apporter? Des questions à poser? Surtout n’hésitez pas à poster ci-dessous vos commentaires. Nous vous répondrons avec grand plaisir.

Si vous pensez que ce post peut intéresser d’autres personnes, n’hésitez pas à le partager sur les réseaux sociaux.

Cyber-risques – Que fait le Conseil d’Administration?

Le Conseil d’Administration est en charge de s’assurer de la création de valeur pour les parties prenantes de l’Entreprise tout en optimisant les risques et les ressources. Le Conseil d’Administration, organe de Gouvernance de l’entreprise est donc directement concerné par les cyber-risques.

Le conseil d'administration

« La SEC (organisme fédéral américain en charge de réguler et de contrôler les marchés financiers), la FTC (agence américaine chargée de contrôler les pratiques commerciales) ainsi que d’autres organismes de réglementation (fédéraux, d’état, mondiaux) ont renforcé leurs évaluations des Entreprises en matière d’efforts réalisés pour sécuriser les données, ainsi que concernant les informations et la communication sur les risques en matière de cybersécurité et de violations des données. » comme l’indique KPMG dans son rapport On the 2015 Board Agenda.

Réagissant au grand nombre et à l’ampleur des vols de données qui n’ont fait qu’augmenter durant la dernière décennie, les agences gouvernementales commencent tout juste à durcir le ton et à envoyer des signaux clairs que la sécurité constitue désormais un sujet prioritaire pour les Entreprises.

Le commissaire Luis A. Aguilar de la SEC (Securities and Exchange Commission), parlant au New York Stock Exchange (NYSE) le 10 Juin 2014, a clairement indiqué la position de la commission. « La surveillance des cyber-risques par le Conseil d’Administration est essentielle pour assurer que les entreprises prennent des mesures adéquates pour prévenir les cyber-attaques et se préparer à faire face aux préjudices qui peuvent en résulter », a-t-il dit. Il a également émis un avertissement clair sur le fait que « les Conseils d’Administration qui choisissent d’ignorer ou de minimiser l’importance de leur responsabilité de surveillance de la cyber-sécurité, le font à leurs risques et périls ».

Depuis lors, le commissaire Aguilar est de nouveau monté au créneau pour lancer un nouvel avertissement sur les cyber-risques. « Cela ne devrait être une surprise pour personne que la cybersécurité soit devenue un point focal des efforts d’application de la SEC durant ces dernières années. Il est d’ailleurs de notoriété publique que la Division d’Application de la SEC investigue actuellement plusieurs cas de violation de données, » a-t-il dit lors du Sommet SINET innovation le 25 juin 2015. « En outre, la SEC a examiné de façon proactive comment elle peut, en utilisant son pouvoir actuel, obliger à l’application de mesures supplémentaires en matière de cybersécurité, et comment cette autorité pourrait devoir être étendue pour répondre aux menaces émergentes de cybersécurité ».

Cette nouvelle orientation des agences gouvernementales n’est cependant pas limitée aux États-Unis. L’Autorité Technique Nationale du gouvernement britannique pour la sûreté de l’information a ainsi déclaré que « la gestion proactive du cyber-risque au niveau du Conseil d’Administration est essentielle. » A cette fin, le gouvernement britannique a publié un document qui décrit les responsabilités et questions clés de cyber sécurité pour le Conseil d’Administration et le Management. Des ressources supplémentaires pour les conseils d’Administration incluent notamment un «Manuel de surveillance des Cyber-Risques», publié aux USA par l’Association Nationale des Administrateurs de Sociétés (NCAD).

Une réalité nouvelle pour le Conseil d’Administration

La nouvelle réalité à laquelle fait face chaque Conseil d’Administration est bien résumée dans Cybersecurity Docket : «Chaque Conseil d’Administration doit maintenant savoir avec certitude que sa société sera victime d’une cybe-rattaque, et pire encore, que c’est le Conseil qui aura la charge de nettoyer le gâchis et de surveiller les retombées » .

Comme dans tous les autres autres domaines de la conformité, les Administrateurs peuvent être tenus pour responsables pour ne pas avoir fait leur devoir afin de prévenir les dommages à la société. Dans l’exercice de leur rôle de surveillance, les Administrateurs doivent rester informés en permanence sur les mesures de cybersécurité de leur société. Ils doivent évaluer les risques et déterminer ce qui doit être fait pour les atténuer.

L’absence de surveillance adéquate des cyber-risques constitue une menace. «Les Administrateurs qui ne parviennent pas à prendre des mesures appropriées – à la fois avant et après un incident de sécurité de l’information – courent le risque que leur Entreprise soit soumise à l’application de mesures gouvernementales (lois ou réglementations), et qu’eux-mêmes soient personnellement sujets à des poursuites de la part des actionnaires », a expliqué le cabinet d’avocats Fredrikson & Byron.

KPMG, dans sa publication de Février 2015 sur les défis et priorités en matière de Gouvernance pour 2015 désigne la cybersécurité comme « LE problème du 21e siècle. » Au-delà du risque de conformité, le rapport souligne l’importance « des poursuites, des dommages à la réputation et de la perte de clients» comme conséquences potentielles.

Pourquoi les Conseils d’Administration peinent-ils à prendre en compte ce type de risques?

Selon le rapport d’Ernst & Young publié fin 2014 et intitulé « Cyber program management« , il y a plusieurs raisons pour lesquelles ils sont si réticents à s’engager sur la cybersécurité. Parmi ces raisons figurent :

  • le fait que l’internet et la connexion de l’Entreprise constituent juste l’un des nombreux sujets à l’ordre du jour d’un Conseil d’Administration,
  • la culture de silo au niveau de l’informatique qui a relégué la responsabilité de protection des données et des systèmes uniquement au niveau du département IT,
  • la difficulté pour le Conseil d’Administration d’évaluer correctement les risques de cyberattaques et le programme de gestion des risques associé mis en place par la direction,
  • et enfin l’approche de consolidation des défenses (contrôles préventifs de sécurité) tout en ignorant les capacités de détection et de réponse aux incidents.

Cependant, comme le commissaire Aguilar l’a déclaré à la Bourse de New York, les temps ont changé, et «s’assurer de l’adéquation des mesures de cybersécurité de l’entreprise aux risques doit être une préoccupation essentielle d’un Conseil d’Administration dans le cadre de ses responsabilités de surveillance en matière de risques. » Cela devrait figurer comme un slogan en lettres capitales sur le mur de la salle du conseil : les administrateurs ne peuvent plus balayer  d’un revers de main les Cyber-Risques. C’est leur responsabilité de surveiller la gestion de ces risques qui était autrefois déléguée au domaine informatique.

Comment doivent-ils s’y prendre pour assurer cette responsabilité?

Le Conseil d’Administration de chaque Enterprise doit désormais prendre le temps nécessaire sur son agenda pour surveiller les cyber-risques . Selon les termes du document « Cyber program management » d’E&Y, les Conseils d’Administration sont maintenant invités à discuter de la cybersécurité sur une base trimestrielle, voire même plus fréquemment.

Comment les administrateurs doivent-ils d’y prendre pour surveiller les cyber-risques? Le Commissaire Aguilar, de la SEC, a fourni des conseils dans son discours au NYSE. « Les Conseils d’Administration sont chargés de s’assurer que la Société a mis en place des programmes de gestion des risques appropriés et de surveiller la façon dont le management met en œuvre ces programmes, » a-t-il déclaré. C’est clairement la responsabilité du Conseil d’Administration de veiller à ce que la direction ait mis en place des protocoles de gestion des risques efficaces.

Quels conseils pouvons-nous donner aux administrateurs?

Un Conseil d’Administration doit veiller à la gestion des cyber-risques dans le cadre de son programme de gestion des risques à l’échelle de l’entreprise. Il doit également chercher à mieux comprendre les risques informatiques et ceux liés à l’utilisation d’internet, évaluer les pratiques actuelles en matière de cybersécurité et planifier ainsi que préparer les personnels de l’Entreprise, grâce à des tests réguliers, pour une cyber-attaque. En résumé, la responsabilité deux Conseil d’Administration va au delà de la cyber-sécurité. Il doit répondre de la cyber-résilience de la Société devant les parties prenantes.

Les administrateurs devraient se poser trois questions importantes :

  1. Comprenons-nous bien la nature des cyber-menace s’appliquant à notre Société?
  2. Est-ce que les processus et la structure du Conseil d’Administration permettent un dialogue de qualité sur les questions de cyber-résilience?
  3. Que faisons-nous pour nous maintenir au courant des évolutions constantes des cyber-menaces?

Nous vous proposons quelques pratiques clés pour susciter intérêt et l’attention du Conseil d’Administration sur les cyber-risques :

  • Demander désormais régulièrement des informations sur les cyber-risques, et pas seulement à la Direction Générale ou au DSI,
  • Cherchent à mieux comprendre la nature des cyber-risques et leur impact sur l’organisation,
  • Remettre en permanence en question la gestion de la cyber-sécurité et la cyber-résilience de l’organisation.

Par quoi commencer?

Il existe désormais des référentiels de bonnes pratiques et des normes dans les domaines de la sécurité de l’information (ISO 27001, ISO 27002) et de la cyber-résilience (RESILIA). Il en va de même pour la Gouvernance du Système d’Information qui est clairement, comme nous l’avons vu précédemment, à la charge du Conseil d’Administration, avec COBIT® et ISO 38500.

Une première étape, afin de sensibiliser les Administrateurs sur ces responsabilités nouvelles pour eux, consisterait à organiser une séance de sensibilisation sur les responsabilités du CA dans l’Entreprise du 21ème siècle au travers de programmes tels que :

COBIT® 5 pour les Conseil d’Administration et les Exécutifs (2 formats : session de 4 heures ou d’une journée). Cette formation couvre à la fois les responsabilités des Administrateurs et des membres du Comité de Direction.

RESILIA : Sensibilisation (2 formats : session de 4 heures ou d’une journée). Cette formation, plus orientée sur la stratégie de cyber-résilience et sa mise en oeuvre, s’adresse aux Administrateurs mais aussi, et surtout, aux membres du Comité de Direction.

La seconde étape consiste bien évidemment à élaborer une stratégie de cyber-résilience en lançant un programme adéquat et à rédiger des politiques de sécurité, de gestion des risques, des gestion des ressources humaines, etc. adaptées à cette stratégie. AB Consulting, seul organisme accrédité en Afrique sur l’ensemble des domaines concernés par ISACA, AXELOS, APMG, EXIN, PECB, vous propose toute une game de services d’évaluation / audit d’aptitude des processus de l’entreprise mais aussi d’évaluation de la maturité de votre Organisation, ainsi que d’accompagnement à la mise en oeuvre et de l’amélioration de la gouvernance du SI et la réalisation du programme de cyber-résilience, grâce à ses experts du domaine.

Nous vous proposons également nos formations accréditées et certifiantes telles que :

ISO 27001 Practitioner Bootcamp (Foundation et Practitioner sur 5 jours – Certification APMG) destiné aux personnels en charge de l’implémentation d’un Système de Management de la Sécurité de l’Information dans votre Organisation

ISO 27001 Lead Implementer (5 jours – Certification PECB) destiné aux responsables du projet d’implémentation du SMSI

RESILIA Practitioner Bootcamp (Foundation + Practitioner sur 5 jours – Certification AXELOS®) destiné aux personnels en charge d’implémenter la cyber-résilience du système d’information

COBIT Implementation Bootcamp (Foundation + Implementation sur 5 jours – Certification APMG/ISACA) pour les personnes participant à l’amélioration ou l’implémentation de la Gouvernance du SI.

ISO 38500 Corporate IT Governance Manager (3 jours – Certification PECB)

Nous proposons également de nombreuses autres formations sur ce domaine, notamment destinées aux personnels des entités métiers des entreprise ainsi qu’aux auditeurs et contrôleurs.

Pour tout complément d’information ou pour vous inscrire à notre newsletter, merci de bien vouloir remplir le formulaire de contact :

Catégories

Archives

Calendrier

août 2018
L M M J V S D
« Juil    
 12345
6789101112
13141516171819
20212223242526
2728293031  
%d blogueurs aiment cette page :