Home » Gouvernance

Category Archives: Gouvernance

Guide COBIT 2019 : de A jusqu’à Z

COBIT 2019 vient d’être publié par l’ISACA et les certifications commencent tout juste à être disponibles. Pour l’instant seul le niveau Foundation et le Bridge sont proposés. Le reste suivra en Avril. C’est donc le bon moment, me semble-t-il, pour comprendre ce que COBIT 2019 apporte vraiment aux organisations. Il fallait trouver une façon un peu ludique de vous le présenter. J’ai donc choisi cette approche originale d’un guide sous forme d’un abécédaire. Je vous laisse le découvrir en vous amusant et j’attends vos commentaires.

COBIT 2019 - Guide de A jusqu'à Z
Crédit © rawpixel 2019

J’ai déjà eu l’occasion de décrire quelques aspects importants de COBIT 2019, notamment dans mon introduction à COBIT 2019. C’était fin 2018, au moment de la publication des deux premiers volumes par l’ISACA.

COBIT est un cadre conçu pour prendre en charge la gouvernance et la gestion de l’information d’entreprise, incluant les technologies associées. Il aide les organisations à créer de la valeur pour divers groupes de parties prenantes en priorisant leurs besoins. Il aide également les organisations à atteindre leurs objectifs en établissant un partenariat entre l’informatique et le reste de l’entreprise, plutôt que de traiter la DSI comme une entité à part.

Bien sûr, COBIT 2019 va beaucoup plus loin que cela. C’est pourquoi j’écris aujourd’hui cet article afin de donner un aperçu de haut niveau de ce qu’est vraiment COBIT. Cela complète un précédent article : « 10 étapes pour bien démarrer avec COBIT 2019« . Je vous invite également à jeter un coup d’œil à mon dernier article « Atteignez vos objectifs de gouvernance grâce à COBIT 2019 » qui met en lumière les principaux changements entre COBIT 5 datant de 2012 et la nouvelle version améliorée.

Alignement des objectifs

Un des mécanismes essentiels de COBIT est la cascade d’objectifs. Le concept de cascade d’objectifs consiste en une approche descendante qui aide les organisations à créer des objectifs d’entreprise à partir des besoins et facteurs de motivation des parties-prenantes. Ces objectifs d’entreprise (ou objectifs stratégiques) se transforment ensuite en objectifs d’alignement. Dans le domaine informatique, les objectifs d’alignement «mettent l’accent sur l’alignement de tous les efforts informatiques avec les objectifs commerciaux». Enfin, les objectifs d’alignement se transforment en objectifs de gouvernance et de gestion de l’information et des technologies associées (EGIT).

La cascade d'objectifs de COBIT 2019
Crédit © ISACA 2019

Bénéfices pour les parties prenantes

L’ISACA déclare qu ’«… une majorité d’entreprises indiquent que moins de la moitié de leurs initiatives informatiques apportent réellement les avantages attendus

Si vous travaillez dans l’informatique (ou tout autre service dépendant des services informatiques), vous avez sûrement dû rencontrer, par exemple, un produit technologique acheté et installé avec toutes les promesses du monde. Mais vous constaterez que finalement, il ne livre pas ce qui était attendu. Le but recherché c’est la réalisation des bénéfices commerciaux et c’est ce que COBIT aide les organisations à faire: utiliser les technologies de l’information pour obtenir les résultats souhaités.

Composants de gouvernance de COBIT 2019

Dans COBIT 2019, des composants – vous les connaissez peut-être en tant que facilitateurs ou « enablers » dans COBIT 5 – existent pour aider une entreprise à gouverner et gérer avec succès son information et la technologie associée. Le but de chaque composant est défini par les objectifs d’alignement de l’organisation dans le cadre d’un processus en cascade d’objectifs. 

Dans COBIT, il y a sept composants:

  1. Les processus
  2. Structures organisationnelles
  3. Les flux d’information et éléments
  4. Personnes, aptitudes et compétences
  5. Politiques et procédures
  6. Culture, éthique et comportement
  7. Services, infrastructure et applications.

Ces sept composants fonctionnent ensemble pour garantir que l’objectif de gouvernance est en adéquation avec la stratégie de l’organisation.

DevOps

COBIT 2019 intègre désormais explicitement DevOps. DevOps illustre à la fois une variante de composant et une zone d’intérêt. Pourquoi? DevOps est un thème actuel sur le marché et nécessite certainement des orientations spécifiques. Cela en fait donc une zone d’intérêt (Voir la lettre Z).

DevOps comprend un certain nombre d’objectifs génériques de gouvernance et de gestion du modèle central COBIT, ainsi qu’un certain nombre de variantes de processus et de structures organisationnelles liés au développement, aux opérations et à la surveillance. DevOps nécessite également la mise en place d’une certaine culture et d’une  attitude d’ouverture d’esprit, de partage des compétences ainsi que sortir les équipes de leur zone de confort. De même DevOps nécessite une certain niveau d’automatisation (services, infrastructures et applications). Il est clair que DevOps constitue une zone d’intérêt, priorisée parmi les premières et en cours de développement.

Economique et efficient

COBIT vise à maintenir la conformité des organisations et à réduire les risques au sein de l’informatique, ce qui peut les aider à économiser de l’argent. Par exemple, être exposé à un risque particulier pourrait entraîner des conséquences très coûteuses et indésirables pour une entreprise, tant sur le plan financier que sur le plan de la réputation.

Il aide également à traduire les besoins des parties prenantes en objectifs et utilise des méthodes approfondies (telles que les tableaux de bords équilibrés mentionnée ci-dessous) pour garantir que les activités opérationnelles restent sur la bonne voie (performances) et restent alignées sur la vision de l’entreprise. Cela aussi permet d’économiser de l’argent à long terme, car l’argent n’est pas gaspillé pour des activités ou des processus qui n’apportent aucune valeur à l’organisation.

Facteurs de conception

Les facteurs de conception sont des facteurs qui peuvent influer sur la conception du système de gouvernance d’une entreprise et la positionner de manière appropriée pour réussir dans l’utilisation de son SI.

COBIT répartit les facteurs de conception dans11 catégories qui peuvent d’ailleurs se combiner entre eux.

Les facteurs de conception de COBIT 2019
Crédit © ISACA 2019

Gouvernance de l’information et des technologies

L’objectif principal de COBIT 2019 est de fournir aux entreprises des lignes directrices sur la gouvernance ET la gestion de l’information et des technologies de l’information d’entreprise.

COBIT considère ces disciplines comme des domaines distincts et les traite donc comme tels. L’aspect gouvernance de COBIT aide les organisations à rester en conformité et à réduire les risques liés à l’informatique. La direction doit ensuite planifier, élaborer, exécuter et surveiller les activités conformément à l’orientation fournie par la gouvernance pour atteindre les objectifs de l’organisation.

Hollistique

Le cadre permet une approche globale de la gouvernance et de la gestion de l’informatique d’entreprise. Le tableau de bord équilibré (décrit à la lettre T) aide à faire correspondre les objectifs de l’informatique à ceux de l’organisation et montre leur lien avec les objectifs de gouvernance de COBIT.

En utilisant cette approche globale, c’est-à-dire en fusionnant informatique et business, les relations entre l’organisation et les TI peuvent être considérablement améliorées. L’informatique devient alors une partie intégrante de l’entreprise au lieu d’être traitée comme une entité distincte.

Intégré (cadre de gouvernance et de management)

L’un des principes sous-jacents de COBIT est qu’il s’intègre bien à d’autres référentiels et normes du secteur, tels que ISO, ITIL, TOGAF, PMBOK, SFIA, etc..

Le point important, c’est qu’il ne cherche pas à remplacer d’autres cadres. Au lieu de cela, les autres cadres devraient être utilisés ensemble pour atteindre les résultats souhaités. COBIT aide également les entreprises à utiliser pleinement les cadres qui sont peut-être déjà en place. Considérez-le donc comme un cadre global permettant de les intégrer.

aJustable aux organisations

Chaque entreprise se distingue des autres par de nombreux aspects: taille, secteur, environnement réglementaire, spectre des menaces, rôle de l’informatique dans l’organisation, choix tactiques liés à la technologie, etc.

COBIT les désigne collectivement comme des « facteurs de conception » – (voir F comme facteurs de conception).

Les organisations doivent adapter leur système de gouvernance pour tirer le meilleur parti de l’utilisation de leur SI. Il n’existe pas de système de gouvernance unique pour l’information et la technologie d’entreprise qui convienne à tous.

La personnalisation signifie qu’une entreprise part du modèle central COBIT et applique des modifications à ce cadre générique. La réalisation de ces modifications intervient en fonction de la pertinence et de l’importance d’une série de facteurs de conception.

Ce processus s’appelle «conception du système de gouvernance de l’information et de la technologie d’entreprise».

Kanban et autres méthodes agiles

Dans sa conception même, COBIT 2019 intègre les concepts issus des méthodes agiles (Kanban, SAFE, Scrum, Lean IT, DevOps). Il s’adapte donc à toute organisation souhaitant améliorer son agilité business sur la base de son système d’information et de la technologie associée.

Lois et réglementations

Le monde du droit et de la réglementation peut être très déroutant et difficile à maîtriser. Comme dans le monde des technologies, les choses peuvent évoluer très rapidement.

COBIT peut aider les organisations à rester en conformité. En effet, il s’aligne sur les normes de gouvernance acceptées dans le monde entier. Il s’appuie également sur les lois, les réglementations et les accords contractuels, et facilite l’élaboration de politiques internes en matière de conformité.

Mapping

C’est certainement un mot que nous pouvons associer à COBIT, car la cartographie apparaît dans plusieurs domaines:

  • Les objectifs sont mis en correspondance avec les objectifs de gouvernance du tableau de bord équilibré
  • Les besoins des parties prenantes sont mis en correspondance avec les objectifs de l’entreprise
  • Le cadre COBIT peut être mappé sur d’autres cadres, travaillant ensemble pour réussir.

Nouveautés de COBIT 2019

La publication de COBIT 2019 date de novembre 2018. Il contient un certain nombre d’éléments nouveaux, modifiés et mis à jour. J’ai déjà mentionné les composants, les zones d’intérêt et les facteurs de conception. Le management de la performance dans COBIT 2019 est un autre exemple qu’on doit mentionner. Il examine le fonctionnement du système de gouvernance et de gestion de votre organisation, ainsi que de tous les composants.

Pour connaître le détail des nouveautés de COBIT 2019, je vous invite à lire un de mes précédents articles : COBIT 2019 – Les nouveautés.

Objectifs de gouvernance et de management

Les objectifs de Gouvernance et de Management sont maintenant au nombre de 40. Chaque objectif est supporté par un processus qui sera associé aux autres composants permettant d’atteindre cet objectif. Les objectifs se répartissent en cinq domaines.

COBIT 2019 : domaines des objectifs de gouvernance et de management

Performance (management de la)

Le management de la Performance COBIT (CPM) fait référence au fonctionnement du système de gouvernance et de gestion et de tous les composants d’une entreprise, ainsi qu’à la manière les améliorer au niveau requis. Il inclut des concepts et des méthodes tels que les niveaux de capacité et les niveaux de maturité. COBIT 2019 repose sur les principes suivants:

  • Simple à comprendre et à utiliser
  • Conformité avec le modèle conceptuel COBIT, et prise en charge de ce modèle
  • Fournir des résultats fiables, reproductibles et pertinents
  • Doit être flexible
  • Devrait supporter différents types d’évaluations

Le modèle CPM s’aligne largement sur les concepts CMMI® Development 2.0 et les étend:

  • Les activités de processus sont associées à des niveaux de capacité. Ceci est inclus dans le guide COBIT: Objectifs de gouvernance et de gestion.
  • D’autres types de composants de gouvernance et de gestion (structures organisationnelles, informations, par exemple) peuvent également avoir des niveaux de capacité définis pour eux dans les futures directives que l’ISACA pourrait publier.
  • Les niveaux de maturité sont associés à des zones d’intérêt (c’est-à-dire un ensemble d’objectifs de gouvernance et de gestion et des composants sous-jacents) et seront atteints si tous les niveaux de capacité requis sont atteints.

Qualité de l’information

Toute organisation ayant besoin de technologie pour conserver et transmettre ses informations peut utiliser COBIT. Il fournit des conseils sur les systèmes d’information de l’organisation afin de s’assurer qu’ils sont conformes, sécurisés et fiables. De plus, COBIT fournit aux entreprises les informations dont elles ont besoin pour comprendre, utiliser et gérer les processus et l’infrastructure informatiques.

Risque et ressources optimisées pour créer de la valeur

L’objectif principal de COBIT en matière de gouvernance est défini comme suit: «création de valeur», basée sur trois éléments:

  1. Réalisation des bénéfices – la citation, «la seule raison valable d’investir dans un changement fondé sur la technologie est de générer des bénéfices» est un bon point de départ pour décrire cet élément.
  2. Optimisation des risques – il existe deux types de risques, le mauvais et le bon. L’optimisation des risques consiste à éviter autant que possible les mauvais risques et à rechercher de manière proactive les bons risques qui rapporteront.
  3. Optimisation des ressources: il s’agit de veiller à ce que le service informatique dispose des ressources appropriées pour atteindre les objectifs de l’entreprise. Cela comprend la technologie, les ressources humaines et les processus. Il se concentre sur l’optimisation de ces ressources pour une fourniture efficace et cohérente de services informatiques. Et, sans les ressources adéquates en place, les organisations peuvent gaspiller de l’argent, laisser tomber les consommateurs et nuire au moral du personnel.

Le cadre aide à trouver le meilleur équilibre entre ces facteurs, de manière à ce que chaque groupe de parties prenantes puisse bénéficier d’une valeur optimale.

Système de gouvernance pour la transformation numérique

La nouvelle version mise à jour de COBIT reconnaît que la transformation numérique modifie le mode de travail des entreprises. Elle indique qu’il n’est plus acceptable que le conseil d’administration d’une organisation «délègue, ignore ou évite des décisions relatives à l’information et à la technologie». L’information et la technologie sont des outils essentiels dans un monde numérique. Les conseils d’administration et les cadres supérieurs doivent donc être étroitement associés. alors même que la création de valeur dépend de plus en plus de la numérisation.

Tableaux de bord équilibrés (BSC)

Le système de tableaux de bord équilibrés (Balanced Score Cards) est utilisé depuis de nombreuses années dans les entreprises pour aider les organisations à suivre leurs activités opérationnelles et s’assurer qu’elles s’efforcent de respecter la vision, la mission et les objectifs de l’entreprise. COBIT apporte le système de tableaux de bord équilibrés au service informatique pour aider à aligner les objectifs informatiques sur les besoins de l’entreprise.

Le tableau de bord équilibré (BSC) lui-même comporte quatre dimensions:

  1. Financier (l’organisation travaille-t-elle dans les limites de son budget et réalise-t-elle un bénéfice?)
  2. Client (l’organisation fournit-elle des services / produits que le client aime?)
  3. Interne (l’organisation optimise-t-elle tous ses processus pour fournir ses services de manière efficace?)
  4. Apprentissage et croissance (l’organisation est-elle en constante amélioration?)

Les objectifs de COBIT se répartissent sur les quatre dimensions des BSC. Le cadre précise si la relation de chaque objectif est primaire ou secondaire par rapport aux objectifs de gouvernance de COBIT. L’objectif de gouvernance est, rappelons-le la réalisation de bénéfices, l’optimisation des risques et l’optimisation des ressources.

Utilisateurs mieux satisfaits

Avec COBIT, les besoins des utilisateurs professionnels sont analysés et intégrés à des objectifs. Cela les aide à accroître leur satisfaction à la fois de l’utilisation des services (car ceux-ci répondent désormais à leurs besoins) et de l’interaction avec les technologies de l’information (parce qu’ils sont pris en compte dans le développement du processus). Dès lors, le cadre, ainsi que d’autres éléments, aident le service informatique à fournir la meilleure expérience utilisateur possible.

Valeur assurée pour les parties prenantes

Les parties prenantes sont toujours le point de départ de COBIT. L’analyse des parties prenantes consiste notamment à déterminer qui elles sont, ce dont elles ont besoin et ce qu’elles veulent.

Il est important ensuite de différencier leurs besoins et leurs désirs. Les désirs sont souvent «agréables à avoir», ce qui n’est tout simplement pas réalisable. Par contre, les besoins sont des exigences. L’organisation doit impérativement les satisfaire afin de fournir une valeur aux parties prenantes. En effet, comme le dit COBIT, la création de valeur est la raison pour laquelle les organisations existent.

Worldwide

Des entreprises du monde entier utilisent COBIT comme cadre de gouvernance. Reconnu dans le monde entier, il peut être mis en œuvre dans toute organisation qui s’appuie sur l’information et la technologie pour faciliter ses opérations commerciales. L’ISACA met à disposition des utilisateurs, sur son site web un document montrant les principales utilisations de COBIT comme cadre de gouvernance ou d’audit dans les différents pays du monde.

eXemples de mise en oeuvre

Se voulant clairement moins théorique que la version précédente, la documentation de COBIT 2019 inclut désormais de nombreux exemples destinés aux responsable de la conception et de la mise en oeuvre d’un système de gouvernance spécifique dans leur organisation. COBIT 2019 apparaît désormais comme une boîte à outils directement utilisable dans toute organisation.

Yes you can

Pour reprendre la devise du Président Obama, vous pouvez, vous aussi participer à l’évolution de COBIT 2019.

COBIT a été développé à l’origine par l’ISACA. L’ISACA est  une association professionnelle indépendante à but non lucratif regroupant plus de 140 000 professionnels de la gouvernance, de la sécurité, des risques et de l’assurance dans 187 pays.

L’ISACA a choisi un modèle «open source» pour COBIT 2019. Les utilisateurs ont donc désormais la possibilité de fournir de manière proactive un retour d’information et de proposer des améliorations, et de nouvelles évolutions qui seront publiées au besoin.

Zones d’intérêt

Une zone d’intérêt (focus area) décrit un sujet, un domaine ou un problème de gouvernance qui peut être traité par un ensemble d’objectifs de gouvernance et de gestion et leurs composants.

Les zones d’intérêt peuvent contenir une combinaison de composants de gouvernance génériques et de variantes.

Le nombre de zones d’intérêts est pratiquement illimité. C’est ce qui rend COBIT ouvert. L’ajout de nouvelles zones d’intérêt interviendra à la demande ou avec la contribution d’experts et de praticiens.

Les 4 zones d’intérêts actuellement priorisées et en cours de publication sont :

  • Petites et moyennes entreprises,
  • Cybersécurité,
  • Risques,
  • DevOps

Voici donc mon abécédaire de COBIT 2019, de A jusqu’à Z. Je ne vous cache pas que cela n’a pas été facile de trouver les mots adéquats pour certaines lettres rarement utilisées en français (K, W, Y, Z par exemple). J’ai essayé d’inclure les modifications de la version 2019 autant que possible. Pensez-vous qu’il faudrait ajouter d’autres sujets? N’hésitez pas à laisser vos remarques et commentaires. Nous vous en remercions.

Avec COBIT 2019, atteignez vos objectifs de gouvernance

Cela fait maintenant un peu plus de deux mois que l’ISACA a publié les premiers volumes de COBIT 2019. COBIT constitue depuis de nombreuses années le cadre de référence pour la gouvernance de l’information des entreprises. Cette nouvelle version, attendue depuis longtemps (COBIT 5 avait été publié en 2012) est donc un évènement important. Du moins, pour les responsables de la gouvernance des Entreprises, constitue-t-elle un élément majeur. Après seulement deux mois d’utilisation, je peux affirmer sans hésiter que cette dernière version est l’un des meilleurs cadres à ce jour pour la gouvernance et la gestion des TI dans l’entreprise. Dans cet article, je vais vous en montrer quelques éléments clés. Ceux-ci vous aideront sans aucun doute à atteindre les objectifs fixés par la gouvernance de votre organisation.

COBIT 2019 - Atteignez vos objectifs de gouvernance et de management
Crédit © rawpixel.com 2018

Cette version se base sur quatre publications clés, toutes disponibles à ce jour:

  • Framework: Introduction and Methodology, qui décrit la structure du cadre global,
  • Framework: Governance and Management Objectives, qui décrit en détail le modèle de base et ses 40 objectifs de gouvernance et de management,
  • COBIT 2019 Design Guide, qui explique comment utiliser COBIT de manière pratique,
  • COBIT 2019 Implementation Guide, qui est une version actualisée et plus pertinente du Guide de mise en œuvre de COBIT 5.

L’approche COBIT 2019

L’une des choses que j’aime beaucoup dans l’approche de l’ISACA est sa stratégie commerciale. Les deux premières publications sont entièrement GRATUITES, et vous pouvez les télécharger sur le site de l’ISACA. Les deux suivantes sont gratuites pour les membres uniquement.

Vous êtes nombreux à savoir que je suis un grand fan des référentiels de bonnes pratiques. Au fil des années, ils ont été développés et promus pour aider les entreprises à comprendre, concevoir et adopter une gouvernance informatique. COBIT 2019 constitue le cadre de gestion et de gouvernance de l’information et de la technologie (I & T) le plus complet. COBIT continue, au fil des ans, de s’affirmer comme un cadre généralement accepté pour la gouvernance I & T. Mais cette nouvelle version couvre l’ensemble de l’entreprise, c’est-à-dire toute la technologie et le traitement de l’information qu’une entreprise utilise pour atteindre ses objectifs. Il est cependant important de noter que COBIT n’est pas un cadre organisant des processus métier, ni un cadre pour régir et gérer toutes les technologies spécifiques. Il se concentre sur les composants d’I & T nécessaires pour diriger et gérer les informations qu’une entreprise reçoit, traite, stocke et diffuse.

Qu’y a-t-il de vraiment nouveau dans COBIT 2019?

Il y a de nombreuses différences majeures entre COBIT 2019 et son prédécesseur, COBIT 5, parmi lesquelles :

  • Les 5 principes ont été modifiés.
  • De nouvelles zones d’intérêt existent désormais (DevOps, sécurité, …)
  • La création de nouveaux facteurs de conception,
  • La cascade d’objectifs est mise à jour,
  • Les processus ont été améliorés (il y en a maintenant 40 au lieu de 37),
  • La gestion de la performance a été actualisée.
  • L’expression «composants de la gouvernance» remplace les facilitateurs (« enablers ») de COBIT 5.
  • Et ce que je préfère, ce sont les nouveaux objectifs détaillés en matière de gouvernance et de gestion.

Il y a tellement d’améliorations qu’il est difficile de toutes les saisir dans un seul article. Je vais donc me concentrer sur l’interrelation entre les nouveaux composants et les objectifs de gouvernance et de gestion. Mais vous vous demandez peut-être comment les processus s’intègrent à tout cela? Je vais donc y revenir plus en détail.

Focalisons-nous sur les composants de gouvernance

Après notre récent article 10 trucs pour bien démarrer avec COBIT 2019, nous allons nous concentrer sur le coeur du référentiel. Ils s’agit des composants de la gouvernance. Pour atteindre leurs objectifs de gouvernance et de gestion, les entreprises doivent mettre en place un système de gouvernance reposant sur un certain nombre de composants.


«Les composants sont des facteurs qui, individuellement et collectivement, contribuent au bon fonctionnement du système de gouvernance de l’entreprise sur l’I & T.» (COBIT 2019 Framework, Introduction and Methodology – ISACA).


Ces composants comprennent:

  • Les processus
  • Structures organisationnelles
  • Information
  • Aptitudes et compétences
  • Culture et comportement
  • Les politiques et les procédures
  • Services, infrastructure et applications.

Vous les avez peut-être reconnus en tant que facilitateurs (« enablers ») dans COBIT 5. Personnellement, j’aimais énormément ce concept de facilitateurs dans COBIT 5. Cependant, il était très difficile de les mettre en oeuvre dans une entreprise. Ces composants constituent désormais un élément clé du référentiel COBIT 2019 basé sur leur lien avec les objectifs de gouvernance et de management.

Les objectifs de gouvernance et de management

L’un des éléments clés de la valeur ajoutée de l’I & T est de contribuer à la réalisation des objectifs de l’entreprise. Les objectifs IT qui étaient toujours mal compris. Ils sont remplacés par les objectifs d’alignement entre les métiers et les TI, l’objectif final étant la création de valeur.

COBIT 2019 : la nouvelle cascade d'objectifs de gouvernance
Source: De Haes, Steven; W. Van Grembergen; Enterprise Governance of Information Technology: Achieving Alignment and Value,Featuring COBIT 5, 2nd ed., © Springer International Publishing, Switzerland, 2015

Les objectifs de gouvernance et management des TI sont organisés dans les 5 mêmes domaines que ceux que nous avions auparavant dans COBIT 5 :

COBIT 2019 : domaines des objectifs de gouvernance et de management

Chaque domaine contient un ensemble d’objectifs de gouvernance et de management. Un objectif de gouvernance ou de management se rapporte toujours à un processus et aux autres composants nécessaires pour atteindre cet objectif. On retrouve les objectifs de gouvernance associés domaine EDM. Les objectifs de gestion sont pour leur part associés aux domaines APO, BAI, DSS et MEA.

Comme indiqué ci-dessous, il existe 40 objectifs de gouvernance et de gestion.

COBIT 2019 : 40 objectifs de gouvernance et de management
COBIT Core Model, COBIT 2019 Framework, Introduction and Methodology: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

Connu sous le nom de modèle de référence de processus ou PRM (Process Reference Model) dans COBIT 5, COBIT 2019 l’identifie comme étant le modèle central (Core Model) de COBIT. Dans ce modèle, chacun des 40 objectifs de gouvernance et de management est lié à un processus, qui est l’un de nos composants de gouvernance. Nous allons voir maintenant comment tout cela s’organise.

Utilisation d’objectifs de gouvernance et de management avec les composants

Chacun des 40 objectifs de gouvernance et de gestion est atteint grâce à l’exécution d’un processus du modèle central. Il est donc normal que le modèle central compte désormais 40 processus. Et c’est là que le modèle révèle toute sa puissance. Vous vous souvenez qu’un peu plus tôt dans cet article que j’ai mentionné que les facilitateurs (« enablers ») de COBIT 5 étaient difficiles à associer au modèle COBIT? Eh bien, maintenant, chacun de ces composants (« enablers ») constitue un des ingrédients nécessaires à la réalisation de l’objectif.

COBIT 2019 Framework: Governance and Management Objectives, chacun des objectifs de gouvernance et de management, ou processus, est clairement décrit à l’aide des composants de gouvernance, comme illustré ci-dessous.

COBIT 2019 : architecture des composants du modèle de gouvernance et de management

Maintenant que j’ai expliqué l’architecture générale du modèle, nous allons rentrer dans le détail d’un objectif. Nous prendrons l’exemple de APO13 – Managed security. Ainsi nous comprendrons mieux comment se structure chacun des 40 objectifs de gouvernance et de management.

Informations de haut niveau

Une fiche basée sur une structure standard décrit en détail chaque objectif. Les premières informations décrite en haut de la fiche comprennent la zone d’intérêt, le nom de domaine, le nom de l’objectif de gouvernance ou de management, sa description et la déclaration de l’objet de cet objectif.

COBIT 2019 - Objectif de gouvernance APO13 - Part 1
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

La cascade d’objectifs

La cascade d’objectifs relative à cet objectif spécifique est ensuite décrite. Elle inclut les objectifs d’alignement applicables (anciennement objectifs informatiques), les objectifs d’entreprise et des exemples de métriques.

COBIT 2019 - Objectif de management - Part 2
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

Les composants associés

Rappelez-vous, ils sont au nombre de sept. Ce sont les « enablers » de COBIT 5.

1. Processus

Le processus est un composant clé. En effet, c’est grâce au processus que chaque objectif de gouvernance ou de de management est atteint. Dans le composant «Processus», peu de choses ont changé. Nous voyons toujours un ensemble de pratiques de management, d’exemples de métriques et d’activités, ainsi que des conseils connexes. L’un des principaux ajouts à COBIT 2019 est que chaque activité correspond désormais à un niveau d’aptitude.

COBIT 2019 - Objectif de management APO13 - Part 3
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

Des référentiels de bonnes pratiques connexes apparaissent désormais pour CHACUN des composants de gouvernance. Dans le cas des processus, vous les retrouverez pour chacune des pratiques.

COBIT 2019 - Objectif de management - Part 4
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

2. Structures organisationnelles

Les différents niveaux de participation sont divisés en niveaux d’autorité (Accountability) et de responsabilité (Responsibility). Les entreprises doivent examiner les niveaux de responsabilité et de responsabilisation, les consulter et les informer, et mettre à jour les rôles et les structures organisationnelles dans le tableau en fonction du contexte, des priorités et de la terminologie de l’entreprise. COBIT 2019 suggère uniquement des rôles d’autorité et de responsabilité. COBIT 5 incluait des rôles de consulté et d’informé. Or, étant donné que les rôles consultés et informés dépendent essentiellement du contexte et des priorités de l’organisation, ils ne figurent plus dans les nouveaux guides de COBIT.

COBIT 2019 - Objectif de management APO13 - Part 5
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

3. Eléments et flux d’information

Ce composante de gouvernance fournit des indications sur les flux d’information et les éléments liés aux pratiques du processus. Chaque pratique comprend des entrées et des sorties, avec l’indication de l’origine et de la destination.

COBIT 2019 - Objectif de management APO13 - Part 6.1

COBIT 2019 - Objectif de management APO13 - Part 6.1
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

4. Personnes, aptitudes et compétences

Ce composant identifie les ressources humaines et les compétences requises pour atteindre l’objectif correspondant.

COBIT 2019 - Objectif de management APO12 - Part 7
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

5. Politiques et procédures

Ce composant identifie les politiques et les procédures nécessaires à l’atteinte de l’objectif concerné.

COBIT 2019 - Objectif de management APO13 - Part 8
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

6. Culture, éthique et comportement

Ce composant, essentiel identifie les comportements et les aspects culturels des personnes impliquée dans l’atteinte de l’objectif.

COBIT 2019 - Objectif de management APO13 - Part 9
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

7. Services, infrastructure et applications

Ce composant identifie de façon détaillée les services tiers, les types d’infrastructures et les catégories d’applications pouvant être utilisés pour soutenir la réalisation d’un objectif de gouvernance ou de management. Les instructions sont génériques (pour éviter de nommer des éditeurs, des constructeurs ou des produits spécifiques).

COBIT 2019 - Objectif de management APO13 - Part 10
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

Informations connexes

COBIT 2019 identifie les normes, les référentiels et les exigences de conformité applicables pour chaque élément de gouvernance. Il fournit également des références détaillées, le cas échéant, au niveau de chacun des composants. Elles diffèrent cependant de celles de COBIT 5, qui s’appliquaient uniquement au niveau du processus.

Conclusion

C’est grâce à la cascade d’objectifs que vous identifierez les objectifs de gouvernance et de management des TI applicables. Il ne vous reste alors qu’à mettre en oeuvre les composants correspondants aux objectifs sélectionnés. Les objectifs de gouvernance et de management avec leurs composants constituent désormais le noyau de COBIT. Je reviendrai ensuite, dans un prochain article, sur les autres grandes nouveautés de cette version.

N’hésitez pas à commenter cet article pour nous donner votre ressenti sur cette nouvelle version de COBIT. Que pensez-vous des évolutions? Avez-vous un retour d’expérience? C’est grâce à vous que nous pouvons faire vivre ce blog.

 

RGPD : GOOGLE devra payer 50 millions d’euros d’amende

Cette fois, ça y est. La première amende significative infligée par la CNIL et concernant la non-conformité au RGPD vient de tomber. Et c’est GOOGLE qui en est la cible. Le géant américain devra débourser 50 millions d’euros d’amende pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. Je vais essayer de vous expliquer pourquoi. Mais c’est sans doute aussi pour vous l’opportunité de vous assurer que vous n’êtes pas les prochains sur la liste.

RGPD : La CNIL inflige une amende de 50 millions d'euros à GOOGLE
Crédits © Fotolia 2018

Dès le 25 Mai 2018, les associations « None Of Your Business » (« NOYB ») et « La Quadrature Du Net » (« LQDN ») déposaient des plaintes collectives contre GOOGLE, sur la base du RGPD, auprès de la CNIL. La plainte de LQDN était mandatée par près de 10.000 personnes. Dans ces deux plaintes contre le géant américain, les associations reprochaient à GOOGLE de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.

De quoi s’agit-il exactement?

Trois manquements ont été identifiés par la CNIL pour justifier cette amende :

  • un manquement aux obligations de transparence. Les informations fournies par Google ne sont « pas aisément accessibles pour les utilisateurs »
  • une information insatisfaisante, qui n’est pas « toujours claire et compréhensible »
  • et une absence de consentement valable pour la personnalisation de la publicité.

1. Manquement aux obligations de transparence


« Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation. »


Concernant l’accès à l’information, la CNIL regrette que des « informations essentielles […] sont excessivement disséminées dans plusieurs documents ». Il faut que l’internaute navigue entre plusieurs boutons et liens pour accéder aux indications « pertinentes ». L’Autorité de Contrôle a ainsi recensé cinq ou six actions préalables à effectuer avant d’arriver aux explications adéquates. C’est beaucoup trop.

2. Information non satisfaisante

Par ailleurs, à propos de la qualité de l’information, les traitements réalisés par Google « sont décrits de façon trop générique et vague », tout comme les données concernées. En clair, l’internaute « n’est pas en mesure de comprendre l’ampleur des traitements », alors que ceux-ci «  sont particulièrement massifs et intrusifs, en raison du nombre de services proposés, de la quantité et de la nature des données traitées et combinées. »


« Les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par GOOGLE. Or ces traitements sont  particulièrement massifs et intrusifs, en raison du nombre de services proposés (une vingtaine), de la quantité et de la nature des données traitées et combinées. »


La CNIL a constaté en particulier que les finalités sont insuffisamment énoncées. Elles sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités.  Il en va de même pour l’information délivrée aux utilisateurs. Elle est considérée comme  pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société GOOGLE. Enfin, les conditions générales d’utilisation de GOOGLE ne mentionnent nulle part la durée de conservation de certaines données.

3. Absence de consentement éclairé pour la personnalisation de la publicité

Au sujet du consentement, la CNIL observe que le consentement des internautes « n’est pas suffisamment éclairé » (du fait des manquements précédents), et que des cases d’approbation sont pré-cochées par défaut (comme l’affichage des publicités personnalisées).


« Certes, lors de la création d’un compte, l’utilisateur a la possibilité de modifier certains des paramètres associés au compte en cliquant sur le bouton «  plus d’options », présent avant le bouton « Créer un compte ». Il est notamment possible de paramétrer les modalités d’affichage des annonces personnalisées.

Le RGPD n’est pas pour autant respecté. En effet, non seulement l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au  paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut. Or le consentement n’est « univoque », comme l’exige le RGPD, qu’à la condition que l’utilisateur effectue un acte positif (cocher une case non précochée par exemple). « 


Enfin, GOOGLE présente les conditions d’utilisation de telle façon que l’internaute est obligé de toutes les accepter en bloc. Il ne peut pas le faire au cas par cas comme l’exige le RGPD.

Comment la CNIL a-t-elle pris sa décision?

Ces manquements ne portent pas sur des points anecdotiques. Bien au contraire, ils portent sur « des principes essentiels  » du RGPD. Les utilisateurs sont ainsi privés de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée. Or, « l’ampleur des traitements en cause impose de permettre aux utilisateurs de garder la maîtrise de leurs données. »

La CNIL a aussi tenu compte de certaines particularités, comme le poids du système d’exploitation Android en France.


« Compte tenu de la place prépondérante qu’occupe le système d’exploitation Android sur le marché français, ce sont chaque jour des milliers de Français qui procèdent à la création d’un compte GOOGLE à l’occasion de l’utilisation de leur ordiphone. De même, la formation restreinte rappelle que le modèle économique de la société repose en partie sur la personnalisation de la publicité. Une responsabilité toute particulière incombe dès lors à la société dans le respect de ses obligations en la matière. »


Enfin, l’Autorité de Contrôle fait observer que cette sanction ne punit pas « un manquement ponctuel, délimité dans le temps », mais plusieurs infractions qui sont toujours en cours à ce jour. Ces infractions constituent donc des « violations continues » du RGPD. Pour toutes ces raisons, il apparaissait nécessaire à la CNIL de frapper fort. Cependant ce n’est pas le coup le plus rude que la CNIL aurait pu porter au géant du Web.

S’agit-il d’une sanction record?

La sanction de 50 millions d’euros infligée par la CNIL à l’encontre de Google constitue à ce jour la plus forte peine prononcée par la Commission. C’est aussi la première à ce niveau qui a été rendue dans le cadre du RGPD. Cependant, elle reste extrêmement modeste au regard de la puissance financière du géant du net. En effet, son chiffre d’affaires annuel s’élève à près de 110 milliards de dollars.

À travers le RGPD, la CNIL a la possibilité de prononcer des peines dont le montant peut atteindre 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (ou 20 millions d’euros pour les organisations de plus petite envergure). L’Autorité de Contrôle doit déterminer quelle échelle il faut suivre. Elle compare les deux montants possibles et garde celui qui est le plus élevé.

Ces montants constituent un maximum. L’autorité de contrôle établit le montant de l’amende de sorte qu’elle soit dissuasive tout en restant proportionnée à l’infraction constatée.

L’amende maximum encourue par GOOGLE s’élèverait donc à plus de 4 milliards d’euros. Cette sanction apparaît donc comme extrêmement modérée.

A quelle suite s’attendre?

La firme de Mountain View ne va pas en rester là. En effet, GOOGLE a annoncé le 23 Janvier avoir décidé de contester la sanction auprès du Conseil d’Etat. Le prochain acte se jouera donc devant le Conseil d’État, la plus haute juridiction française de l’ordre administratif.

Dans un communiqué transmis à la presse, le géant du net explique avoir « travaillé d’arrache-pied pour créer un processus de consentement RGPD pour les annonces personnalisées qui soit le plus transparent et le plus simple possible. (…) Nous sommes aussi préoccupés par les effets  de cette décision (…). Pour toutes ces raisons, nous avons décidé de faire appel ».

Il est clair que l’Entreprise est beaucoup inquiète des effets collatéraux de l’annonce publique de cette sanction que de la somme à payer. En effet en cas de confirmation de la décision, cela risque d’avoir des conséquences importantes. Ces conséquences porteront notamment sur sa crédibilité aux niveau de ses clients et de ses actionnaires. Les 50 millions d’euros risquent donc d’être une goutte d’eau dans les conséquences financières réelles de cette condamnation.

Vous trouvez cette sanction justifiée? Vous êtes inquiet pour vos données personnelles et l’utilisation qui en est faite par les géants de la publicité? Ou au contraire vous pensez que les GAFA (Google-Amazon-Facebook-Apple) prennent toutes les dispositions nécessaires? N’hésitez pas à réagir au travers de commentaires.

10 trucs pour bien démarrer avec COBIT 2019

Il y a quelques semaines que la nouvelle version du référentiel de Gouvernance et de Management de l’information : COBIT 2019 a été publiée sous la forme des 4 premiers volumes. Nous nous sommes donc posé la question de comment bien démarrer avec COBIT 2019. Voici nos 10 conseils.

COBIT 2019 - 10 trucs pour bien démarrer votre initiative de gouvernance
Crédit © rawpixel.com 2018

Petit rappel historique : de Cobit à COBIT® 2019

Vous avez sûrement déjà entendu parler de COBIT. COBIT existe depuis un moment maintenant. Si tel est le cas, vous vous souviendrez peut-être que COBIT était un cadre dirigé vers des pratiques en matière d’audit. Vous vous souvenez peut-être aussi de l’ancien nom: CobiT. C’était alors un acronyme signifiant littéralement «Objectifs de contrôle pour l’information et les technologies connexes». Son nom traduisait clairement ses racines basées sur l’audit. Tout cela, c’était il y bien longtemps. En tout cas, c’était avant 2012.

Mais maintenant c’est simplement devenu COBIT®, un nom commercial  sans signification spéciale. À l’instar d’ITIL, l’acronyme a été remplacé en 2012 avec la version COBIT® 5 traduisant une ambition beaucoup plus grande. COBIT 5 est devenu LE cadre de gouvernance et de management de l’information des entreprises, incluant la technologie associée. Il s’agit donc depuis 2012 d’un référentiel de gouvernance et de management couvrant toute l’entreprise. Ce n’est plus un cadre d’audit limité au domaine informatique.

Avec COBIT 2019, l’ISACA va encore plus loin en simplifiant COBIT 5 et en y rajoutant des outils de design ainsi que des niveaux de maturité pour chacun des objectifs. Les processus et les « enablers » ont quitté le premier plan du modèle principal, remplacés par les objectifs.

Démarrer avec COBIT

Comme pour beaucoup de choses dans la vie, et pas uniquement dans les TI, il y a rarement une seule approche universelle. Au lieu de cela, vous devez trouver l’équilibre entre ce que vous devez réaliser, vos priorités clés et les limites organisationnelles sur lesquelles vous souhaitez appliquer le changement.

Alors, prenez les 10 conseils suivants dans l’esprit dans lequel ils vous sont proposés. Considérez-les et conservez seulement ceux qui sont pertinents pour votre organisation.

1. Comprenez d’abord à quoi sert COBIT

Cela peut vous paraître étrange de prime abord. Mais je vous rappellerai l’évolution de COBIT que j’ai décrite en introduction. COBIT 2019 est aujourd’hui décrit comme un «cadre de gouvernance et de gestion de l’information et de la technologie (I & T)». On est très loin de sa vocation d’origine. Il est également important de bien comprendre que ce n’est pas un cadre de gestion des services informatiques comme l’est ITIL par exemple. Il s’adresse à toute l’organisation prise dans son ensemble. Ce n’est donc pas quelque chose destiné au DSI. Un programme de mise en oeuvre couvre toute l’entreprise, c’est à dire toutes les directions : métiers, finances, RH, risques, sécurité, etc.

2. Comprenez ce que le mot « gouvernance » signifie pour votre organisation

C’est peut-être le conseil le plus important. Pour tirer le meilleur parti de COBIT 2019, il est primordial de «mettre tout le monde sur la même longueur d’onde» en ce qui concerne la gouvernance (et la gestion bien sûr). Sinon, vous aurez probablement autant de définitions internes de la gouvernance que d’employés. D’ailleurs il n’est pas du tout certain que votre haute direction ait une vision claire à ce sujet. En effet, la notion de gouvernance dans les pays francophones est assez mal comprise. Sans doute est-ce dû à l’histoire et à la culture « monarchique » française. Elle est très éloignée de la gouvernance comprise par les anglophones. Nous y reviendrons dans un prochain article sur la structure de gouvernance et de management des organisations. Alors si besoin, n’hésitez pas à faire suivre aux membres de votre direction une formation d’introduction. 2AB & Associates propose également des présentations destinées aux exécutifs que nous réalisons sur 1h30 à 3h pour l’ensemble de Comité de Direction

3. Reconnaissez que COBIT 2019 n’est pas seulement un ensemble de 40 processus

De nombreuses approches ITSM se concentrent sur les processus d’amélioration. COBIT 2019 inclut aussi 40 processus mais il ne sont que des composantes des 40 objectifs de gouvernance et de management. Les 40 objectifs se répartissent dans 5 domaines:

  • 1 domaine pour la Gouvernance
    • EDM : Evaluer, Diriger et Surveiller
  • 4 domaines pour le management
    • APO : Aligner, Planifier et Organiser
    • BAI : Bâtir, Acquérir et Implémenter
    • DSS : Délivrer, Servir et Supporter
    • MEA : Surveiller, Evaluer et Contrôler.

Chaque objectif repose sur 7 composants (qui s’appelaient les « enablers » dans la version précédente) pour être atteint :

  • un processus
  • structures organisationnelles
  • flux d’informations et d’éléments
  • personnes, des aptitudes et des compétences
  • politiques et des procédures
  • culture, éthique et comportement
  • services, infrastructure et applications.

Les objectifs sont déterminés en utilisant la cascade d’objectifs qui était au coeur de COBIT 5. De la sorte, vous vous focaliserez sur les objectifs prioritaires de votre organisation.

4. Obtenez l’implication forte de la haute direction pour la mise en oeuvre

Un facteur clé du succès de COBIT 5 a toujours été la haute direction, qui fournit la direction, le mandat et son engagement continu pour l’initiative. C’est encore plus vrai avec la version 2019. Il s’agit de mettre en oeuvre des pratiques de gouvernance et de management. C’est donc une responsabilité qui se situe au plus haut niveau de l’organisation. Sans une implication forte de haute direction, l’échec de votre programme est quasiment assuré.

5. Justifiez formellement l’investissement dans COBIT 2019

Ne démarrez pas cela comme «une bonne chose à faire» en vue de s’améliorer. Ces types d’initiatives tendent à être les premières à être arrêtées lorsque des pressions budgétaires entrent en jeu. Il s’agit là d’un programme d’envergure au niveau de votre entreprise. La justification grâce à des business cases appropriés est donc impérative. Réalisez une analyse de rentabilité pour chaque projet contenu dans le programme définissant la portée, les bénéfices attendus et, surtout, décrivant un mécanisme permettant de mesurer les progrès et les succès.

6. Commencez de façon ciblée pour obtenir un accord

En particulier, identifiez les «points de douleur» spécifiques. COBIT 2019 peut vous aider à les traiter (et à les résoudre) au lieu de simplement commencer par une liste d’actions. Cela vous aidera non seulement à rester concentré, mais aussi à promouvoir les succès obtenus. Cela vous permettra également de mieux convaincre la haute direction et de transformer un sentiment de besoin diffus en nécessité absolue de mise en oeuvre. C’est ainsi que vous déclencherez le désir du changement sans lequel rien n’est possible.

7. Mettez en oeuvre « votre » programme et n’essayez pas de copier-coller le contenu de COBIT 2019

Comme pour les autres cadres de bonnes pratiques, il est nécessaire d’adopter et d’adapter COBIT 2019 aux besoins et au contexte spécifiques de votre organisation. Ne considérez surtout pas la publication de l’ISACA comme un évangile et le seul moyen de bien faire les choses. Il s’agit simplement de lignes directrices vous permettant de comprendre comment procéder. Vous devez vous en inspirer pour créer votre propre cadre de gouvernance et de management de l’I&T, spécifique à votre organisation. Il convient également de cibler les objectifs qui sont prioritaires dans votre cas particulier. N’oubliez jamais que les ressources mises à votre disposition ne sont pas illimitées.

8. Assurez-vous que le langage que vous employez est compris et accepté de tous

Votre organisation n’est sans doute pas nouvelle. Elle a sans doute adopté un langage ou un lexique commun en interne afin de garantir la clarté de la communication. Il convient de faire en sorte que tout le monde ait une compréhension commune des choses. Donc, lorsque vous démarrez avec COBIT 2019, ne changez pas les habitudes. Utilisez le langage interne connu et compris de tout le monde connaît. Tant pis si ce n’est pas le langage utilisé dans les publications officielles. Le programme de mise en oeuvre ou d’amélioration de la gouvernance et du management de l’I&T est complexe. Ne le compliquez pas encore plus avec l’utilisation de termes que les gens ne comprennent pas. Cela risquerait d’aboutir au rejet pur et simple de votre initiative et à son échec. Ne courrez pas ce risque.

9. Démarrez doucement avec les choses simples et visibles

Comme pour chaque nouveauté introduite dans l’environnement professionnel, il est important de mettre l’accent sur les «gains rapides» (Quick Wins). Cette astuce se reflète dans la hiérarchisation des améliorations les plus bénéfiques dans le contexte de la facilité de réalisation. Cette atteinte rapide des objectifs et la réalisation des premiers bénéfices contribuera à renforcer la crédibilité et la confiance. Elle renforcera ainsi l’investissement continu en temps et en argent, ainsi que la motivation des personnes impliquées dans le changement.

10. Assurez-vous de mettre en place dès le début des mesures du succès

Comme déjà mentionné dans le conseil n ° 5, il doit exister un mécanisme permettant d’évaluer et de rendre compte des améliorations. Il est important de noter qu’il ne s’agit pas seulement de mesurer  la phase « projet ». Il convient aussi et surtout  de réaliser l’évaluation continue des performances et la progression des opportunités d’amélioration. Et surtout ne trichez pas. Soyez transparent et communiquez les résultats des mesures réelles. Si les cibles ne sont pas atteintes, c’est peut-être que vous avez été trop ambitieux. Alors expliquez- et adaptez vos cibles pour qu’elles soient atteignables et faites les progresser dans le temps. Il vaut toujours mieux commencer avec des résultats modestes mais en constante amélioration qu’avec des résultats incroyablement bons mais faux…

Voici donc nos 10 conseils pour bien démarrer avec COBIT 2019. Vous n’êtes pas d’accord? Vous pensez que vous pouvez en rajouter d’autres? Vos commentaires sont les bienvenus. N’hésitez pas à ouvrir le débat.

19 résolutions pour une année 2019 réussie

2018 vient de se terminer. Et ce fut une année riche en nouveautés dans les domaines de la gouvernance, du management des TI et de la sécurité de l’information. C’est donc le moment idéal pour souhaiter une très belle année 2019 à tous nous lecteurs de la part de toute l’équipe de 2AB & Associates. Cette année 2019 va voir arriver sans doute encore plus de nouveautés que la précédente. Et cela va commencer dès les prochaines semaines et les prochains mois.

Bonne année 2019
Crédits © rawpixel.com 2018

Mais avant de nous concentrer sur ce qui arriver ou ce qui vient d’arriver, essayons de garder les pieds sur terre. Traditionnellement, chaque début d’année est propice aux bonnes résolutions. Alors, pour ne pas faillir à la tradition, nous avons également réfléchi à ce qui pourrait servir de base pour de bonnes résolutions dans les départements ITSM des organisations.

« C’est une nouvelle ère. C’est un nouveau jour. C’est une nouvelle vie pour moi. Et je me sens bien! »  Est-ce vraiment ce que vous vous êtes dit en rentrant dans votre bureau le 2 Janvier? D’accord, certains d’entre vous l’ont peut-être dit. Mais beaucoup d’entre vous n’ont fait que recommencer la même course, la nouvelle année marquant seulement le début de 12 mois de nouveaux défis. Ces nouveaux défis seront accompagnés d’une grande partie des anciens, qui sont toujours là. Alors, que devriez-vous faire pour commencer 2019 de la bonne façon – ou au moins de la meilleure façon possible?

Ou, dit autrement,

Démarrez dans la bonne direction

Mon premier groupe de conseils pour 2019 porte sur la construction des fondations appropriées pour les améliorations et les changements futurs.

1. Comprenez que l’informatique «telle que nous la connaissons» est en train de changer rapidement

Beaucoup de changements sont intervenus récemment. Ils concernent la technologie que nous gérons. Mais ils affectent aussi celle que nous utilisons pour nous aider à gérer l’informatique. La demande de l’entreprise et son besoin confiance en cette technologie (ainsi que dans les services auxquels elle contribue) ne cessent de croître. Et il en est ainsi également des attentes croissantes des employés et des clients externes qui bénéficient des meilleurs résultats des stratégies d’expérience utilisateur. Tous ces facteurs, ainsi que d’autres, vont changer radicalement la gestion des services TI au cours des 12 prochains mois et au-delà. Il est temps pour vous de changer et vous adapter. Sinon c’est vous qu’on risque de changer.

2. Appuyez-vous sur les bonnes pratiques pour susciter le changement

Si vous lisez régulièrement mon blog, vous avez déjà découvert les nouvelles versions de VeriSM, ISO/IEC 20000, COBIT et ITIL. La première vague d’ITIL 4 arrive au premier trimestre 2019. D’une part, c’est formidable. Ce cadre de bonnes pratiques est enfin en train de rattraper le monde en rapide évolution dans lequel nous travaillons. De l’autre côté, cependant, ces «nouvelles versions» vont potentiellement stimuler les activités axées sur un accroissement de flexibilité par les personnes qui y sont exposées. Il en résultera beaucoup de petites activités de changement potentiellement disparates. Bien sûr, vous pouvez toujours considérer cela comme «mieux que rien». Il est toutefois bien plus raisonnable d’envisager tous ces changements à venir dans le cadre d’une approche globale d’amélioration. C’est la seule façon de pouvoir en tirer le meilleur avantage.

3. Commencez enfin à penser et à communiquer en termes de valeur business – et non informatique.

Cela ne concerne bien sûr que ceux et celles qui ne le font pas déjà. C’est la grande orientation que prend l’industrie de la gestion des services informatiques aujourd’hui. Nombreux sont ceux qui considèrent qu’elle aurait déjà dû être dans cette approche de «focalisation sur la valeur» depuis des années. Une de ces voix est celle de Paul Wilkinson, dont les ateliers révèlent généralement que le principal reproche que les cadres supérieurs font à leurs collègues des TI est qu’ils ne comprennent «pas la priorité business et l’impact de l’informatique sur l’entreprise».

4. Réalisez que l’amélioration réelle de la gestion des services informatiques ne se réalisera que si vous la planifiez de manière proactive.

Vous savez probablement déjà ce qui se passe souvent avec vos meilleures ambitions d’amélioration de l’ITSM. Le «vrai travail» vous en empêche. Le tumulte quotidien au sein du département TI, et en particulier du support informatique, empêche les gens de prendre du temps pour «sortir la tête de l’eau». Ils « courent » en permanence pour satisfaire les utilisateurs. Une approche proactive d’amélioration nécessite non seulement de justifier des ressources et des coûts supplémentaires. Mais ce n’est pas suffisant. Il faut aussi de veiller à ce que les opportunités soient bien priorisées en fonction des besoins et des objectifs du business. Il est également indispensable de pouvoir ensuite mesurer et communiquer les résultats atteints par rapport aux objectifs de l’entreprise.

5. Chassez les idées fausses

Ne faites pas l’erreur de penser que l’amélioration des services TI engendre toujours une amélioration de la performance du business. Ce n’est pas vrai. Au lieu de cela, vous devez vraiment comprendre les effets ultimes des idées potentielles d’amélioration des TI sur les résultats business. Et comprenez également que, de façon perverse, il n’est pas impossible que les améliorations apportées à la gestion des services informatiques aient un effet négatif sur les résultats de l’entreprise.

Pourquoi? Prenons un exemple très simple: l’organisation informatique a réussi à favoriser l’adoption du libre-service informatique. C’est un gros succès pour le département informatique qui se trouve libéré de multiple tâches de support. Dès lors, les commerciaux de l’entreprise se débrouillent maintenant seuls pour résoudre leurs incidents informatiques. Ils sont autonomes pour faire les demandes de nouveaux services. Du coup, du fait de leur inefficacité dans ce domaine et de leur mauvaise compréhension, ils perdent beaucoup de temps à cela. Ce temps perdu est évidemment répercuté sur le temps consacré à leurs activités business. Or c’est leur activité business qui crée de la valeur pour l’entreprise. Au final, les économies opérationnelles réalisées par le centre de services informatiques sont très largement contrebalancées par la baisse des ventes mensuelles. Et c’est l’entreprise toute entière qui est impactée négativement. C’est un cas simple que j’ai déjà rencontré à plusieurs reprises et qui mérite d’être médité lorsque l’on cherche à s’améliorer.

6. Identifiez et priorisez les améliorations ITSM par le biais de conversations avec vos clients, et non avec les informaticiens.

Vous avez sans doute déjà une longue liste de choses que vous aimeriez améliorer. Mais vous devez faire attention à ce que ce soient les «bonnes choses», du point de vue business. C’est particulièrement le cas lorsque ce qui semble être une amélioration très intéressante en matière de gestion des services informatique n’a que peu d’impact positif sur les opérations business (voir le point précédent). Ainsi, plutôt que de considérer l’amélioration du point de vue du département IT, vous devez toujours partir de l’extérieur et aller de l’avant vers l’intérieur. C’est à dire qu’il faut systématiquement opter pour une approche externe. C’est toujours le business qui doit être le point de départ.

7. Analysez vos précédentes activités d’amélioration des services TI.

Cette activité d’analyse est, hélas, trop souvent négligée. L’orientation prospective du département informatique empêche souvent de revenir sur ce qui s’est passé auparavant. Pourtant, comme pour tout ce que vous faites dans le domaine des TI, cela vous permettra d’apprendre du passé (et des autres). Il s’agit non seulement de tirer des leçons de ce qui n’a pas bien fonctionné, mais également de ce qui s’est bien passé. Il faut surtout comprendre le « pourquoi » afin d’identifier les risques et les améliorations à apporter. Ces résultats d’analyse devront ensuite être pris en compte dans les activités d’amélioration de 2019. Vous éviterez ainsi de refaire éternellement les mêmes erreurs.

Focalisez-vous sur ce qui est vraiment important

Mon deuxième groupe de conseils pour 2019 concerne les tendances et les innovations qui affecteront votre façon traditionnelle de penser ainsi que votre façon d’exploiter vos services TI.

8. Prenez conscience de l’importance de l’expérience utilisateur en matière de services TI.

Aussi loin que je me souvienne, les meilleures pratiques en matière de gestion des TI n’ont jamais voulu reconnaître les utilisateurs finaux comme étant des clients. Elles se basaient pour cela sur le fait qu’ils ne paient pas personnellement leur s services informatiques. Elles considéraient donc que les clients étant plutôt des cadres supérieurs (ceux-ci risquant d’ailleurs de ne pas payer les factures informatiques). Cependant, tout cela n’a aujourd’hui plus aucune importance. En effet  c’est l’expérience des employés qui est désormais au centre. Car l’informatique n’est qu’un outil au service des employés pour leur faciliter l’atteinte de leurs objectifs business. L’aspect majeur, c’est que le fait de ne pas tenir compte de l’expérience des employés aura probablement une incidence négative sur le succès, la valeur et la pertinence du service informatique pour toute l’entreprise.

9. Préparez-vous pour l’arrivée de l’intelligence artificielle (IA) dans le domaine des services TI.

Vous n’y échapperez pas. Il est impossible que votre organisation, votre département informatique et vos activités TI ne soient pas affectées par les opportunités offertes par l’intelligence artificielle en 2019. Et, au cours de la prochaine année, de plus en plus de fournisseurs d’outils ITSM introduiront des fonctionnalités d’intelligence artificielle basées sur des tâches, notamment pour le support. Cela va des chatbots à la catégorisation, à la hiérarchisation et au routage automatisés des tickets. Le battage médiatique de 2018 sur l’IA deviendra une réalité en 2019. Et ce sera essentiel pour améliorer l’ITSM dans les trois domaines suivants: «meilleur, plus rapide, moins cher». Alors, êtes-vous prêt, ou serez-vous prêt pour l’arrivée imminente de l’IA?

10. … Et essayez d’éviter un déferlement incontrôlé de l’IA.

En informatique, nous sommes souvent confrontés à la nécessité faire face à «un déferlement», où la technique et les coûts technologiques ne sont pas contrôlés. Ainsi, la virtualisation et la prolifération des machines virtuelles (VM) constituent un cas d’école bien connu. Les entreprises paient pour une plus grande «capacité», c’est-à-dire plus de VM, qu’elles n’en ont réellement besoin (et n’en utilisent). Ensuite, il y a eu la prolifération des services cloud (l’infonuagique). Et là encore, en raison du manque de contrôle sur les capacités de cloud payées on a sur-dépensé pour des capacités dont certaines n’étaient pas nécessaires. Maintenant, alors que les services informatiques et d’autres fonctions business cherchent à exploiter l’intelligence artificielle, ils ne doivent pas se retrouver face aux mêmes situations. Ce n’est pas tellement lié à la capacité redondante, mais plus à la disparité et au nombre d’initiatives d’IA. Contrairement à une mise en oeuvre centralisée et contrôlée, cela conduira à une duplication des efforts et à des coûts d’achat et de fonctionnement plus élevés (et probablement à des problèmes d’interopérabilité).

11. Cessez de parler de création de valeur par la gestion des services TI à vos collègues du business

Attendez!? Quoi!? Ne vous inquiétez pas, c’est l’une de ces situations du type «Le roi est mort, vive le roi». La gestion des services TI est toujours aussi bénéfique pour votre entreprise. Par contre, il est important de faire la distinction entre ce dont on parle et comment cela s’appelle. La plupart des personnes de votre entreprise (y compris au sein des équipes informatiques) ne savent pas ou ne se soucient pas de ce qu’est vraiment la gestion des services TI. La plupart, cependant, comprennent que «la transformation numérique est un impératif commercial» (peu importe ce que cela signifie). Et les éléments de la gestion de services informatiques que nous connaissons et aimons peuvent jouer un rôle efficace dans la transformation numérique. C’est le cas en particulier dans la transformation du back-office. Il peut s’agir par exemple de remplacer les procédures manuelles souvent lentes par une automatisation améliorée, une meilleure compréhension et, pour l’avenir, de tirer avantage de l’AI.

12. Repensez vos stratégies et vos politiques en matière de ressources humaines.

J’ai parlé de certains changements importants ayant une incidence sur la gestion des services TI dans les points précédents. Cependant, les responsables informatiques doivent également tenir compte les effets de ces changements sur les personnes. Et ils doivent se préparer à y réagir. C’est un sujet qui mérite beaucoup plus qu’un simple point et un conseil, mais je vais essayer d’être bref.

Pour commencer, il faut bien comprendre qu’il est de plus en plus difficile de travailler dans l’informatique. Les informaticiens se sentent de plus en plus mal à leur place. Le stress quotidien augmente considérablement sur le lieu de travail et conduit à des difficultés de rétention du personnel. De plus, les types de compétences et de capacités requises du personnel évoluent en permanence. Cela va de l’attitude à l’aptitude du centre de services informatiques à travailler avec succès, en s’améliorant continuellement en s’appuyant sur de nouvelles fonctionnalités basées sur l’IA. Non seulement de nouvelles méthodes de travail apparaissent, mais aussi de nouveaux rôles traitant de tâches et de problèmes plus complexes. Ceci est dû notamment à un accroissement du libre-service, de l’automatisation et de l’IA qui ont supprimé les tâches plus simples. Les techniciens se retrouvent donc désormais uniquement face à des tâches complexes.

13. Reconsidérez la façon dont vous évaluez la satisfaction des utilisateurs face à l’informatique.

Le traditionnel questionnaire de satisfaction constitue depuis longtemps l’outil privilégié pour comprendre ce que vos clients, c’est-à-dire vos collègues de travail, pensent de l’organisation informatique et du support en particulier. Toutefois, l’industrie de la gestion des services informatiques (ITSM) tarde à prendre conscience du fait que cette mesure – ou du moins les questions qui sont posées et la manière dont elles sont posées – cache la véritable perception des clients en matière d’informatique. Et si les perceptions des clients ne sont pas bien comprises, toutes les activités entreprises pour vous améliorer sont probablement mal ciblées. Pour citer le légendaire Ivor Macfarlane: « Si nous mesurons les mauvaises choses, nous améliorerons probablement seulement les mauvaises choses ».

14. Evaluez votre niveau de gestion des connaissances et le succès de votre libre-service

Pourquoi? Parce que ce sont deux domaines qui devraient influencer positivement vos succès en matière d’IA. Mais cela sera possible seulement si vous «exploitez» au mieux ces deux domaines. Et, malheureusement, de nombreuses organisations informatiques ont beaucoup de mal à traduire les technologies associées en fonctionnalités que les employés utilisent activement au quotidien.

15. Examinez bien la façon dont vos collaborez avec les équipes de développement

Je ne m’étendrai pas sur ce point, car mon article est déjà long et j’aime penser que les choses s’améliorent. Cependant «70% des répondants pensent que le personnel ITSM n’a pas été suffisamment impliqué dans les activités et les ambitions DevOps du business” selon une enquête ITSM réalisée mi-2017. Alors, prenez le temps de vous demander si les communautés de la production, du support et DevOps collaborent vraiment bien au sein de votre organisation. Si elles ne le font pas, alors faites enfin quelque chose de positif sur ce sujet critique. Et rappelez-vous que le point critique dans une approche DevOps c’est l’aspect culturel.

16. Investissez massivement sur la facilitation du changement organisationnel

Non, je ne parle pas ici du processus de gestion du changement préconisé par ITIL. Je fais bien référence à la gestion du changement organisationnel (OCM) qui est essentiellement culturel. Il est indispensable de reconnaître que la plupart des changements technologiques et commerciaux sont en définitive des changements liés aux personnes.

La publication « ITIL Practitioner Guidance » décrit la gestion du changement organisationnel (OCM) comme suit: «Une approche permettant de gérer les effets du changement sur les personnes, ce qui peut être dû à de nouveaux processus métier, à des changements de structure organisationnelle ou à des changements culturels au sein d’une entreprise. En termes simples, OCM s’adresse au côté humain de la gestion du changement. ». Il s’agit en réalité de comprendre comment nous, humains, réagissons au changement, puis d’utiliser des outils et des techniques éprouvés pour aider les gens à adhérer à un changement donné. COBIT prend d’ailleurs très au sérieux ce sujet qui se traduit dans plusieurs composantes de la gouvernance et du management.

Regardez au delà de chaque changement pris individuellement

Mon dernier groupe de conseils de 2019 concerne la durabilité des activités d’amélioration dans le temps.

17. Obtenez la mesure de vos mesures ITSM

Depuis combien de temps utilisez-vous les mêmes mesures ITSM? Et en particulier depuis combien de temps avez-vous les mêmes indicateurs de performance clés pour votre centre de services? J’ai déjà évoqué la nécessité de mieux comprendre la perception des clients vis-à-vis de l’informatique, au-delà du questionnaire de satisfaction client traditionnel. Mais il existe également de nombreuses autres raisons d’investir du temps et des ressources dans la révision de vos métriques.

Par exemple, une fois que vous avez une meilleure compréhension de ce qui influence ou motive le «bonheur» du client, vous pouvez ensuite identifier les indicateurs actuels qui génèrent les comportements et actions incorrects du personnel informatique, puis les résultats obtenus, par rapport aux besoins désormais connus du client. Et donc vous pouvez identifier les attentes. Ou encore, comment les mesures d’efficacité traditionnelles seront affectées par le succès du libre-service, de l’automatisation et de l’IA. Sera-t-il possible de modifier simplement les cibles ou est-il plus facile de simplement mettre quelques mesures nouvelles dans votre tableau de bord? Par exemple vous pourriez mesurer le taux de résolution de premier contact.

18. N’oubliez pas de communiquer largement sur vos succès

C’est facile à faire! Pourtant c’est rarement fait… Tout le monde est tellement occupé par les tâches quotidiennes que tous les succès en matière d’amélioration sont rapidement «salués de la tête», puis on passe à autre chose. Si vous vous êtes longtemps battu pour obtenir des ressources et des budgets supplémentaires pour atteindre vos objectifs, ne pas communiquer efficacement vos succès revient à «vous tirer une balle dans le pied». En effet si vous ne communiquez pas, on oubliera que vous avez atteint votre objectif. Et, au final, il en résultera une impression de faible retour sur investissement.  Et, point important, obtenir des budgets d’amélioration en 2020 sera probablement encore plus difficile.

19. Essayez d’aider les autres mais surtout aidez-vous vous-même

Le succès futur de l’ITSM dépend, et a probablement toujours dépendu, de ceux qui ont pu aider les autres à réussir. Traditionnellement, cela a pu se faire via les nombreuses conférences mondiales liées à l’ITSM ou, pour quelques-uns, en contribuant aux publications officielles des meilleures pratiques ITSM. Cependant, comme le montre l’évolution rapide et le succès de DevOps, nos vies de plus en plus sociales et connectées offrent davantage de possibilités de partage et de collaboration entre pairs – en amélioration itérative – pour des bonnes pratiques émergentes qui pourraient bien remplacer les meilleures pratiques « à l’ancienne » rapidement obsolètes.

Voici donc mes 19 conseils ITSM pour 2019.  Que pensez-vous devoir ajouter? Avec quoi n’êtes-vous pas d’accord? S’il vous plaît exprimez-vous dans les commentaires.

Introduction à COBIT 2019

L’ISACA vient de publier les deux premiers volumes de la nouvelle version de son cadre de Gouvernance et de Management de l’information d’Entreprise et des Technologies : COBIT 2019.

COBIT 2019 : le nouveau cadre de gouvernance et de management de l'I & T
© ISACA 2018

Nous vous proposons donc aujourd’hui une introduction à COBIT 2019. Cette introduction se compose de deux parties :

  • une présentation exécutive destinées aux équipes de direction. L’objectif est de mieux comprendre l’intérêt du cadre de gouvernance et de management de l’I & T,
  • les différences essentielles existant avec COBIT 5, la version précédente déjà largement adoptée dans le monde entier.

Concernant l’adoption de COBIT comme cadre de Gouvernance et de Management, mentionnons que la certification COBIT 5 Foundation fait une entrée remarquée dans les certifications qui correspondent aux meilleurs salaires en Europe en prenant cette année la 7ème place.

Présentation de COBIT 2019 et de ses nouveautés

Pour en savoir plus

Pour en savoir plus, nous vous conseillons la lecture de nos deux précédents articles COBIT 2019 – Les nouveautés ainsi que COBIT 2019 – Vos questions, nos réponses.

De plus, 2AB & Associates vous proposera début 2019 deux formations sur COBIT 2019 :

  • Une formation « Bridge » destinée aux certifiés COBIT 5 Foundation. Cette formation se déroulera sur 1 journée. Elle couvrira l’ensemble des différences entre COBIT 5 et COBIT 2019. A l’issue de cette formation, les participants pourront passer l’examen leur permettant d’obtenir la certification COBIT 2019 Foundation.
  • COBIT 2019 Foundation sans prérequis spécifiques. Cette formation d’une durée de 3 jours permet aux participants de comprendre les concepts du cadre de gouvernance et de management de l’I&T d’entreprise. A l’issue de la formation, les stagiaires passeront l’examen de certification COBIT 2019 Foundation.

Enfin, nous proposons également, sur demande, une présentation exécutive destinée aux dirigeants d’entreprises. Cette session est présentée par un de nos experts. Elle permettra donc aux participants d’échanger sur les avantages de la mise en oeuvre de COBIT 2019 dans leur organisation

Enfin, n’hésitez pas à commenter et à poser des questions à nos experts qui vous répondront en ligne. Et si vous aimez nos publications, vous pouvez bien entendu les partager sur les réseaux sociaux ou nous mettre un « like ».

COBIT 2019 – Vos questions, nos réponses

Depuis la publication de notre article présentant, en avant-première, les nouveautés de COBIT 2019, vous nous avez posé de nombreuses questions. Nous vous apportons quelques réponses. Pour l’heure, nous ne pouvons pas encore tout vous dire. Soyez patients. Nous vous donnerons notre avis détaillé sur cette nouvelle version du cadre de référence en Gouvernance de l’Information dès que les deux premières publications seront disponibles sur le site de l’ISACA.

Cadre de gouvernance COBIT 2019 - Questions réponses
Crédit © rawpixel 2018

L’accélération de la transformation numérique a rendu l’information et la technologie (I&T) cruciales pour le soutien, la croissance et la durabilité des entreprises. Les conseils d’administration et les cadres dirigeants ont pu jadis déléguer, ignorer ou éviter les décisions liées à l’I&T. Cependant ils savent maintenant que cette approche est mal avisée. Ce ne sont pas uniquement les entreprises digitales qui dépendent de l’I&T pour leur survie et leur croissance. La création de valeur par les parties prenantes (c’est-à-dire la réalisation des bénéfices à un coût optimal en ressources tout en optimisant les risques) est également souvent obtenue par la digitalisation de nouveaux modèles d’affaires, grâce à des processus efficaces et à des innovations réussies.

L’I&T est maintenant totalement intégrée à la gestion des risques d’entreprise et de la création de valeur. Un accent particulier a donc été mis sur la gouvernance de l’information d’entreprise et de la technologie (GEIT) au cours des deux dernières décennies. COBIT a reflété cet accent mis sur la GEIT dans ses dernières mises à jour, aboutissant à COBIT 5. Toutefois, une nouvelle édition, dont la sortie est prévue en novembre 2018, étendra et facilitera encore cette tendance.

La nouvelle édition s’appelle COBIT 2019. Les mises à jour de COBIT ne seront dorénavant plus identifiées par des numéros de version. Au lieu de cela, elles porteront  la date de la dernière mise à jour. Cela correspond à un environnement I&T dynamique qui génère des changements à un rythme si rapide qu’il est difficile de les suivre. COBIT 2019 prend en compte ces problèmes et les résout en faisant de COBIT un cadre de gouvernance I&T dynamique pouvant être mis à jour plus rapidement, en appliquant les commentaires des utilisateurs pour qu’ils restent pertinents pour la communauté internationale des professionnels de la gouvernance.

Vos questions, nos réponses

Qu’est-ce que COBIT?

Le processus de mise à jour de COBIT a impliqué des efforts considérables pour mettre en perspective ce qu’il est et ce qu’il n’est pas. Cet article décrit chaque côté de l’équation, en commençant par ce qu’il est.

COBIT 2019 peut être décrit comme un cadre pour la gouvernance et la gestion de l’I&T des entreprises, destiné à l’ensemble de l’organisation. L’I&T d’entreprise fait référence à tous les traitements I&T mis en place par l’entreprise pour atteindre ses objectifs, quel que soit le lieu où cela se produit dans l’organisation. En d’autres termes, l’I&T d’entreprise ne se limite pas au service informatique d’une organisation, mais il est certain qu’elle l’inclut. Elle inclut aussi sans aucun doute d’autres départements tout aussi importants comme les ressources humaines.

COBIT 2019 définit les composants permettant de construire et de maintenir un système de gouvernance : politiques, processus et procédures, structures organisationnelles, flux d’informations, compétences, infrastructure, culture et comportements. Celles-ci étaient appelées «facilitateurs» (« enablers » en anglais) dans COBIT 5. Il définit également les facteurs de conception que l’organisation doit prendre en compte pour créer un système de gouvernance parfaitement adapté.

Il aborde les problèmes de gouvernance en regroupant les composants de gouvernance pertinents dans des domaines prioritaires pouvant être gérés aux niveaux de maturité requis.

Qu’est-ce que COBIT n’est pas?

Après avoir décrit ce qu’est COBIT 2019, il est important de définir ce qu’il n’est pas. Cela implique de tordre définitivement le cou à certaines idées fausses au sujet de COBIT, telles que :

  • COBIT 2019 ne décrit pas complètement l’environnement I&T d’une organisation.
  • Ce n’est pas un cadre pour organiser les processus métier.
  • Ce n’est pas un cadre technique (informatique) pour gérer toutes les technologies.
  • Il ne prend ni ne prescrit aucune décision liée à l’informatique. Par exemple, il ne répond pas aux questions telles que: quelle est la meilleure stratégie informatique? Quelle est la meilleure architecture? Combien devrait coûter l’informatique? Au lieu de cela, il définit tous les composants qui décrivent quelles décisions doivent être prises, comment et par qui elles doivent être prises.

Pourquoi le logo a-t-il changé?

COBIT 5 a été publié en 2012, ce qui fait presque 7 ans. Depuis cette époque, d’autres cadres et les normes ont évolué, créant un paysage différent. L’émergence de nouvelles technologies et les tendances business en matière d’utilisation des technologies de l’information (transformation numérique, DevOps, par exemple) n’étaient pas intégrées dans COBIT 5. Un réalignement était donc nécessaire.

Pour rester pertinent, il est impératif que COBIT continue d’évoluer, ce qui nécessitera des mises à jour plus fréquentes et plus fluides. Dans le nouveau logo, la flèche rouge symbolise cette notion d’évolution continue. De plus, pour assurer un contrôle efficace des versions, toutes les mises à jour futures comporteront l’année correspondant à la publication la plus récente.

Quelles sont les publications de COBIT 2019 et quand seront-elles disponibles?

La famille de produits COBIT 2019 est n’est pas limitée aux produits qui seront prochainement publiés. Le développement de nouvelles orientations, formations et ressources pour soutenir la famille de produits COBIT 2019 sera continuellement évaluée en fonction de la demande du marché. Ce développement sera géré en cohérence avec les autres produits de l’ISACA.

Disponibles le 12 novembre 2018

  • Cadre COBIT 2019: Introduction et méthodologie – Introduction aux concepts clés de COBIT 2019.
  • Cadre COBIT 2019: Objectifs de gouvernance et de gestion. Cette publication décrit de manière exhaustive les 40 objectifs fondamentaux en matière de gouvernance et de gestion, les processus qu’ils contiennent, et d’autres composants connexes. Ce guide fait également référence à d’autres normes et référentiels du marché.

Disponibles le 10 décembre 2018

  • Guide de conception COBIT 2019: Conception d’une solution de gouvernance de l’information et de la technologie. Ce guide explore les facteurs de conception pouvant influencer la gouvernance. Il inclut un flux d’activités afin de planifier un système de gouvernance sur mesure pour l’entreprise.
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une solution de gouvernance de l’information et de la technologie. Ce titre représente une évolution du Guide de mise en œuvre de COBIT 5.  Il propose l’élaboration d’une feuille de route pour l’amélioration continue de la gouvernance. Il peut être utilisé en combinaison avec le Guide de conception COBIT 2019.

Les publications COBIT 2019 seront-elles gratuites pour les membres ISACA?

Dans le cadre de l’engagement de l’ISACA d’apporter une valeur optimale à ses membres, le téléchargement au format PDF des quatre publications principales de COBIT 2019 suivantes seront gratuites pour les membres :

  • Cadre COBIT 2019 : Introduction et méthodologie
  • Cadre COBIT 2019 : Objectifs de gouvernance et de gestion
  • Guide de conception COBIT 2019 : Conception d’une solution de gouvernance de l’information et de la technologie
  • Guide d’implémentation COBIT 2019: Implémentation et optimisation d’une Solution de gouvernance de l’information et de la technologie

De plus, les membres de l’ISACA recevront des réductions exclusives sur l’achat de publications imprimées. Pour en savoir plus, consultez le site de ‘ISACA : http://www.isaca.org/COBIT.

COBIT 2019 est-il aligné avec les autres normes et cadres internationaux?

L’un des principes directeurs appliqués tout au long du développement était de maintenir son positionnement de COBIT 2019 en tant que cadre général de gouvernance. Ainsi, il continue de s’aligner sur un certain nombre de normes, cadres et / ou réglementations pertinents. COBIT 2019 comprend des références et s’aligne sur des concepts provenant d’autres sources. Par exemple COBIT 2019 est aligné, entre autres, sur ITIL, ISO 27001, ISO 20000, DEVOPS, PRINCE2, PMBOK, TOGAF, COSO, SFIA, etc..

Dans ce contexte, l’alignement signifie que :

  • COBIT 2019 ne contredit aucune indication des référentiels et normes correspondants,
  • Le cadre COBIT 2019 ne copie pas le contenu de ces référentiels et normes associés,
  • COBIT 2019 fournit des conseils ou références équivalents aux normes et référentiels correspondants.

Une liste complète des normes et guides pratiques utilisés dans le cadre du développement de COBIT 2019 est fournie dans la présentation PPT intitulée  COBIT® 2019 Overview. Celle-ci, en anglais, est disponible dans la boîte à outils COBIT 2019 sur le site de l’ISACA. Cette liste figure également dans la publication Cadre COBIT 2019 : Introduction et méthodologie.

Y aura-t-il un cursus de formation de certification COBIT 2019?

Un nouveau parcours de formation et de certification sera proposé dès le début 2019. COBIT 2019 est un cadre en évolution continue. En conséquence, l’ISACA continuera en permanence à évaluer le marché et à proposer de nouveaux modules de formation. Les premier modules seront disponibles selon le calendrier suivant :

Janvier 2019 : Atelier de transition COBIT 5 vers COBIT 2019 (1 journée)

Ce cours de transition d’une journée présente les concepts, les modèles et les définitions clés du nouveau cadre en mettant l’accent principalement sur les différences majeures entre COBIT 2019 et COBIT 5.

Janvier 2019 : Formation et certification COBIT 2019 Foundation (3 jours)

Développée pour préparer les participants à l’examen de certification COBIT 2019 Foundation, cette formation plongera dans le contexte, les composants, les avantages et les principales raisons pour lesquelles utiliser COBIT en tant cadre de gouvernance de l’information et des technologies en entreprise.

Avril 2019 : Formation et certification COBIT 2019 Conception et mise en oeuvre (3 jours)

Cette formation de 3 jours prépare les participants à l’examen de certification COBIT 2019 Design and Implementation. Les participants apprendront comment concevoir un système de gouvernance parfaitement adapté au contexte de leur entreprise en s’appuyant sur le cadre de gouvernance de l’ISACA.

Où puis-je me former et passer les certifications?

La formation ainsi que les examens de certification seront disponibles à partir de janvier 2019. Vous pourrez y accéder via les canaux suivants:

  • Centres de formation accrédités par ISACA (via APMG ou Peoplecert);
  • Chapitres ISACA;
  • Conférences ISACA et ateliers pré-conférence;
  • Programme de formation sur site d’ISACA.

Pour ce qui nous concerne, 2AB & Associates sera accrédité par l’ISACA dès le lancement des modules de formation. Nous avons d’ores et déjà commencé le développement des trois modules initiaux prévus par ISACA. Les premières sessions COBIT 2019 Bridge et COBIT 2019 Foundation sont déjà à notre calendrier dès janvier 2019. Nous proposons également pour les personnes déjà certifiées COBIT 5 Foundation un atelier d’une journée leur permettant de faire la transition de leur certification actuelle vers la nouvelle version.

Nous organisons également, à la demande, des présentations d’une demi-journée destinées aux dirigeants des entreprises. N’hésitez pas à consulter le site www.2abassociates.fr ou www.2abassociates.ca pour en savoir plus.

Les programmes de formation COBIT 2019 remplaceront-il les formations COBIT 5?

ISACA continuera à soutenir l’accréditation et la délivrance de la formation et du cursus de certification COBIT 5. Ainsi, la formation COBIT 5 continuera à cohabiter avec la formation COBIT 2019. Il ne serait donc par judicieux de remettre votre formation COBIT à plus tard en attendant le nouveau cursus de formation/certification. Tout au contraire, nous vous invitons à profiter de notre offre promotionnelle sous forme de package Formation et certification COBIT 5 Foundation + atelier de transition vers COBIT 2019.

Les publications COBIT 5 resteront-elles disponibles en 2019?

L’ISACA continuera de soutenir les nombreuses organisations gouvernementales et  non gouvernementales qui, depuis 2012, ont mis en oeuvre COBIT 5. Tous les guides COBIT 5 (et produits dérivés) vont donc rester disponibles pour téléchargement ou achat en ligne. De plus, tous les produits, ressources et programmes de formation COBIT 5 resteront disponibles (parallèlement à COBIT 2019).

Quelles sont les différences entre COBIT 2019 et COBIT 5?

COBIT 2019 offre une plus grande flexibilité et une plus grande ouverture pour améliorer la pertinence dans le temps de COBIT.

  • L’introduction de nouveaux concepts tels que les domaines de focalisation et les facteurs de conception permet de proposer des bonnes pratiques pour adapter un système de gouvernance aux besoins de l’entreprise.
  • La mise à jour de l’alignement sur les normes, les cadres et les meilleures pratiques améliore la pertinence de COBIT.
  • Un modèle de type «open source» permettra à la communauté mondiale de la gouvernance de contribuer aux futures mises à jour  en apportant des commentaires, en partageant des applications et en proposant des améliorations au
    cadre et aux produits dérivés en temps réel. De la sorte, de nouvelles évolutions de COBIT pourront être publiées sur une base cyclique.
  • De nouvelles orientations et de nouveaux outils soutiennent l’élaboration d’un système de gouvernance optimal. Cela rend donc COBIT 2019 plus prescriptif.

ITIL – 5 erreurs majeures de mise en oeuvre

Vous suivez les réseaux sociaux? Vous discutez avec des responsables informatiques dans des entreprises, comme je le fais chaque jour? Alors nul doute que vous entendez beaucoup de critiques vis à vis d’ITIL. Pas assez agile. Sa mise en oeuvre coûte très cher aux entreprises. Difficile de convaincre le management d’obtenir les ressources nécessaires. Depuis l’implémentation d’ITIL, on est moins performants qu’avant. Toutes ces critiques sont souvent justifiées. Malheureusement, elles sont souvent la conséquence d’erreurs majeures dans l’implémentation des bonnes pratiques proposées par ITIL.

ITIL : 5 erreurs majeures de mise en oeuvre
Crédit © rawpixel 2018

En tout état de cause, qu’il s’agisse de mauvaise compréhension des « meilleures pratiques » de gestion des services informatiques ou de difficultés de mise en oeuvre, le risque est toujours le même. L’informatique est devenue un outil indispensable au fonctionnement des entreprises. Une informatique qui fonctionne mal ou qui n’est pas alignée sur les besoins des métiers constitue un risque important pour les opérations. Ce premier article recense 5 erreurs parmi les plus importantes mais aussi les plus courantes lorsqu’on veut s’appuyer sur ITIL.

Erreur N°1 : Vouloir réaliser l’implémentation d’ITIL

La pire erreur de toutes est probablement d’essayer de réaliser la «mise en oeuvre» d’ITIL. ITIL est un cadre de bonnes pratiques et, par conséquent, n’est pas destiné une mise en oeuvre en l’état dans une organisation. La règle, souvent incomprise, c’est qu’on ne fait jamais l’implémentation d’ITIL. D’ailleurs, chaque publication ITIL explique bien que chaque pratique est destinée à être «adoptée et adaptée». On doit réaliser l’implémentation de processus spécifiques à chaque Entreprise. Et on le fera en s’appuyant sur les bonnes pratiques préconisées par ITIL. ITIL devrait être vu comme un recueil de conseils. Ce sont seulement des exemples génériques dont vous devez tirer des leçons. Si on essaie d’appliquer à la lettre ces conseils sans tenir compte du métier de l’entreprise, de sa culture et des ressources disponibles, on est assuré de l’emmener au mieux dans une impasse, et au pire à un désastre.

La dernière publication parue à ce jour, ITIL Practitioner, a été publiée en 2015. Elle décrit un ensemble de lignes directrices pouvant vous aider à adopter et à adapter les principes d’ITIL. Ces principes incluent des idées telles que «se concentrer sur la valeur», «rester simple» et «progresser de manière itérative». Si vous utilisez ces principes pour vous guider dans l’adoption et l’adaptation d’ITIL aux besoins de votre organisation, vous n’irez jamais trop loin dans l’erreur. Et même, vous avez réellement de grandes chances d’atteindre vos objectifs.

Erreur N° 2 : Se focaliser uniquement sur les processus

La plupart des gens imaginent qu’ITIL concerne uniquement les processus. Ils s’efforcent donc d’optimiser ces processus, de les rendre plus efficaces et de veiller à ce que chacun atteigne ses objectifs. Is oublient alors l’essentiel. Aucun processus ne se fonctionne dans le vide. Donc, si vous voulez être efficace, vous devez avoir une vue d’ensemble de l’entreprise. Il vous faut donc absolument conserver une vision holistique de l’organisation. En aucun cas, vous ne devez vous limiter seulement à ce qui est écrit dans une publication ITIL ni au seul département informatique..

La notion de création de valeur

ITIL a pour objectif de vous aider à créer de la valeur pour vos clients. Cela signifie que chaque fois que vous améliorez un processus, l’amélioration réalisée doit être axée sur l’amélioration pour vos clients, et pas seulement sur l’amélioration du processus pour lui-même. Demandez-vous donc si vous pouvez expliquer à vos clients le but d’une amélioration en des termes qui ont du sens pour eux. Si la réponse est «non», essayez de trouver ce qui cloche.

N’oubliez jamais que l’informatique ne crée aucune valeur directement. Les services informatiques ne servent qu’à aider les métiers de l’entreprise. Ce sont eux qui sont créateurs de valeur grâce à leurs clients. Vos processus doivent donc les aider à être plus performants vis à vis de ceux-ci. Ainsi, au quotidien, lorsque je travaille avec mes clients, je documente toujours l’objectif de haut niveau de chaque processus. Et je le fais dans des termes qui ont du sens pour les clients des métiers. Par exemple, «la gestion du changement garantira que les changements vont du développement aux opérations en temps voulu pour répondre aux besoins de l’entreprise». Je peux alors travailler avec mon client pour l’aider à optimiser ses processus de gestion du changement de manière à répondre à ses attentes. Ce qui est, en fait, exactement ce que les meilleures pratiques ITIL me conseillent de faire.

Les facilitateurs de la création de valeur

Pour réussir à créer de la valeur, les processus ne suffisent pas. Il faut bien sûr que les processus soient opérés par des ressources humaines. Ces ressources humaines doivent elles-mêmes être organisées en structures au seins de l’entreprise. Il est donc essentiel de ne pas se limiter aux processus mais de travailler en même temps sur les ressources humaines et sur les structures organisationnelles, au minimum.

Erreur N° 3 : Se focaliser sur les outils

La troisième grande erreur que je rencontre est celle des organisations informatiques qui pensent qu’un outil de gestion des services informatiques peut obliger les équipes à se conformer aux bonnes pratiques ITIL. Ils reconnaissent qu’ils ne gèrent pas les incidents, les problèmes et les changements aussi bien qu’ils le souhaiteraient. Alors ils décident que le meilleur moyen de résoudre ce problème est d’acheter un nouvel outil, qui résoudra tous leurs problèmes.

Bien entendu, ce nouvel outil n’a que très peu d’utilité, à moins que l’organisation ne définisse d’abord ce qu’elle tente d’obtenir et ce qu’elle devra faire pour s’assurer que c’est ce que l’outil fournit. Lorsqu’un nouvel outil ITSM est simplement configuré pour prendre en charge toutes les mauvaises pratiques de travail qui posaient problème avec l’ancien outil, l’organisation ne va pas tarder à attribuer au nouvel outil des problèmes qui ne peuvent être résolus qu’en intégrant de meilleures pratiques de travail.

Un nouvel outil ITSM ne vous aidera à vous améliorer que si vous avez correctement préparé le terrain. Comprenez-vous les améliorations dont vous avez besoin dans vos processus, relations, compétences, votre organisation et les autres domaines de gestion des services informatiques?

Erreur N° 4 : Assigner une personne à chaque rôle

ITIL décrit de nombreux rôles. Par exemple, chaque processus définit le rôle d’un propriétaire et d’un gestionnaire du processus, ainsi que de nombreux autres rôles spécifiques. Il est courant de penser que chaque rôle ITIL doit correspondre à un titre de poste unique. Habituellement, il est alors courant de le confier à une seule personne qui devra répondre aux objectifs du rôle. Dans ces circonstance, il sera alors nécessaire de disposer d’un grand nombre de ressources humaines. De plus, cela aura pour conséquence des  personnes essayant de faire des choses similaires avec beaucoup trop peu de collaboration. Il est clair que ce schéma est très inefficient.

Voyons ce que ITIL dit réellement sur les rôles.


Les rôles sont souvent confondus avec les postes, mais il est important de réaliser qu’ils ne sont pas identiques. Chaque organisation définira les intitulés de poste et les descriptions de poste correspondant à ses besoins, et les détenteurs de ces intitulés de poste peuvent jouer un ou plusieurs des rôles requis.


Il est donc essentiel de ne pas confondre les notions de poste et de rôle.

Erreur N° 5 : Lancer un « énorme » projet de mise en oeuvre

Il y a de nombreuses années, avant que les informaticiens aient entendu parler d’Agile, un projet typique d’ITIL pouvait impliquer une équipe de plusieurs consultants qui prendraient deux ans ou plus pour documenter les processus, configurer les outils ITSM, former le personnel et «mettre en œuvre» le nouvel outil aligné sur ITIL. La première fois que quelqu’un tirait parti de la solution, ce serait quelques semaines avant la fin du projet. C’est à dire longtemps après avoir lancé le projet. Et encore, dans la plupart des cas, le projet n’arrivait jamais à ce stade. Il était arrêté avant cela après avoir gaspillé beaucoup de ressources et cassé des choses qui fonctionnaient…

Aujourd’hui, même les entreprises informatiques qui utilisent encore une approche en cascade pour le développement de logiciels n’adoptent plus cette approche pour améliorer l’ITSM. Les experts ITIL savent que toute amélioration des services informatiques peut être réalisée de manière progressive.

Alors, établissez d’abord une vision partagée de ce que vous essayez d’atteindre. Cela vous permettra de faire un premier petit pas vers votre objectif. Ensuite, prenez ce que vous avez appris de cette première étape pour planifier et exécuter la suivante. N’essayez pas de documenter chaque étape avant de commencer. Au contraire, continuez à apprendre et à vous améliorer et vous continuerez à vous rapprocher de votre vision.

Conclusion

Voici donc 5 erreurs absolument majeures que vous risquez de commenter lors de l’implémentation de votre gestion des services IT. Vous vous reconnaissez dans l’une d’entre elles ou même dans plusieurs? Alors ne vous étonnez pas si les métiers de l’entreprise considèrent que l’informatique coûte très cher et ne leur apporte pas grand chose en terme de valeur.

Malheureusement, il y a bien d’autres erreurs courantes que vous risquez de commettre. Dans une deuxième partie qui sera publiée prochainement, nous étudierons 5 autres erreurs d’implémentation.

Vous avez vous-même une expérience de mise en oeuvre qui n’a pas apporté les résultats escomptés? N’hésitez pas à commenter cet article et à lancer le débat. ITIL n’est-il pas un cadre de bonnes pratiques issues du terrain?

Cybersécurité : la résilience, chaînon manquant de votre stratégie

A l’heure de la transformation numérique des organisations, la stratégie de cybersécurité est un sujet sur toutes les lèvres. Dans le même temps, on n’entend quasiment jamais prononcer le mot résilience. Pourtant, la résilience devrait être le pilier majeur de toute stratégie de réduction des risques. Essayons donc de décrypter les raisons de cette anomalie et d’en identifier les risques.

Résilience, le chaînon manquant de votre stratégie de cybersécurité
Crédit © rawpixel.com 2018

Et tout d’abord, il convient de situer la cyber-résilience par rapport à la cybersécurité. Dans les deux cas, il s’agit de répondre aux cyber-risques. Un risque se caractérise par une probabilité de survenance et par un impact (sous forme de conséquences) lors de la réalisation du risque. Dans tous les cas, la stratégie des risques a pour objet d’aligner le niveau des risques au seuil de tolérance de l’Organisation. Cela se fait en mixant la réduction de la probabilité et de l’impact. Bien sûr, la stratégie des risques couvre tous les risques de l’Entreprise et parmi ceux-ci, on aura les cyber-risques.

La réduction de la probabilité de survenance des évènements de sécurité sera essentiellement réalisée grâce à des mesures se situant en amont. On parlera de mesures préventives. On est là dans le domaine de la sécurité. Les mesures de sécurité sont essentiellement de 3 types :

  • préventives
  • de détection (pour détecter l’incident lorsqu’il se produit),
  • correctives pour corriger le système et revenir à une situation acceptable (incluant l’activation d’un plan de continuité ou PCA).

A côté de ces aspects, se pose le problème de la réduction de l’impact et de l’après-crise. Il s’agit donc de répondre à la question « comment pouvons-nous survivre si un tel incident se produit? ». En d’autres termes il s’agit de planifier ce qu’il convient de faire pour réduire les impacts lorsqu’un incident se sera produit. On est là dans le domaine de la résilience.

L’expérience de l’année écoulée

Il y a tout juste un an, l’été 2017 a montré très concrètement à quoi pouvait ressembler des cyber-attaques mondiales. Ce fut le cas notamment avec NotPetya. Un an plus tard, les conséquences du « ransomworm » ne sont toujours pas complètement terminées. Le groupe Merck a annoncé fin novembre 2017 que cette cybe-rattaque lui coûterait environ 600 millions de dollars sur l’exercice 2017 ! Mais, en additionnant les dernières annonces, le seuil des 2 milliards de perte est clairement plus réaliste. C’est la première fois qu’un tel impact est recensé pour un incident cyber. Ce changement de dimension mobilise aujourd’hui enfin les directions générales et les conseils d’administration. Et ce n’est pas trop tôt! Ils sont maintenant demandeurs de moyens pour limiter les impacts de telles attaques. Mais ils sont aussi en attente sur la posture à adopter lorsqu’un cas réel se présentera.

Les mesures préventives de cybersécurité ne suffisent clairement plus à empêcher les cyber-risques de se réaliser. Il est désormais évident que la technologie n’est pas le rempart infranchissable que tout le monde imaginait. La cyber-criminalité est devenue une véritable industrie qui progresse plus rapidement que les moyens de protection ne se développent.

Cyber-résilience : les actions clés

Une cyber-attaque majeure peut être destructive ou entraîner une perte de confiance dans les systèmes clés. Le premier réflexe pour une majorité d’entreprises est alors d’activer le plan de continuité d’activité (PCA). Celui-ci constitue un élément majeur de la stratégie de résilience des organisations. L’objectif est d’assurer la survie de l’organisation lorsque surviennent des sinistres d’ampleur entraînant l’indisponibilité de ses actifs clés. Il peut s’agir de moyens informatiques, d’infrastructures de communication ou d’immeubles voire de collaborateurs.

Or les cyber-attaques majeures, destructives comme Wannacry ou NotPetya, ou provoquant une perte de confiance dans les infrastructures (réseau, gestion des accès, gestion du parc…) telles que les attaques ciblées en profondeur, ne sont pas prises en compte lors de l’élaboration de la majorité des PCA. Ces derniers sont focalisés sur un enjeu de disponibilité. Ils n’appréhendent pas les problématiques de destruction simultanée et de perte de confiance dans le SI induites par les cyber-attaques.

En effet, les dispositifs de continuité du SI sont plus souvent liés aux ressources qu’ils protègent. Ils sont donc également affectés par ces attaques. Depuis plus de dix ans, les dispositifs de continuité (utilisateurs ou informatiques) ont adopté les principes de mutualisation des infrastructures et de secours « à chaud ». Le double objectif de cette approche est à la fois de répondre aux exigences de reprise rapide et d’une meilleure exploitabilité. Mais, de fait, le lien entre le SI nominal et son secours rend les dispositifs de continuité vulnérables aux cyber-attaques.

Des dispositifs de continuité vulnérables

À titre d’exemple, suite à l’attaque NotPetya, l’idée d’utiliser les postes de secours présents sur le site de repli a très rapidement été évoquée dans le cadre d’une gestion de crise. Malheureusement ceux-ci partageaient les mêmes systèmes de gestion de parcs et les mêmes vulnérabilités. Ils donc avaient été logiquement détruits de la même manière que les sites nominaux. Les investissements et les efforts investis dans les dispositifs de continuité ont semblé, à ce moment, très vains.

Enfin il reste les sauvegardes comme dernier rempart. Etablies sur une base souvent quotidienne ou hebdomadaire, elles constituent, pour la plupart des organisations, le dispositif de dernier recours pour reconstruire le SI.

Dorénavant, il n’est pas rare de faire face à une intrusion qui date de plusieurs mois. Bien que la  détection soit récente, dans ce cas, les sauvegardes embarquent de fait les éléments malveillants. Il peut s’agir de malwares par exemple, mais aussi de modifications déjà opérées par les attaquants.

De plus, la continuité en tant que telle des systèmes de sauvegarde est bien souvent négligée. Lors de plusieurs cas de gestion de crise sur NotPetya, les serveurs gérant les sauvegardes avaient eux-mêmes été détruits. Les restaurer a souvent nécessité plusieurs jours vu leur complexité et leur imbrication dans le SI.

S’agissant des SI industriels, les constats sont tout aussi alarmants. Les systèmes numériques industriels sont résilients à des pannes techniques ou des incidents mécaniques anticipés. En revanche, ils n’ont que rarement intégré, dès leur conception, les potentialités d’une malveillance humaine et ils ne disposent souvent pas de mécanismes de sécurité avancés. La longueur de leur cycle de vie (souvent plusieurs dizaines d’années) les expose à l’exploitation de vulnérabilités anciennes. Enfin l’indépendance des chaînes de contrôle  vis-à- vis des systèmes numériques qu’elles supervisent n’est pas toujours respectée.

Des leçons tirées de l’expérience

Il s’avère que lors du déroulement d’une crise, le cycle est souvent identique. Les écueils rencontrés sont quasiment toujours les mêmes. Il convient donc de tirer les leçons de cette expérience.

Gestion de crise en cas de cyber-attaques : les écueils rencontrés
Crédit © Wavestone 2017

Des scénarios d’attaques récurrents

Destruction massive ou indisponibilité d’une grande partie du SI

Ce type de cyber-attaques, concrétisé au travers des cas Wannacry et NotPetya, entraîne généralement une indisponibilité massive du fait du chiffrement des fichiers de données et/ou du système d’exploitation. Les sociétés touchées par des attaques de ce type (parmi lesquelles Merck, Maersk, Saint Gobain, Fedex… mais aussi Sony Pictures ou Saudi Aramco) ont perdu jusqu’à plus de 95% de leurs systèmes d’information (des dizaines de milliers d’ordinateurs et de serveurs) en un délai souvent inférieur à 1h.

La situation au démarrage de la crise est alors très difficile. En effet, il n’y a plus aucun moyen de communication et d’échange au sein de l’entreprise, y compris au sein de la DSI. Les victimes ont communiqué sur des pertes atteignant plusieurs centaines de millions d’euros suite à ces attaques.

Compromission et perte de confiance dans le SI

Il s’agit d’attaques ciblées ne remettant pas en cause le bon fonctionnement du système. Elles visent par contre à donner aux attaquants l’accès à l’ensemble des systèmes de l’entreprise (messagerie, fichiers, applications métiers…). Elles leur permettent d’usurper l’identité de n’importe quel employé et de réaliser des actions en leur nom. Les attaquants peuvent ainsi atteindre tout type de données ou réaliser des actions métiers nécessitant plusieurs validations successives.

Ces cyber-attaques ont touché de très nombreuses entreprises dans tous les secteurs. Les conséquences sont souvent des fraudes massives, comme celles ayant touché la banque du Bangladesh. Il peut aussi s’agir de vols de données financières et de paiements. Ce fut le cas de celles ayant touché plusieurs groupes de distribution aux Etats-Unis dont Target ou encore Home Depot.

La situation au démarrage de ce type de cyber-crise est extrêmement complexe. La raison réside dans la conjugaison de plusieurs éléments aggravants : perte de confiance dans le système d’information et flou grandissant sur les actions et objectifs. Il faut alors investiguer discrètement jusqu’à pouvoir déloger l’attaquant et reconstruire un système sain. Les victimes de ces attaques ont également fait état d’impacts financiers atteignant plusieurs centaines de millions d’euros.

La résilience passe par une bonne gestion de crise

Les crises cyber sont des crises très particulières. Elles sont souvent longues (plusieurs semaines). Elles sont parfois difficiles à cerner (qu’a pu faire l’attaquant ? depuis combien de temps ? quels sont les impacts ?). Elles impliquent des parties prenantes externes, elles-mêmes souvent peu préparées sur ce sujet (avocats, huissiers, autorités, fournisseurs, voire les clients…). Il est donc indispensable d’ajuster les dispositifs existants qui n’ont pas été conçus pour intégrer cette dimension particulière.

Acteur opérationnel de la gestion de la crise cyber, la DSI ne doit pas être sur-mobilisée sur l’investigation et la défense. Cela se ferait au détriment de la production et du secours. Cet aspect constitue un point d’anticipation important à ne pas négliger. Il s’agit donc d’identifier clairement les équipes à mobiliser sur la crise et d’organiser les interventions parallèles d’investigation et de construction du plan de défense.

Au-delà de l’aspect organisationnel, il faut s’assurer de disposer également de l’outillage d’investigation (cartographie, recherche de signature de l’attaque, SI de gestion de crise indépendant, capacité d’analyse de malware inconnu…), d’assainissement (capacité de déploiement rapide de correctifs, isolation en urgence de portions non touchées du SI, isolation réseau…) et de reconstruction (accès rapide aux sauvegardes, accès aux documentations minimum de reconstruction, support des fournisseurs clés, capacité à réinstaller massivement des postes de travail…) requis pour comprendre la position de l’attaquant, stopper sa propagation et faire repartir au plus vite l’activité.

La rédaction d’un guide de gestion de crise, définissant les étapes structurantes, les responsabilités macroscopiques et les points de clés de décision sera un plus. Et parce qu’il est primordial de s’exercer en amont afin d’être prêt le jour où il faudra faire face à la crise, la réalisation d’exercices de crise sera un bon révélateur de la situation réelle.

Les dispositifs de continuité doivent être repensés

Des solutions les plus simples…

Les dispositifs de continuité doivent également évoluer pour s’adapter aux cyber-menaces. Les solutions possibles sont nombreuses. Elles peuvent toucher tous les types de dispositifs de continuité. Le plan de reprise utilisateur peut intégrer par exemple la mise à disposition de clés USB avec un système alternatif. Les collaborateurs pourraient l’utiliser en cas de destruction logique de leur poste de travail.

Certaines organisations ont fait le choix de provisionner des volumes de postes de travail de remplacement directement avec leurs fournisseurs de matériel afin de les installer rapidement en cas de destruction physique.

A des solutions très complexes et coûteuses…

Le plan de continuité informatique peut inclure de nouvelles solutions pour être efficace en cas de cyber-attaques. La plus emblématique vise à construire des chaînes applicatives alternatives. Il s’agit de « dupliquer » une application sans utiliser les mêmes logiciels, systèmes d’exploitation et équipes de production. C’est une solution extrême, très coûteuse et difficile à maintenir. Elle est envisagée pour certaines applications critiques dans le monde de la finance notamment.

A des solutions intermédiaires mais suffisantes

D’autres solutions moins complexes sont envisagées. Il s’agit par exemple de l’ajout de contrôle fonctionnel d’intégrité dans le processus métier. Son concept repose sur la réalisation de contrôles réguliers, à différents niveaux et à différents endroits dans la chaîne applicative. Ceci permet de détecter rapidement des attaques qui toucheraient par exemple les couches techniques (modification d’une valeur directement dans une base de données) sans avoir été réalisées par les actions métier classiques (via les interfaces graphiques). Ces mécanismes peuvent aussi s’appliquer aux systèmes d’infrastructures, par exemple en réconciliant les tickets de demande de création de compte d’administration avec le nombre de comptes réellement dans le système.

D’un niveau de complexité intermédiaire, il est possible d’envisager la définition de zone d’isolation système et réseau que l’on peut activer en cas d’attaques et qui vont isoler les systèmes les plus sensibles du reste du SI. Le SI industriel pourra, à ce titre, constituer à lui seul, une de ces zones d’isolation vis-à-vis du reste du SI.

Cyber-résilience et cybersécurité doivent être imbriqués

Implémenter ces nouvelles mesures de cyber-résilience nécessite des efforts importants. Des efforts qui seront vains si ces solutions de secours et les systèmes nominaux ne sont pas eux-mêmes déjà sécurisés correctement et surveillés avec attention. Le RSSI est l’acteur clé pour faire aboutir ces démarches souvent entamées mais rarement finalisées. L’aide du Risk Manager  — ou, s’il est désigné, son Responsable du Plan de Continuité d’Activité (RPCA) — sera alors un plus. Il est aujourd’hui communément acquis qu’il est impossible de sécuriser des systèmes à 100%. Il faut donc accepter la probabilité d’occurrence de cyber-attaques. C’est à ce moment-là que le Risk Manager ou le Responsable du PCA prendra tout son rôle.

Il est très clair que la résilience est un pilier majeur de votre stratégie de cybersécurité. A ce titre il convient de l’y intégrer dès la conception. Mais il vous appartient également de convaincre votre conseil d’administration de la réalité des cyber-risques et de la nécessité de la mise en oeuvre de mesures de résilience.

Comment s’y prendre concrètement?

Nous ne le répétons, jamais assez, mais deux bonnes pratiques de base sont absolument nécessaires.

Inutile de réinventer la roue : appuyez-vous sur ce qui existe

Il serait vain de partir d’une feuille blanche. Inspirez-vous des bonnes pratiques du marché. A cet effet, AXELOS a publié une référentiel de bonnes pratiques en matière de résilience des SI : RESILIA. Complémentaires d’ITIL, ces bonnes pratiques vous aideront à compléter vos processus existants afin d’y incorporer la planification de la résilience de votre SI

Faite monter vos collaborateurs en compétence, formez-les

La réponse aux cyber-attaques nécessite une préparation minutieuse et du personnel formé et efficace. A cet effet, 2AB & Associates vous propose des formations sur RESILIA (RESILIA Foundation et RESILIA Practitioner) ainsi que des formations sur la continuité des activités (Business Continuity Foundation et ISO 22301 Lead Implementer). Nous vous proposons également une formation indispensable pour mieux évaluer et planifier la réponse aux cyber-risques : ISO 27005 Risk Manager.

Et bien sûr, nos experts sont à votre disposition pour répondre à vos commentaires.

Transformation numérique : les conseils d’administration sont-ils prêts?

Les conseils d’administration (CA) devraient être impliqués dans la direction et le leadership de la transformation numérique de leur organisation, en prenant en considération les scénarios de risque non négligeables associés à cette mutation.

Transformation numérique : les conseils d'administration sont-ils prêts
Crédit © image par rawpixel.com

Le rôle du Conseil d’Administration de toute organisation est de s’assurer pour le compte des parties prenantes de l’Entreprise, de la création de valeur sous forme de bénéfices, tout en optimisant les risques et les ressources. Selon COBIT, le référentiel de Gouvernance publié par l’ISACA, cela passe par trois phases. La première consiste à évaluer les besoins de chacune des parties prenantes. La seconde est de prendre une décision en terme de direction à suivre par le management. Enfin, la troisième étape consiste à surveiller la performance et le progrès réalisé par l’Organisation dans la direction donnée.


«Les conseils d’administration jouent un rôle essentiel dans le processus de transformation numérique en apportant expertise, jugement, scepticisme sain et souci de la valeur à long terme.» (Deloitte)


Malheureusement les conseils d’administration ne sont pas encore prêts à superviser les technologies de l’information.  Ils le sont donc d’autant moins en ce qui concerne la transformation numérique de leur Organisation. En effet, non seulement «plus de 80% des CA pourraient ne pas avoir les compétences et les connaissances nécessaires pour gérer efficacement la technologie des entreprises et réaliser des gains stratégiques et des rendements financiers au niveau de l’entreprise» mais, de plus, les cadres mondiaux de gouvernance d’entreprise (COSO par exemple) ne font encore aucune référence significative au leadership numérique du CA.

La transformation numérique a cependant des impacts extrêmement importants sur le fonctionnement des Organisations. Le degré de focalisation requis pour garantir que la transformation numérique se concrétise comme prévu est donc très  élevé. Quels sont les problèmes à surmonter dans la structure des conseils d’administration si les organisations qu’ils supervisent doivent être durables dans le cadre de la transformation digitale actuelle? Les comités stratégiques IT du CA constituent un moyen clé de mieux superviser et contrôler la transformation numérique.

La gouvernance du SI a encore trop de mal à trouver sa place

Selon une étude du Gartner, jusqu’à 85% des projets en technologies de l’information échouent. Les défaillances informatiques détruisent la valeur pour les actionnaires en gaspillant des ressources. Ces défaillances font échouer des opportunités business et détruisent ainsi la valeur que les services informatiques auraient pu créer. Il ne fait aucun doute que ce taux d’échec continuera, voire augmentera, pour les initiatives de transformation numérique.

Une évolution dans le bon sens depuis dix ans

Le besoin de conseils d’administration ayant des compétences en technologies de l’information s’impose de plus en plus au niveau mondial. Cela leur permet d’atténuer les risques d’échec technologiques. C’est tout particulièrement important lorsque le succès stratégique et la pérennité de l’entreprise dépendent de la réussite de son informatique. La figure suivante illustre l’évolution de la gouvernance du SI ces dernières années.

L'évolution de la gouvernance du SI depuis 10 ans
Crédit © 2018 ISACA

L’exception chez les « gaulois réfractaires »

Cette gouvernance formelle du SI se matérialise de plus en plus par un comité stratégique informatique. C’est une préconisation phare de COBIT, le cadre de Gouvernance du SI publié par l’ISACA en 2012. C’est également une tendance forte dans les très grandes organisations qui ont souvent des comités stratégiques. Du moins dans les pays anglo-saxons…

conseil d'administration : l'exception chez les gaulois réfractaires

Lors d’une récente conférence destinée aux administrateurs au Canada, le consensus a été que les comités stratégiques informatique sont encore largement méconnus dans ce pays. Ils sont également ignorés dans la quasi totalité des pays francophones Européens (France, Belgique, Luxembourg) et encore plus en Afrique. A l’inverse on trouve de plus en plus souvent un comité stratégique IT dans les entreprises des pays anglophones. Est-ce à dire que l’absence de gouvernance du SI est une caractéristique liée à la langue Française? Serait-ce le syndrome du « Gaulois réfractaire » évoqué par le Président Macron récemment? Je ne saurais répondre mais le constat est hélas factuel. C’est d’autant plus inquiétant pour l’avenir économique des ces pays à l’heure de la transformation numérique mondiale.

Les conseils d’administration de l’ère digitale doivent s’adapter

Lors d’un récent congrès d’administrateurs de sociétés, une question des organisateurs portait sur le comité stratégique informatique. De façon très décevante, la réponse quasi-unanime des participants était que ni l’ampleur de leurs dépenses informatiques ni la contribution de l’informatique au risque opérationnel n’avaient été jugées suffisamment importantes pour justifier la création d’un comité stratégique distinct. C’est là une preuve supplémentaire de la totale déconnexion des membres des conseils d’administration de la réalité du changement en cours au niveau mondial. Peut-être est-ce dû au fait que, à ce jour, les conseils d’administration peuvent apparaître comme ayant fait du bon travail de gouvernance dans des entreprises de premier plan sans aucune expertise en TI dans leurs rangs? En tout cas, il y a beaucoup de choses derrière cette réponse totalement inadéquate.

D’autant que ce sont ces mêmes membres du conseil d’administration qui parlent publiquement de la transformation numérique et de l’innovation numérique! Ils sont donc apparemment inconscients de l’impact organisationnel énorme et des risques que comporte une telle mutation, qui, par définition, inclut les TI. Ce risque augmente significativement lorsque les membres du CA ne reconnaissent pas leurs responsabilités dans la gouvernance du SI.

L’évolution nécessaire de la composition du CA

Aux Etats Unis, la plupart des membres des conseils d’administration sont indépendants. C’est là une conséquence directe de la loi Sarbanes-Oxley (SOX) depuis 2002. D’ailleurs, dans le S & P 500, Spencer Stuart constate que 85% des administrateurs sont indépendants depuis 2007. Une autre conclusion intéressante de cette étude porte sur l’âge moyen de ces administrateurs qui était de 63,1 ans en 2017. En France, selon l’AGEFI, l’âge moyen des administrateurs des sociétés du CAC40 est de 58,9 ans en 2017. Il apparaît en légère hausse par rapport à 2016. Seulement 68% des membres des CA du CAC40 sont indépendants selon le même rapport de l’AGEFI en 2017.

Un problème de compétence, mais pas seulement

Une question que le Forum Economique Mondial pose aux administrateurs est de savoir si leur conseil d’administration possède des compétences numériques, multigénérationnelles et une expertise suffisante pour donner des conseils sur des sujets commerciaux et technologiques en évolution rapide. En ce qui concerne la sensibilisation au digital, Mckinsey constate que peu de CA ont une expertise numérique suffisante. Difficile donc d’avoir des échanges significatifs sur ce sujet important avec la direction à l’ère de la transformation digitale. Par ailleurs, avec une moyenne d’âge de 63,1 ans (59,9 ans en France), il est difficile de qualifier le conseil d’administration moyen de multigénérationnel.

 L’âge moyen des membres du conseil d’administration en question

Cela complète les conclusions d’une enquête menée par le Harvard Law School Forum impliquant 860 administrateurs de sociétés publiques. De nombreux membres du conseil d’administration ne sont pas à l’aise avec la supervision informatique car, avec un âge moyen de 63,1 ans:

  • L’expérience professionnelle de la plupart des membres du conseil d’administration est antérieure à l’ère de la transformation digitale des organisations;
  • Très peu d’administrateurs ont simplement des connaissances de base en technologies de l’information.

Ce n’est donc pas que les conseils d’administration en général ne souhaitent pas une gouvernance informatique accrue. C’est plutôt que les administrateurs en place n’ont tout simplement pas les compétences ou l’expérience nécessaires pour comprendre pourquoi ou quand ils ont besoin de gouvernance informatique ou même d’un comité stratégique informatique. Les conseils d’administration peuvent-ils être négligents en n’ayant pas de compétences en informatique à bord et, par conséquent, ne pas être en mesure de poser des questions approfondies de supervision des TI au-delà des questions d’audit générales du comité d’audit? La réponse est «non», les conseils ont le devoir fiduciaire d’avoir un minimum de compétence en informatique.

Le vice-président du Comité d’Hygiène et de Sécurité du CA de Delta Air Lines a bien résumé la situation :


Les conseils d’administration doivent être préparés avec les compétences, la technologie et les processus appropriés. Hélas, la plupart des CA échouent sur la majorité ou la totalité de ces exigences.


Dans le cadre de la transformation digitale de l’économie, il est temps que les actionnaires repensent la façon dont ils votent pour les membres du CA lors de leurs assemblées générales annuelles (AGO).

Le périmètre de la transformation digitale mal compris

L’une des clés pour mieux comprendre l’approche des administrateurs est l’écoute de leurs remarques face aux technologies de l’information. Le mot spécifique qu’ils utilisent le plus souvent, c’est «dépenser» (coût). Or le coût est plus en adéquation avec l’informatique opérationnelle qu’avec la transformation numérique. Cela signifie que les membres des conseils d’administration  semblent voir l’informatique uniquement sous l’angle des coûts opérationnels. Ils n’ont pas une approche incluant aussi les  opportunités. C’est pourquoi ils trouvent acceptable de «gouverner» l’informatique par le biais du comité d’audit. S’appuyant sur les constatations citées à la figure 1, la gestion des TI au sein du comité d’audit n’est pas satisfaisante. C’est d’autant plus vrai lorsque la transformation numérique est un objectif stratégique de l’Entreprise.

Lors d’une discussion récente que j’avais avec un administrateur d’une grande société Française cotée au CAC40 et figurant parmi les leaders mondiaux de son domaine, il me disait « La transformation numérique? C’est juste de la technologie. Et la technologie suivra toujours ». Cela révèle pour le moins une incompréhension du périmètre de la transformation numérique par ceux-là même qui doivent la superviser. Ce n’est clairement pas de bon augure pour les organisations concernées.

Cette approche uniquement basée sur les coûts est aujourd’hui largement dépassée. Elle suggère qu’il n’y a peut-être pas de véritable transformation digitale dans ces organisations. Cela va à l’opposé des commentaires publics apparemment tournés vers l’avenir des membres du conseil d’administration.

Cybersécurité, compétitivité, intégration stratégique et transformation numérique

L’informatique a longtemps été beaucoup plus axée sur la durabilité organisationnelle et le positionnement stratégique que sur le coût de l’automatisation des processus. Bien sûr, le conseil d’administration continue de devoir s’intéresser à la gouvernance. Il est cependant peu probable que de nombreux administrateurs soient en mesure de discerner le rôle de l’informatique dans la réalisation des préoccupations de Deloitte concernant la création de valeur à long terme.

Recommandations aux actionnaires et aux membres du CA

La gouvernance du système d’information, pilotée par KING III, ISO / IEC 38500 et COBIT, a été formalisée depuis 2008 au moyen de la norme ISO / IEC 38500. Si l’informatique est simplement opérationnelle dans une organisation, la gouvernance informatique ne doit pas dépasser la charte des coûts du comité d’audit et risque. Mais si l’activité de l’Entreprise dépend de façon stratégique de son informatique, y compris dans un contexte de transformation digitale, alors, conformément à la norme ISO / IEC 38500, le conseil d’administration a trois responsabilités principales:

  • Evaluer continuellement les performances informatiques dans le cadre de la stratégie organisationnelle;
  • Réorienter continuellement l’informatique si ses performances compromettent la stratégie de l’organisation;
  • Surveiller en permanence les performances informatiques pour s’assurer que la stratégie de l’entreprise sera livrée aux actionnaires.

Un outil efficace : le comité stratégique TI

Les problèmes business critiques tels que celui évoqué dans cet article prennent beaucoup de temps pour être résolus. Il est donc nécessaire de réagir efficacement. La création d’un comité stratégique TI est indubitablement un outil efficace pour y remédier. Incontestablement, le sujet des systèmes d’information a depuis longtemps dépassé les domaines d’audit et de risque de base. Des organisations importantes telles que Wallmart en ont tiré les conséquences. Ainsi Wallmart s’est doté d’un comité stratégique TI dédié au niveau du conseil d’administration. Il ne faut surtout pas croire hâtivement qu’un comité stratégique TI est technique. Ce n’est pas du tout le cas. Les responsabilités énumérées dans le paragraphe précédent, ainsi que des sujets tels que la compétitivité, la transformation et la durabilité fondées sur l’informatique, sont clairement stratégiques.

Bien que la gouvernance informatique ait continué à se développer au cours de la dernière décennie et soit devenue la gouvernance du SI, le chemin à parcourir est encore long. Non seulement il n’ya pas de discussion majeure sur le leadership numérique au sein des cadres de gouvernance d’entreprise au niveau mondial, mais les administrateurs ne semblent pas encore avoir les aptitudes et les compétences nécessaires pour gérer correctement les initiatives de transformation numérique.

Une nécessité : le renouvellement des conseils d’administration

Que peut-on faire dans cette situation? En règle générale, les administrateurs sont élus lors de l’assemblée générale annuelle (AGO) par les actionnaires. Dans les organisations où la durée du mandat est limitée, les administrateurs devraient être renouvelés et bénéficier de nouvelles perspectives sur le rôle et les risques. en transformation numérique. Les actionnaires détiennent généralement une partie du pouvoir nécessaire pour remplacer les administrateurs actuels au sein des conseils d’administration. Ils ont par conséquent des moyens d’action sur les membres du CA. Ils peuvent donc s’assurer que les administrateurs possèdent des connaissances de base en informatique.

La question est de savoir si ils le veulent vraiment ou si les facteurs générant des gains à court terme (croissance du prix des actions) sont plus importants que la viabilité à long terme. Ces deux objectifs sont totalement incompatibles. Et c’est là que se situe une partie du problème.

Restons positifs malgré tout

On commence, dans certaines entreprises, à apercevoir une lueur au bout du tunnel. Quelques Organisations, auprès desquelles j’interviens comme conseil, ont unanimement considéré que la durabilité par le biais de la transformation numérique exige plus qu’un simple créneau dans les ordres du jour plus larges des comités d’audit ou des risques.

Au lieu de cela, dans le contexte de la transformation digitale, le service informatique mérite un degré de gouvernance spécialisé qui ne peut lui être accordé que par le biais d’un comité stratégique informatique dédié. C’est une première étape encourageante. Il faut maintenant oeuvrer pour que cela se développe et se généralise. C’est en s’appuyant sur des cadres de gouvernance tels que COBIT ou ISO 38500 qu’on a quelques chances d’y parvenir. Malheureusement cette mutation est très lente. Et pas sûr que les conseils d’administration aient le temps d’évoluer avant que la situation ne devienne critique.

Catégories

Archives

Calendrier

mars 2019
L M M J V S D
« Fév    
 123
45678910
11121314151617
18192021222324
25262728293031
%d blogueurs aiment cette page :