Tests de pénétration : nécessaires mais pas suffisants

Trop souvent, lors de mes missions dans différentes parties du monde, je fais face à des idées fondamentalement erronées sur l’objectif d’un test de pénétration. Et malheureusement, ces incompréhensions peuvent mener à des catastrophes en termes de  création de valeur. Dans cet article, j’explore certains des comportements courants que j’ai pu constater vis à vis des pentests. Ils conduisent le plus souvent à une absence de retour sur investissement, faute d’être correctement utilisés. Et, hélas, ils aboutissent systématiquement à une augmentation des risques business due à un faux sentiment de sécurité.

Cybersécurité - Les tests de pénétration sont indispensables mais insuffisants
Crédit : © rawpixel.com 2018

Si vous êtes un lecteur régulier de ce blog, vous savez que j’aborde régulièrement des sujets relatifs à la cybersécurité. Mes articles s’appuient souvent sur des référentiels, des normes ou des réglementations. Aujourd’hui, je vous propose un sujet un peu différent. On entend de plus en plus parler de tests de pénétration (ou pentests) des systèmes d’information. On parle également souvent de tests d’intrusion. Mais à quoi cela sert-il vraiment? Est-ce vraiment utile? Et si vous réalisez ce type de test, cela vous garantit-il que votre système informatique est vraiment sécurisé? Je vais essayer de répondre à toutes ces questions et vous démontrer l’utilité de ces tests de sécurité. Je vais aussi vous démontrer qu’ils ne constituent qu’un des éléments de la chaîne, parmi beaucoup d’autres. En d’autres termes, je vais vous expliquer pourquoi les tests de pénétration sont indispensables mais totalement insuffisants.

En quoi consiste la chaîne cyber-criminelle (« Cyber Kill Chain »)?

Il est important de connaître les étapes qu’un cybercriminel va suivre pour attaquer votre entreprise / service. Le terme «chaîne cyber-criminelle» a été adopté pour exprimer l’ensemble de ces étapes.

Pour mieux comprendre l’intérêt des tests de pénétration, il faut d’abord comprendre ce qu’on appelle la chaîne cyber-criminelle (« Cyber Kill « Chain’). En fait il s’agit de comprendre comment se déroule une cyber-attaque de façon générale.

A l’origine, c’est l’armée qui utilisait le terme de « chaîne de destruction ». Cette « chaîne » définit les étapes que l’ennemi utilise pour attaquer une cible. En 2011, Lockheed Martin a publié un document définissant une «chaîne cyber-criminelle». Ce document, similaire à celui de l’armée, définit les étapes suivies par les hackers dans les cyber-attaques d’aujourd’hui. Et c’est en comprenant chacune de ces étapes que les défenseurs peuvent mieux identifier et bloquer les attaques.

Chaîne cyber-criminelle selon Lockheed Martin
© Lockheed Martin 2011

La chaîne cyber-criminelle, telle que décrite dans le document de Lockheed Martin se compose de 7 étapes.

Une variante, définie par Varonis, rajoute une étape supplémentaire : l’exfiltration. C’est une étape qui apparaît nécessaire. En effet, un pirate ne commet jamais une attaque sans avoir une stratégie de sortie.

Chaîne cyber-criminelle ver. 2 ou les étapes suivies par les cybercriminels
© Varonis 2016

Voici la description détaillée de chacune des étapes d’une chaîne cyber-criminelle (le chemin suivi pour attaquer une cible) :

1. Reconnaissance

Tout « casse » réussi commence toujours par une mission de repérage des lieux. Le même principe s’applique dans le cas d’une cyber-attaque. La phase de reconnaissance constitue la phase préliminaire de toute attaque. Il s’agit de la mission de recueil d’informations. Le cybercriminel recherche alors les indications susceptibles de révéler les vulnérabilités et les points faibles de votre système. Les pare-feu, les dispositifs de prévention des intrusions, les périmètres de sécurité (et même les comptes de médias sociaux) font l’objet de reconnaissance et d’examen minutieux. Les outils de repérage analysent les réseaux des entreprises pour y trouver des points d’entrée et des vulnérabilités à exploiter.

2. Intrusion

Après avoir obtenu ces renseignements, il est temps de s’infiltrer dans le système. Le cybercriminels est maintenant juste derrière la porte. Il est prêt à agir. Il doit encore, cependant, piéger les lieux pour faciliter son attaque. L’intrusion constitue le moment où l’attaque devient active. Les logiciels malveillants (y compris les ransomware, spyware et adware) peuvent être envoyés vers le système pour en forcer l’entrée. C’est la phase de livraison. Elle peut s’effectuer par e-mail de phishing ou prendre la forme d’un site Web compromis. Elle peut aussi venir du sympathique café au coin de la rue avec sa liaison WiFi non sécurisée, facile à utiliser par les pirates. L’intrusion constitue le point d’entrée d’une attaque. C’est le moment où les agresseurs pénètrent dans la place.

3. Exploitation

Le hacker se trouve de l’autre côté de la porte et le périmètre est désormais violé. La phase d’exploitation d’une attaque exploite les failles du système. Les cybercriminels peuvent désormais entrer dans le système, installer des outils supplémentaires, modifier les certificats de sécurité et créer de nouveaux scripts à des fins nuisibles.

4. Escalade de privilèges

Quel intérêt y aurait-t-il à entrer dans un bâtiment si vous restez coincé à la réception? Vous devez absolument pénétrer le coeur du bâtiment pour y trouver les secrets les plus intéressants. C’est ce que font les cybercriminels en utilisant l’escalade de privilèges. Ils vont ainsi pouvoir obtenir des autorisations élevées d’accès aux ressources. Ils modifient les paramètres de sécurité des GPO, les fichiers de configuration, les permissions et essaient ensuite d’extraire des informations d’identification.

5. Mouvement latéral

Vous avez maintenant carte blanche. Il vous reste cependant à trouver la chambre forte où sont protégées les informations les plus précieuses. Les cybercriminels se déplacent de système en système, de manière latérale, afin d’obtenir d’autres accès et de trouver toujours plus de ressources. C’est également une mission avancée d’exploration des données. Au cours de cette mission, les cybercriminels recherchent des données critiques et des informations sensibles, des accès administrateur et des serveurs de messagerie. Ils utilisent souvent les mêmes ressources que le service informatique de l’entreprise. Ils tirent également parti d’outils intégrés tels que PowerShell et se positionnent de manière à causer le plus de dégâts possible.

6. Camouflage

C’est bon, vous êtes arrivés au bon endroit. Encore faut-il vous assurer que vous n’allez pas vous faire repérer. Mettez les caméras de sécurité en boucle et montrez un ascenseur vide. Ainsi, personne ne verra ce qui se déroule en coulisses. Les hackers font exactement la même chose. Ils masquent leur présence et leur activité pour éviter toute détection et déjouer les investigations. Cela peut prendre la forme de fichiers et de métadonnées effacés, de données écrasées au moyen de fausses valeurs d’horodatage (timestamps) et d’informations trompeuses. Ou encore cela peut se faire sous forme d’informations critiques modifiées pour que les données semblent ne pas avoir été touchées.

7. Déni de service

Bloquez les lignes téléphoniques et coupez le courant. C’est la phase au cours de laquelle les cybercriminels ciblent le réseau et l’infrastructure de données. Leur objectif est d’empêcher que les utilisateurs légitimes puissent accéder à ce dont ils ont besoin. L’attaque par déni de service (DoS) perturbe et interrompt les accès. Elle peut entraîner la panne des systèmes et saturer les services.

 8. Exfiltration

Vous devez toujours prévoir une stratégie de sortie. Vous avez obtenu ce que vous étiez venu chercher. Il serait idiot de rester là à attendre d’être découvert et arrêté par la police. Vous devez maintenant sortir votre butin pour pouvoir en tirer profit. Les cybercriminels obtiennent les données. Ils copient, transfèrent ou déplacent les données sensibles vers un emplacement sous leur contrôle. Ils pourront ensuite en faire ce qu’ils veulent : les rendre contre une rançon, les vendre sur internet ou sur le Dark Web par exemple. Sortir toutes les données peut prendre des jours entiers. Mais une fois qu’elles se trouvent à l’extérieur, elles sont sous le contrôle des cybercriminels.

N’oubliez pas que les attaquants disposent d’un temps considérable (potentiellement illimité). Ils disposent également d’une étendue totalement libre au niveau des vecteurs d’attaque. Rien n’est interdit! Ils ne se limiteront pas toujours à une seule méthode et les voies d’attaque couvriront tous les chemins possibles entre vos données et la position de l’attaquant (y compris les serveurs / services et les points finaux n’appartenant pas à votre entreprise). Les attaques peuvent être continues et ne se dérouleront probablement pas durant les heures de travail de votre organisation.

Qu’en est-il des tests de pénétration?

Examinez maintenant les phases d’un test de pénétration. Celles-ci (bien qu’elles puissent sembler quelque peu similaires) sont souvent très différentes :

1. Sélection du prestataire

Les entreprises choisissent un fournisseur sur le marché. Ils se concentrent le plus souvent sur la liste de ses badges de certification et les coûts plutôt que sur la méthode de test utilisée.

2. Définition du périmètre du test

Une réunion de cadrage est organisée au cours de laquelle le client et le fournisseur discutent des exigences. Sur la base de cette réunion, le fournisseur élabore une proposition. Un périmètre spécifique sera sélectionné, qui inclura et exclura des scénarios et des types de tests. Il pourra s’agir de tests de type black box, grey box ou white box, à l’aveugle, internes ou externes, …

3. Planification

Une fois les contrats conclus, le test sera planifié, les prérequis activés et les délais convenus.

4. Réalisation du test

Les tests seront effectués (souvent sur quelques jours) en fonction de la méthode de test du fournisseur. Il peut s’agir d’un balayage automatisé utilisant un produit tel que Nessus . Idéalement, ce sera une combinaison de tests automatisés et manuels couvrant l’ensemble du spectre du service testé. Cependant il s’agit le plus souvent d’un ensemble limité de tests

5. Fourniture d’un rapport

Une fois le test d’intrusion terminé, l’étape finale consiste à collecter les preuves des vulnérabilités exploitées et à les signaler à la direction. C’est elle qui les examine et prendra les mesures qui s’imposent. C’est maintenant à la haute direction de décider de la manière dont ce risque doit être traité. Ils choisiront d’accepter le risque, de le transférer, de le réduire ou de l’ignorer (option la moins probable). Un rapport formel sera fourni au client. Celui-ci se présente le plus souvent sous la forme d’un agencement de style feux de signalisation décrivant les risques critiques, élevés, moyens, faibles ou négligeables. Le rapport inclut souvent également des recommandations de mesures correctives afin de réduire les risques identifiés.

6. Suivi

Après la soumission du rapport de test d’intrusion, le client doit l’examiner avec les parties prenantes concernées. Il doit ensuite ajuster les contrôles de sécurité en conséquence. Cela nécessitera probablement un effort de collaboration entre plusieurs fonctions, services, équipes et moyens. Ce suivi sera normalement réalisé sous la direction du CISO. L’objectif clé ici devrait être de permettre aux équipes de réduire le risque d’un service spécifique. Cependant il ne faut pas en rester là. Il convient également de jouer sur l’amélioration continue du processus de développement du cycle de vie logiciel/service afin d’améliorer la posture de sécurité et la robustesse tout au long du cycle de vie.

Les problèmes en amont des tests de pénétration

Les six phases de test de pénétration que j’ai décrites ci-dessus peuvent sembler relativement simples. Hélas les choses peuvent mal se passer. Et c’est malheureusement souvent ce qui se produit. Les quatre scénarios suivants sont des scénarios que je vois malheureusement maintes et maintes fois. Et, même avant le début des tests, ils contribuent à détruire tout le bénéfice de l’opération. Cette liste n’est pas exhaustive, alors n’hésitez pas à commenter ci-dessous (je suis sûr que vous avez d’autres exemples concrets).

  • Les tests de pénétration ne sont effectués que sur un périmètre très réduit. Par exemple un test de type boîte noire est réalisé à partir d’une adresse IP spécifique par rapport à une cible spécifique, d’une manière limitée.
  • La sélection du prestataire du test d’intrusion est effectuée sur la seule base du coût.
  • La portée des tests ne représente pas un nombre suffisant de vecteurs d’attaque par rapport à ce que les cybercriminels utiliseront dans le monde réel.
  • Les tests sont limités aux environnements de «test» uniquement, car l’entreprise craint que le business ou un service ne soit affecté si un test produisait un résultat «destructeur» sur les systèmes en production.

Les problèmes en aval du test d’intrusion

En plus de ce qui précède:

  • Les résultats des tests de pénétration restent extrêmement secrets. Bien sûr, ils sont sensibles, mais les méchants vous sondent déjà. Et ils connaissent probablement déjà les faiblesses de votre système.
  • Souvent, les résultats ne sont pas utilisés pour aider les équipes concernées (équipe bleue, opérations informatiques, développeurs, centre de services et architectes) à apprendre non seulement à atténuer les attaques spécifiques, mais également à améliorer leurs pratiques pour réduire le nombre de vulnérabilités créées.

Alors, que faut-il faire?

Vous liez ceci et vous pensez que rien de tout cela ne se peut se produire dans votre organisation? Alors j’en suis vraiment très heureux pour vous. Mais hélas, j’ai beaucoup de mal à vous croire. Cependant, je soupçonne que beaucoup d’entre vous, tout comme moi, hocherez la tête et grinceront un peu des dents en vous rappelant la valeur limitée des activités réalisées lors du dernier test d’intrusion.

Lors de la conception et de l’exploitation des services, il est essentiel que les activités de test et d’assurance de la sécurité se déroulent selon un cycle continu qui améliore à la fois la sécurité et la création de valeur. Les rapports sur les étagères, ou des listes des case de conformité à cocher ou encore des tests menés à un moment précis, n’apportent que peu de valeur ajoutée. Cela ne contribue pas efficacement à la réduction des risques pour l’entreprise.

La détection et la correction des vulnérabilités de sécurité sont beaucoup moins stressantes et coûteuses si elles sont traitées dès les premières étapes du cycle de vie. De plus la connaissance des outils et des méthodes à déployer avant de réaliser une revue de sécurité vous évitera de nombreuses nuits blanches si vous commencez très tôt et faites des évaluations en continu.

Conclusion

Les tests de pénétration ont définitivement un rôle à jouer pour sécuriser et garantir les services. Cependant, n’oubliez pas qu’il ne s’agit que d’un composant de la solution et non de la solution complète. Les autres activités importantes à réaliser comprennent notamment :

  • Conception sécurisée,
  • Gestion des actifs,
  • Modélisation des menaces,
  • Évaluation des risques,
  • Revues de code,
  • Audits et examens des services,
  • Évaluation des vulnérabilités,
  • Analyse de code (statique et dynamique),
  • Renforcement de la sécurité,
  • Gestion des correctifs de sécurité,
  • Exploitation sécurisée,
  • Simulation d’attaques,
  • et bien d’autres encore…

Espérons que cet article vous amène à réfléchir à l’objectif des tests de pénétration. Cela devrait être l’amélioration de l’apprentissage et de la posture de la sécurité. Les tests de pénétration  se doivent de jouer un rôle général dans la planification, la conception, la construction et l’exploitation de services sécurisés. Ainsi, non seulement vous réduirez les risques pour l’entreprise mais aussi vous offrirez de la valeur à votre client!

N’hésitez pas à commenter cet article pour échanger vos expériences. C’est sur la base d’une discussion avec et entre nos lecteurs que nous pouvons mieux répondre à vos attentes. Alors, n’attendez pas. Ne soyez pas timide et osez poster un commentaire.

 

Avec COBIT 2019, atteignez vos objectifs de gouvernance

Cela fait maintenant un peu plus de deux mois que l’ISACA a publié les premiers volumes de COBIT 2019. COBIT constitue depuis de nombreuses années le cadre de référence pour la gouvernance de l’information des entreprises. Cette nouvelle version, attendue depuis longtemps (COBIT 5 avait été publié en 2012) est donc un évènement important. Du moins, pour les responsables de la gouvernance des Entreprises, constitue-t-elle un élément majeur. Après seulement deux mois d’utilisation, je peux affirmer sans hésiter que cette dernière version est l’un des meilleurs cadres à ce jour pour la gouvernance et la gestion des TI dans l’entreprise. Dans cet article, je vais vous en montrer quelques éléments clés. Ceux-ci vous aideront sans aucun doute à atteindre les objectifs fixés par la gouvernance de votre organisation.

COBIT 2019 - Atteignez vos objectifs de gouvernance et de management
Crédit © rawpixel.com 2018

Cette version se base sur quatre publications clés, toutes disponibles à ce jour:

  • Framework: Introduction and Methodology, qui décrit la structure du cadre global,
  • Framework: Governance and Management Objectives, qui décrit en détail le modèle de base et ses 40 objectifs de gouvernance et de management,
  • COBIT 2019 Design Guide, qui explique comment utiliser COBIT de manière pratique,
  • COBIT 2019 Implementation Guide, qui est une version actualisée et plus pertinente du Guide de mise en œuvre de COBIT 5.

L’approche COBIT 2019

L’une des choses que j’aime beaucoup dans l’approche de l’ISACA est sa stratégie commerciale. Les deux premières publications sont entièrement GRATUITES, et vous pouvez les télécharger sur le site de l’ISACA. Les deux suivantes sont gratuites pour les membres uniquement.

Vous êtes nombreux à savoir que je suis un grand fan des référentiels de bonnes pratiques. Au fil des années, ils ont été développés et promus pour aider les entreprises à comprendre, concevoir et adopter une gouvernance informatique. COBIT 2019 constitue le cadre de gestion et de gouvernance de l’information et de la technologie (I & T) le plus complet. COBIT continue, au fil des ans, de s’affirmer comme un cadre généralement accepté pour la gouvernance I & T. Mais cette nouvelle version couvre l’ensemble de l’entreprise, c’est-à-dire toute la technologie et le traitement de l’information qu’une entreprise utilise pour atteindre ses objectifs. Il est cependant important de noter que COBIT n’est pas un cadre organisant des processus métier, ni un cadre pour régir et gérer toutes les technologies spécifiques. Il se concentre sur les composants d’I & T nécessaires pour diriger et gérer les informations qu’une entreprise reçoit, traite, stocke et diffuse.

Qu’y a-t-il de vraiment nouveau dans COBIT 2019?

Il y a de nombreuses différences majeures entre COBIT 2019 et son prédécesseur, COBIT 5, parmi lesquelles :

  • Les 5 principes ont été modifiés.
  • De nouvelles zones d’intérêt existent désormais (DevOps, sécurité, …)
  • La création de nouveaux facteurs de conception,
  • La cascade d’objectifs est mise à jour,
  • Les processus ont été améliorés (il y en a maintenant 40 au lieu de 37),
  • La gestion de la performance a été actualisée.
  • L’expression «composants de la gouvernance» remplace les facilitateurs (« enablers ») de COBIT 5.
  • Et ce que je préfère, ce sont les nouveaux objectifs détaillés en matière de gouvernance et de gestion.

Il y a tellement d’améliorations qu’il est difficile de toutes les saisir dans un seul article. Je vais donc me concentrer sur l’interrelation entre les nouveaux composants et les objectifs de gouvernance et de gestion. Mais vous vous demandez peut-être comment les processus s’intègrent à tout cela? Je vais donc y revenir plus en détail.

Focalisons-nous sur les composants de gouvernance

Après notre récent article 10 trucs pour bien démarrer avec COBIT 2019, nous allons nous concentrer sur le coeur du référentiel. Ils s’agit des composants de la gouvernance. Pour atteindre leurs objectifs de gouvernance et de gestion, les entreprises doivent mettre en place un système de gouvernance reposant sur un certain nombre de composants.


«Les composants sont des facteurs qui, individuellement et collectivement, contribuent au bon fonctionnement du système de gouvernance de l’entreprise sur l’I & T.» (COBIT 2019 Framework, Introduction and Methodology – ISACA).


Ces composants comprennent:

  • Les processus
  • Structures organisationnelles
  • Information
  • Aptitudes et compétences
  • Culture et comportement
  • Les politiques et les procédures
  • Services, infrastructure et applications.

Vous les avez peut-être reconnus en tant que facilitateurs (« enablers ») dans COBIT 5. Personnellement, j’aimais énormément ce concept de facilitateurs dans COBIT 5. Cependant, il était très difficile de les mettre en oeuvre dans une entreprise. Ces composants constituent désormais un élément clé du référentiel COBIT 2019 basé sur leur lien avec les objectifs de gouvernance et de management.

Les objectifs de gouvernance et de management

L’un des éléments clés de la valeur ajoutée de l’I & T est de contribuer à la réalisation des objectifs de l’entreprise. Les objectifs IT qui étaient toujours mal compris. Ils sont remplacés par les objectifs d’alignement entre les métiers et les TI, l’objectif final étant la création de valeur.

COBIT 2019 : la nouvelle cascade d'objectifs de gouvernance
Source: De Haes, Steven; W. Van Grembergen; Enterprise Governance of Information Technology: Achieving Alignment and Value,Featuring COBIT 5, 2nd ed., © Springer International Publishing, Switzerland, 2015

Les objectifs de gouvernance et management des TI sont organisés dans les 5 mêmes domaines que ceux que nous avions auparavant dans COBIT 5 :

COBIT 2019 : domaines des objectifs de gouvernance et de management

Chaque domaine contient un ensemble d’objectifs de gouvernance et de management. Un objectif de gouvernance ou de management se rapporte toujours à un processus et aux autres composants nécessaires pour atteindre cet objectif. On retrouve les objectifs de gouvernance associés domaine EDM. Les objectifs de gestion sont pour leur part associés aux domaines APO, BAI, DSS et MEA.

Comme indiqué ci-dessous, il existe 40 objectifs de gouvernance et de gestion.

COBIT 2019 : 40 objectifs de gouvernance et de management
COBIT Core Model, COBIT 2019 Framework, Introduction and Methodology: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

Connu sous le nom de modèle de référence de processus ou PRM (Process Reference Model) dans COBIT 5, COBIT 2019 l’identifie comme étant le modèle central (Core Model) de COBIT. Dans ce modèle, chacun des 40 objectifs de gouvernance et de management est lié à un processus, qui est l’un de nos composants de gouvernance. Nous allons voir maintenant comment tout cela s’organise.

Utilisation d’objectifs de gouvernance et de management avec les composants

Chacun des 40 objectifs de gouvernance et de gestion est atteint grâce à l’exécution d’un processus du modèle central. Il est donc normal que le modèle central compte désormais 40 processus. Et c’est là que le modèle révèle toute sa puissance. Vous vous souvenez qu’un peu plus tôt dans cet article que j’ai mentionné que les facilitateurs (« enablers ») de COBIT 5 étaient difficiles à associer au modèle COBIT? Eh bien, maintenant, chacun de ces composants (« enablers ») constitue un des ingrédients nécessaires à la réalisation de l’objectif.

COBIT 2019 Framework: Governance and Management Objectives, chacun des objectifs de gouvernance et de management, ou processus, est clairement décrit à l’aide des composants de gouvernance, comme illustré ci-dessous.

COBIT 2019 : architecture des composants du modèle de gouvernance et de management

Maintenant que j’ai expliqué l’architecture générale du modèle, nous allons rentrer dans le détail d’un objectif. Nous prendrons l’exemple de APO13 – Managed security. Ainsi nous comprendrons mieux comment se structure chacun des 40 objectifs de gouvernance et de management.

Informations de haut niveau

Une fiche basée sur une structure standard décrit en détail chaque objectif. Les premières informations décrite en haut de la fiche comprennent la zone d’intérêt, le nom de domaine, le nom de l’objectif de gouvernance ou de management, sa description et la déclaration de l’objet de cet objectif.

COBIT 2019 - Objectif de gouvernance APO13 - Part 1
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

La cascade d’objectifs

La cascade d’objectifs relative à cet objectif spécifique est ensuite décrite. Elle inclut les objectifs d’alignement applicables (anciennement objectifs informatiques), les objectifs d’entreprise et des exemples de métriques.

COBIT 2019 - Objectif de management - Part 2
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

Les composants associés

Rappelez-vous, ils sont au nombre de sept. Ce sont les « enablers » de COBIT 5.

1. Processus

Le processus est un composant clé. En effet, c’est grâce au processus que chaque objectif de gouvernance ou de de management est atteint. Dans le composant «Processus», peu de choses ont changé. Nous voyons toujours un ensemble de pratiques de management, d’exemples de métriques et d’activités, ainsi que des conseils connexes. L’un des principaux ajouts à COBIT 2019 est que chaque activité correspond désormais à un niveau d’aptitude.

COBIT 2019 - Objectif de management APO13 - Part 3
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

Des référentiels de bonnes pratiques connexes apparaissent désormais pour CHACUN des composants de gouvernance. Dans le cas des processus, vous les retrouverez pour chacune des pratiques.

COBIT 2019 - Objectif de management - Part 4
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

2. Structures organisationnelles

Les différents niveaux de participation sont divisés en niveaux d’autorité (Accountability) et de responsabilité (Responsibility). Les entreprises doivent examiner les niveaux de responsabilité et de responsabilisation, les consulter et les informer, et mettre à jour les rôles et les structures organisationnelles dans le tableau en fonction du contexte, des priorités et de la terminologie de l’entreprise. COBIT 2019 suggère uniquement des rôles d’autorité et de responsabilité. COBIT 5 incluait des rôles de consulté et d’informé. Or, étant donné que les rôles consultés et informés dépendent essentiellement du contexte et des priorités de l’organisation, ils ne figurent plus dans les nouveaux guides de COBIT.

COBIT 2019 - Objectif de management APO13 - Part 5
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

3. Eléments et flux d’information

Ce composante de gouvernance fournit des indications sur les flux d’information et les éléments liés aux pratiques du processus. Chaque pratique comprend des entrées et des sorties, avec l’indication de l’origine et de la destination.

COBIT 2019 - Objectif de management APO13 - Part 6.1

COBIT 2019 - Objectif de management APO13 - Part 6.1
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

4. Personnes, aptitudes et compétences

Ce composant identifie les ressources humaines et les compétences requises pour atteindre l’objectif correspondant.

COBIT 2019 - Objectif de management APO12 - Part 7
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

5. Politiques et procédures

Ce composant identifie les politiques et les procédures nécessaires à l’atteinte de l’objectif concerné.

COBIT 2019 - Objectif de management APO13 - Part 8
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

6. Culture, éthique et comportement

Ce composant, essentiel identifie les comportements et les aspects culturels des personnes impliquée dans l’atteinte de l’objectif.

COBIT 2019 - Objectif de management APO13 - Part 9
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

7. Services, infrastructure et applications

Ce composant identifie de façon détaillée les services tiers, les types d’infrastructures et les catégories d’applications pouvant être utilisés pour soutenir la réalisation d’un objectif de gouvernance ou de management. Les instructions sont génériques (pour éviter de nommer des éditeurs, des constructeurs ou des produits spécifiques).

COBIT 2019 - Objectif de management APO13 - Part 10
APO13 – COBIT 2019 Framework, Governance and Management Objectives: 2018 © Information Systems Audit and Control Association, Inc. (ISACA)

Informations connexes

COBIT 2019 identifie les normes, les référentiels et les exigences de conformité applicables pour chaque élément de gouvernance. Il fournit également des références détaillées, le cas échéant, au niveau de chacun des composants. Elles diffèrent cependant de celles de COBIT 5, qui s’appliquaient uniquement au niveau du processus.

Conclusion

C’est grâce à la cascade d’objectifs que vous identifierez les objectifs de gouvernance et de management des TI applicables. Il ne vous reste alors qu’à mettre en oeuvre les composants correspondants aux objectifs sélectionnés. Les objectifs de gouvernance et de management avec leurs composants constituent désormais le noyau de COBIT. Je reviendrai ensuite, dans un prochain article, sur les autres grandes nouveautés de cette version.

N’hésitez pas à commenter cet article pour nous donner votre ressenti sur cette nouvelle version de COBIT. Que pensez-vous des évolutions? Avez-vous un retour d’expérience? C’est grâce à vous que nous pouvons faire vivre ce blog.

 

CISO : Responsabilités et compétences indispensables

Depuis sa création durant les années 90, le rôle du CISO a largement évolué. A l’origine, il était principalement consacré à la correction des vulnérabilités sur le système informatique. Aujourd’hui, le paysage de la sécurité a évolué, avec l’élargissement de la périphérie de l’entreprise, l’explosion du cloud et de la mobilité, avec les mutations des menaces et des risques, et jusqu’aux environnements règlementaires. Le CISO est donc devenu un acteur majeur du management de l’entreprise. Pour assurer ses responsabilités, il doit nécessairement posséder des compétences et des aptitudes très spécifiques.

CISO : Responsabilités et compétences
Crédits © rawpixel.com 2018

Dans cet article je vais essayer de vous expliquer les responsabilités d’un CISO ainsi que les compétences requises. Attention, il ne faut pas confondre CISO et RSSI. En France il y a beaucoup plus de RSSI que de CISO. Malheureusement les entreprises françaises ne comprennent toujours pas que ce rôle est absolument indispensable. Hélas, comme d’habitude au pays des Gaulois réfractaires, c’est le coût qui domine les décisions. Or les bons CISO sont rares sur le marché et donc, ils sont chers. La conséquence est une plus grande vulnérabilité des entreprises Françaises face aux nombreux risques de sécurité.

Qu’est-ce qu’un CISO?

Le Directeur de la Sécurité de l’Information (Chief Information Security Officer : CISO) répond de la sécurité des informations et des données d’une organisation. Par le passé, le rôle était défini assez étroitement dans ce sens. De nos jours, le titre est souvent utilisé de manière interchangeable avec CSO (Directeur de la Sécurité) et VP de la sécurité. Ceci indique un rôle plus étendu dans l’organisation.

Vous êtes un professionnel de la sécurité ambitieux? Vous cherchez à grimper les échelons de votre entreprise? Alors vous pouvez avoir un poste de Directeur de la sécurité informatique dans votre ligne de mire. Examinons ce que vous pouvez faire pour améliorer vos chances de décrocher un rôle de CISO et ce que seront vos responsabilités si vous décrochiez ce poste essentiel. Et si vous cherchez à ajouter un CISO à  votre organisation, vous serez sûrement intéressé par cet article.

Quelles sont les responsabilités d’un CISO?

La meilleure façon de comprendre le travail de CISO est sans doute de se baser ses responsabilités quotidiennes. Elles nous révèlent les compétences nécessaires. Bien qu’il n’existe pas deux cas identiques, Stephen Katz, qui a joué le rôle de CISO chez Citigroup dans les années 90, a décrit les domaines de responsabilité des CISO dans une interview avec MSNBC.

Les 7 domaines de responsabilité du CISO

Il répartit ces responsabilités dans les catégories suivantes:

  • Sécurité opérationnelle : Il analyse en temps réel des menaces immédiates et priorisation en cas de problème
  • Cyber-risque et cyber intelligence : Il se tient au courant des menaces pour la sécurité. Il aide le conseil d’administration à comprendre les problèmes de sécurité potentiels pouvant résulter de fusions, d’acquisitions ou de cessions.
  • Prévention des violations de données et de la fraude : Il s’assure que le personnel interne ne fait aucune mauvaise utilisation ni ne vole des données de l’entreprise
  • Architecture de sécurité : Il planifie, achète et déploie du matériel et des logiciels de sécurité. Il s’assure également que l’infrastructure informatique et réseau est conçue sur la base des meilleures pratiques de sécurité
  • Gestion des identités et des accès : Il s’assure que seules les personnes autorisées ont accès aux données et aux systèmes protégés
  • Gestion de programme : Il doit garder une longueur d’avance sur les besoins de sécurité en mettant en œuvre des programmes ou des projets réduisant les risques. Par exemple, il doit s’assurer du déploiement de correctifs réguliers des systèmes.
  • Enquêtes et expertises légales : Il détermine ce s’est mal passé, collabore avec les responsables, s’ils sont internes, et prévoiT afin d’éviter la répétition d’une crise identique
  • Gouvernance : Il s’assure que toutes les initiatives ci-dessus se déroulent sans heurts et qu’elles reçoivent le financement et les ressources dont elles ont besoin. Il s’assure également que les dirigeants de l’entreprise comprennent bien leur rôle et leur importance dans la sécurité.

Si vous voulez en savoir plus

Pour des informations plus poussées, nous vous conseillons de lire le livre blanc de SANS Institute : « Mixing Technology and Business: The Roles and Responsibilities of the Chief Information Security Officer« .

Quelles sont les exigences pour être CISO?

Que faut-il pour pouvoir postuler à ce poste? D’une manière générale, un CISO doit posséder une base technique solide. Généralement, un candidat doit être titulaire d’une licence en informatique ou dans un domaine connexe. De plus, il doit compter entre 7 et 12 années d’expérience professionnelle (dont au moins cinq ans dans un rôle de direction). Les diplômes de master en sécurité de l’information sont également de plus en plus en vogue.

Des compétences techniques sont nécessaires…

Il existe également une liste exhaustive des compétences techniques attendues. Au-delà des bases de la programmation et de l’administration système que tout dirigeant technique de haut niveau devrait posséder, vous devez également comprendre certaines technologies centrées sur la sécurité, telles que le DNS, le routage, l’authentification, les VPN, etc. services proxy et technologies d’atténuation DDOS; pratiques de codage, piratage éthique et modélisation des menaces; et les protocoles de pare-feu et de détection / prévention des intrusions. Les CISO sont censés contribuer à la conformité réglementaire. Par conséquent, vous devez également connaître en quoi consistent les évaluations de la conformité PCI, HIPAA, NIST, GLBA, GDPR, ISO 27001 et SOX.

… mais elles ne sont qu’une base

Cependant les connaissances techniques ne constituent pas le seul pré-requis requise, ni même le plus important pour décrocher le poste. Une grande partie du travail d’un CISO implique la gestion et la défense de la sécurité au sein de la haute direction de l’entreprise. Larry Ponemon, chercheur en informatique, a déclaré à SecureWorld que « les principaux RSSI ont de bonnes bases techniques mais possèdent souvent une expérience professionnelle, un MBA et les compétences nécessaires pour communiquer avec les autres cadres dirigeants et le conseil d’administration ».

Des compétences de management sont vitales

La combinaison de compétences techniques et non techniques permettant de juger un candidat au poste de RSSI peut varier en fonction de la société qui embauche. De manière générale, les entreprises ayant une portée mondiale ou internationale recherchent des candidats possédant une formation en matière de sécurité globale et fonctionnelle et évaluent les compétences en leadership tout en prenant en compte la progression de carrière et les réalisations passées. D’un autre côté, les entreprises qui ont une activité plus centrée sur le Web et les produits cherchent plutôt des compétences spécifiques orientées vers la sécurité des applications et du Web.

Quelles certifications doit posséder un CISO?

Au fur et à mesure que vous gravissez les échelons, vous pouvez améliorer votre CV avec des certifications. Ces qualifications rafraîchissent la mémoire, invitent à une nouvelle réflexion, augmentent la crédibilité. Et, plus important, elles constituent un élément obligatoire de tout programme de formation interne solide. Il existe beaucoup de certifications en sécurité de l’information. Alors lesquelles choisir? Le top 3 est constitué de :

  • CISM (Certified Information Security Manager) est spécialement indiqué pour ceux qui cherchent à gravir les échelons dans le domaine de la sécurité de l’information et à faire la transition vers le leadership ou la gestion de programme.
  • CISSP (Certified Information Systems Security Professional) est destiné aux professionnels de l’informatique qui souhaitent faire de la sécurité de l’information un objectif de carrière.
  • CEH (Certified Ethical Hacker) est destiné aux professionnels de la sécurité qui souhaitent acquérir une connaissance approfondie des problèmes susceptibles de menacer la sécurité de l’entreprise.

Nous avons, dans un précédent article, comparé les certifications CISM et CISSP. Vous pouvez vous y référer pour plus d’informations.

CISO vs CIO

La sécurité est un rôle au sein d’une entreprise qui s’oppose inévitablement avec les autres dirigeants de l’Entreprise. En effet, l’instinct des professionnels de la sécurité consiste à verrouiller les systèmes et à les rendre plus difficiles à accéder. Ceci peut entrer rapidement en conflit avec la direction informatique. La DSI a, pour sa part, l’objectif de rendre les informations et les applications disponibles sans difficulté. La manière dont tout se joue en haut de l’organigramme est souvent vue comme une bataille CISO contre CIO. On identifie souvent les contours de ce bras de fer grâce aux lignes de reporting au sein de l’organisation.

CISO vs RSSI

C’est la raison pour laquelle une entreprise ne peut pas se contenter d’un RSSI. En effet, il est relativement courant que les RSSI soient rattachés aux DSI. Cela limite la capacité du RSSI à s’aligner stratégiquement sur la stratégie de l’Entreprise. En effet, dans ce cas sa vision finit par être subordonnée à la stratégie informatique du DSI. Les RSSI n’acquièrent définitivement de l’influence que lorsqu’ils relèvent directement de la Direction Générale. C’est une pratique de plus en plus courante. Cela impliquera généralement un changement de titre en CISO. Ainsi la CISO se retrouvera sur un « pied d’égalité » avec le CIO (DSI). Cela lui permettra d’avoir des responsabilités en matière de sécurité non liées à la technologie.

Le CISO doit être sur un pied d’égalité avec le CIO

Placer le CIO et le CISO sur un pied d’égalité peut aider à résoudre les conflits. Cela indique notamment à toute l’organisation que la sécurité est importante et n’est pas limitée au domaine informatique. Mais cela signifie également que le CISO ne peut pas simplement être un gardien de l’accès aux initiatives techniques. Piergiorgio Grossi, DSI de Ducati, a déclaré au magazine i-CIO: « Il incombe au CISO d’aider l’équipe informatique à fournir des produits et des services plus robustes au lieu de simplement dire » non « . Cette responsabilité partagée des initiatives stratégiques modifie la dynamique de la relation. Et cela peut faire la différence entre succès et échec pour un nouveau CISO.

La description de poste d’un CISO

Si vous recherchez un CISO prometteur pour votre organisation, cela implique en partie de rédiger une description de poste. Une grande partie de ce que nous avons discuté jusqu’à présent peut vous aider à aborder cette question. Vous devez d’abord décider si vous voulez engager un RSSI ou un CISO. Ensuite vous devrez obtenir les approbations pour le niveau, la structure hiérarchique et le titre officiel du poste. Dans les petites entreprises, le CISO peut être vice-président ou directeur de la sécurité. Vous devez également définir les exigences minimales et les qualifications du rôle. Ensuite vous pouvez décider de recruter en externe ou en interne.

Votre description doit clairement énoncer l’engagement de votre organisation en matière de sécurité. En effet, c’est ainsi que vous allez attirer un candidat de grande qualité. Vous devez indiquer où le nouveau CISO se retrouvera dans l’organigramme et son niveau d’interaction avec le conseil d’administration. Cela clarifiera vraiment sa position et son rôle. Un autre point important est de maintenir à jour la description de poste. Il faut le faire même si vous avez quelqu’un qui occupe actuellement ce poste. Vous ne savez jamais quand cette personne passera à une autre opportunité. C’est un rôle absolument critique et vous ne pouvez pas prendre le risque de vous retrouver sans CISO.

Quel salaire pour un CISO?

CISO est un poste de haut niveau et les CISO ont donc une rémunération en conséquence. La prévision des salaires est bien plus un art qu’une science. Mais on admet généralement qu’aux USA des salaires supérieurs à 100 000 dollars sont la règle. A ce jour voici les moyennes de salaire constatées aux USA

  • ZipRecruiter annonce une moyenne nationale de 153 117 $
  • Salary.com positionne la fourchette standard encore plus haut, entre 192 000 et 254 000 dollars.

Si vous consultez Glassdoor, vous pouvez consulter les fourchettes de salaire des offres d’emploi actuelles de CISO. Ceci peut vous aider à déterminer les secteurs qui paient le plus ou le moins. Par exemple, au moment de la rédaction de cet article, le poste de chef de la sécurité publique au sein du gouvernement fédéral américain rapporte entre 164 000 et 178 000 dollars, et le poste de CISO à l’Université d’Utah, entre 230 000 et 251 000 dollars.

Toujours sur Glassdoor, vous pouvez consulter le salaire des offres d’emploi en France pour un RSSI. Il se situe en moyenne entre 50 K€ et 80 K€. On voit tout de suite la différence! Malheureusement cela traduit bien le niveau de maturité des entreprises Françaises en 2019. C’est un mauvais présage de l’aptitude des entreprises Françaises à faire face aux challenges de la transition numérique.

Vous êtes un CISO en poste et vous souhaitez nous faire part de votre expérience? Vous voulez évoluer vers un rôle de CISO? N’hésitez pas à échanger grâce à vos commentaires.

 

RGPD : GOOGLE devra payer 50 millions d’euros d’amende

Cette fois, ça y est. La première amende significative infligée par la CNIL et concernant la non-conformité au RGPD vient de tomber. Et c’est GOOGLE qui en est la cible. Le géant américain devra débourser 50 millions d’euros d’amende pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. Je vais essayer de vous expliquer pourquoi. Mais c’est sans doute aussi pour vous l’opportunité de vous assurer que vous n’êtes pas les prochains sur la liste.

RGPD : La CNIL inflige une amende de 50 millions d'euros à GOOGLE
Crédits © Fotolia 2018

Dès le 25 Mai 2018, les associations « None Of Your Business » (« NOYB ») et « La Quadrature Du Net » (« LQDN ») déposaient des plaintes collectives contre GOOGLE, sur la base du RGPD, auprès de la CNIL. La plainte de LQDN était mandatée par près de 10.000 personnes. Dans ces deux plaintes contre le géant américain, les associations reprochaient à GOOGLE de ne pas disposer d’une base juridique valable pour traiter les données personnelles des utilisateurs de ses services, notamment à des fins de personnalisation de la publicité.

De quoi s’agit-il exactement?

Trois manquements ont été identifiés par la CNIL pour justifier cette amende :

  • un manquement aux obligations de transparence. Les informations fournies par Google ne sont « pas aisément accessibles pour les utilisateurs »
  • une information insatisfaisante, qui n’est pas « toujours claire et compréhensible »
  • et une absence de consentement valable pour la personnalisation de la publicité.

1. Manquement aux obligations de transparence


« Des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions. C’est par exemple le cas si un utilisateur veut disposer d’informations complètes sur la collecte de ses informations pour la personnalisation des publicités, ou pour sa géolocalisation. »


Concernant l’accès à l’information, la CNIL regrette que des « informations essentielles […] sont excessivement disséminées dans plusieurs documents ». Il faut que l’internaute navigue entre plusieurs boutons et liens pour accéder aux indications « pertinentes ». L’Autorité de Contrôle a ainsi recensé cinq ou six actions préalables à effectuer avant d’arriver aux explications adéquates. C’est beaucoup trop.

2. Information non satisfaisante

Par ailleurs, à propos de la qualité de l’information, les traitements réalisés par Google « sont décrits de façon trop générique et vague », tout comme les données concernées. En clair, l’internaute « n’est pas en mesure de comprendre l’ampleur des traitements », alors que ceux-ci «  sont particulièrement massifs et intrusifs, en raison du nombre de services proposés, de la quantité et de la nature des données traitées et combinées. »


« Les utilisateurs ne sont pas en mesure de comprendre l’ampleur des traitements mis en place par GOOGLE. Or ces traitements sont  particulièrement massifs et intrusifs, en raison du nombre de services proposés (une vingtaine), de la quantité et de la nature des données traitées et combinées. »


La CNIL a constaté en particulier que les finalités sont insuffisamment énoncées. Elles sont décrites de façon trop générique et vague, tout comme les données traitées pour ces différentes finalités.  Il en va de même pour l’information délivrée aux utilisateurs. Elle est considérée comme  pas suffisamment claire pour que l’utilisateur comprenne que la base juridique des traitements de personnalisation de la publicité est le consentement, et non l’intérêt légitime de la société GOOGLE. Enfin, les conditions générales d’utilisation de GOOGLE ne mentionnent nulle part la durée de conservation de certaines données.

3. Absence de consentement éclairé pour la personnalisation de la publicité

Au sujet du consentement, la CNIL observe que le consentement des internautes « n’est pas suffisamment éclairé » (du fait des manquements précédents), et que des cases d’approbation sont pré-cochées par défaut (comme l’affichage des publicités personnalisées).


« Certes, lors de la création d’un compte, l’utilisateur a la possibilité de modifier certains des paramètres associés au compte en cliquant sur le bouton «  plus d’options », présent avant le bouton « Créer un compte ». Il est notamment possible de paramétrer les modalités d’affichage des annonces personnalisées.

Le RGPD n’est pas pour autant respecté. En effet, non seulement l’utilisateur doit faire la démarche de cliquer sur « plus d’options » pour accéder au  paramétrage, mais en plus l’affichage d’annonces personnalisées est pré-coché par défaut. Or le consentement n’est « univoque », comme l’exige le RGPD, qu’à la condition que l’utilisateur effectue un acte positif (cocher une case non précochée par exemple). « 


Enfin, GOOGLE présente les conditions d’utilisation de telle façon que l’internaute est obligé de toutes les accepter en bloc. Il ne peut pas le faire au cas par cas comme l’exige le RGPD.

Comment la CNIL a-t-elle pris sa décision?

Ces manquements ne portent pas sur des points anecdotiques. Bien au contraire, ils portent sur « des principes essentiels  » du RGPD. Les utilisateurs sont ainsi privés de garanties fondamentales concernant des traitements pouvant révéler des pans entiers de leur vie privée. Or, « l’ampleur des traitements en cause impose de permettre aux utilisateurs de garder la maîtrise de leurs données. »

La CNIL a aussi tenu compte de certaines particularités, comme le poids du système d’exploitation Android en France.


« Compte tenu de la place prépondérante qu’occupe le système d’exploitation Android sur le marché français, ce sont chaque jour des milliers de Français qui procèdent à la création d’un compte GOOGLE à l’occasion de l’utilisation de leur ordiphone. De même, la formation restreinte rappelle que le modèle économique de la société repose en partie sur la personnalisation de la publicité. Une responsabilité toute particulière incombe dès lors à la société dans le respect de ses obligations en la matière. »


Enfin, l’Autorité de Contrôle fait observer que cette sanction ne punit pas « un manquement ponctuel, délimité dans le temps », mais plusieurs infractions qui sont toujours en cours à ce jour. Ces infractions constituent donc des « violations continues » du RGPD. Pour toutes ces raisons, il apparaissait nécessaire à la CNIL de frapper fort. Cependant ce n’est pas le coup le plus rude que la CNIL aurait pu porter au géant du Web.

S’agit-il d’une sanction record?

La sanction de 50 millions d’euros infligée par la CNIL à l’encontre de Google constitue à ce jour la plus forte peine prononcée par la Commission. C’est aussi la première à ce niveau qui a été rendue dans le cadre du RGPD. Cependant, elle reste extrêmement modeste au regard de la puissance financière du géant du net. En effet, son chiffre d’affaires annuel s’élève à près de 110 milliards de dollars.

À travers le RGPD, la CNIL a la possibilité de prononcer des peines dont le montant peut atteindre 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (ou 20 millions d’euros pour les organisations de plus petite envergure). L’Autorité de Contrôle doit déterminer quelle échelle il faut suivre. Elle compare les deux montants possibles et garde celui qui est le plus élevé.

Ces montants constituent un maximum. L’autorité de contrôle établit le montant de l’amende de sorte qu’elle soit dissuasive tout en restant proportionnée à l’infraction constatée.

L’amende maximum encourue par GOOGLE s’élèverait donc à plus de 4 milliards d’euros. Cette sanction apparaît donc comme extrêmement modérée.

A quelle suite s’attendre?

La firme de Mountain View ne va pas en rester là. En effet, GOOGLE a annoncé le 23 Janvier avoir décidé de contester la sanction auprès du Conseil d’Etat. Le prochain acte se jouera donc devant le Conseil d’État, la plus haute juridiction française de l’ordre administratif.

Dans un communiqué transmis à la presse, le géant du net explique avoir « travaillé d’arrache-pied pour créer un processus de consentement RGPD pour les annonces personnalisées qui soit le plus transparent et le plus simple possible. (…) Nous sommes aussi préoccupés par les effets  de cette décision (…). Pour toutes ces raisons, nous avons décidé de faire appel ».

Il est clair que l’Entreprise est beaucoup inquiète des effets collatéraux de l’annonce publique de cette sanction que de la somme à payer. En effet en cas de confirmation de la décision, cela risque d’avoir des conséquences importantes. Ces conséquences porteront notamment sur sa crédibilité aux niveau de ses clients et de ses actionnaires. Les 50 millions d’euros risquent donc d’être une goutte d’eau dans les conséquences financières réelles de cette condamnation.

Vous trouvez cette sanction justifiée? Vous êtes inquiet pour vos données personnelles et l’utilisation qui en est faite par les géants de la publicité? Ou au contraire vous pensez que les GAFA (Google-Amazon-Facebook-Apple) prennent toutes les dispositions nécessaires? N’hésitez pas à réagir au travers de commentaires.

Cybersécurité: au delà de l’environnement professionnel

Je travaille avec de nombreuses organisations à travers le monde pour les aider à améliorer leur cybersécurité. J’écris beaucoup d’articles sur des blogs, j’anime des conférences et des formations sur ce sujet depuis plusieurs années. Dans le cadre de mes activités de conseil, je me concentre presque toujours sur la gouvernance et le management de la sécurité des systèmes d’information en entreprise. Cela concerne entre autres les mots de passe, la protection des données personnelles, etc.. C’est bien pour cela que mes clients ont recours à mes services. Cependant, il est tout aussi important de penser à la cybersécurité dans nos vies personnelles.

Cybersécurité au delà de l'environnement professionnel, les mots de passe, les objets connectés, les terminaux doivent être protégés
Crédit © rawpixel.com 2018

Dans cet article, j’aborderai trois sujets essentiels :

  • Gestion de vos comptes d’utilisateurs et mots de passe
  • Protection de vos ordinateurs, tablettes et téléphones
  • Protection vos appareils IoT (objets connectés)

Dans un prochain article, j’aborderai le quatrième sujet: « Protection de vos informations personnelles ». Cet article est déjà très long et vous devrez donc attendre un prochain post pour que j’aborde ce sujet sensible. Il mérite beaucoup plus que quelques lignes.

1. Gérez vos comptes utilisateurs et vos mots de passe

Chaque semaine, nous découvrons une nouvelle faille majeure dans la sécurité des informations. Les données personnelles de millions de personnes sont ainsi divulguées. Lors d’une récente attaque contre les hôtels Marriott, les pirates se sont emparés d’informations personnelles concernant des centaines de millions de clients (entre 350 et 500 millions selon les estimations). Cela devrait vous inciter à la plus grande prudence quand à l’utilisation d’internet au quotidien.

Définissez bien votre stratégie de gestion de mots de passe

Lorsqu’une violation survient, les pirates informatiques s’emparent généralement d’une liste de noms d’utilisateurs et de mots de passe utilisés sur les systèmes violés. Souvent ils récupèrent également des informations personnelles et financières qu’ils pourront ensuite utiliser ou revendre. Une des premières choses qu’ils font ensuite, généralement, est d’essayer ces mots de passe sur tous les autres sites auxquels ils peuvent penser. Il ne s’agit pas juste de taper les mots de passe sur un clavier pour voir où leurs victimes travaillent. Les pirates utilisent des scripts qui essaient des millions de mots de passe connus sur plusieurs milliers de sites Web. Cela signifie que si vous avez utilisé le même mot de passe sur plusieurs sites différents, et si l’un de ces sites est victime d’une attaque, les pirates informatiques peuvent potentiellement accéder à tous les autres comptes sur lesquels vous avez réutilisé ce même mot de passe.

Idéalement, vous avez donc besoin d’un nom d’utilisateur différent et d’un mot de passe complexe différent pour chaque connexion. Oui, je sais. Ce n’est pas facile quand vous pouvez avoir des centaines de comptes différents. Je viens de compter le nombre de comptes différents que j’ai. Et vous savez quoi? J’ai découvert que j’utilise plus de 200 identifiants différents, que ce soit pour les achats, les voyages, la gestion de mon argent, les médias sociaux, les entreprises de services publics, le gouvernement, etc.

Assurez-vous que votre stratégie est suffisamment solide

Certaines personnes utilisent un mot de passe commun pour ce qu’ils considèrent être des sites à faible risque. Ils ne définissent des mots de passe uniques que pour les sites qui leur paraissent les plus critiques, comme leur banque. Hélas, cela peut entraîner des problèmes lorsqu’un compte «à faible risque» s’avère plus important que vous ne le pensiez. Des informations personnelles pouvant aider les pirates à violer un compte plus sécurisé pourraient éventuellement être dérobées.

Prenons un exemple simple. Imaginons que votre opérateur de téléphonie mobile utilise un ancien compte de messagerie, que vous utilisez rarement et que vous avez oublié, pour confirmer les commandes. Un pirate informatique peut alors récupérer votre numéro de téléphone et l’utiliser pour se faire passer pour vous sur un autre site. De même, imaginons qu’un pirate informatique accède au site sur lequel vous avez utilisé votre mot de passe commun parce que vous vouliez uniquement effectuer un achat ponctuel et que la société conserver une copie des informations de votre carte de crédit en ligne. Le cyber-criminel pourrait alors obtenir votre mot de passe commun ainsi que les informations de votre carte de crédit. Bon d’accord, imaginons que le site marchand en question ne conserve pas vos informations de carte de crédit. Celles concernant vos achats (nom, prénom, adresse email) peuvent être suffisantes pour qu’un pirate informatique réussisse une attaque de phishing: «Cher Alain, le t-shirt que tu as acheté la semaine dernière provenait d’un lot défectueux. Merci de cliquer sur ce lien pour obtenir un remboursement ».

Utilisez un gestionnaire de mots de passe

Si vous souhaitez créer un mot de passe différent et complexe pour chaque site sur lequel vous vous connectez, vous aurez sûrement beaucoup de mal à le mémoriser. Alors vous pouvez le stocker dans une feuille de calcul ou un document protégé par mot de passe. Encore faut-il vous assurer que la protection du document ne puisse pas être violée. Il est cependant préférable d’utiliser un outil de gestion de mots de passe.

Les gestionnaires de mots de passe sont beaucoup plus qu’un simple outil de stockages des mots de passe. Ils offrent tout un ensemble de fonctionnalités telles que :

  • Protection de tous vos noms d’utilisateur et mots de passe enregistrés protégés par un seul mot de passe (très complexe j’espère) que vous seul connaissez
  • Navigation automatique vers des sites Web et saisie de vos informations dans les champs correspondants
  • Capture automatique des noms d’utilisateur et des mots de passe lorsque vous les entrez ou les modifiez
  • Génération de mots de passe aléatoires complexes correspondant à des critères spécifiés
  • Synchroniser les mots de passe cryptés enregistrés vers un service cloud afin que vous puissiez les utiliser sur de nombreux appareils différents (ordinateur, tablette, téléphone)
  • Prise en charge de plusieurs navigateurs pour vous permettre de vous connecter comme bon vous semble au moment voulu
  • Prise en charge de diverses plates-formes, notamment Windows, Mac, IoS et Android.

Certains gestionnaires de mots de passe sont gratuits, d’autres sont payants. Certains autres ont une version premium et une version gratuite avec des fonctionnalités différentes. Voici une liste de quelques produits que vous devriez considérer:

Une fois que vous aurez commencé à utiliser un gestionnaire de mots de passe, vous verrez par vous-même. Vous vous demanderez comment vous avez réussi à vous en passer jusqu’alors. Cela rend les choses tellement plus faciles. Comme pour tout outil, la configuration et l’habitude de l’interface utilisateur demandent un peu d’effort au début. Ensuite vous pourrez créer des mots de passe longs et complexes pour chaque site et les utiliser pratiquement sans effort.

Utilisez l’authentification à deux facteurs

Les mots de passe longs et complexes aident à sécuriser vos comptes, mais ils ne suffisent pas toujours. Les hackers peuvent utiliser de nombreuses astuces pour obtenir vos mots de passe. En particulier si vous utilisez un réseau WiFi public non sécurisé dans les hôtels, les aéroports ou les cafés, ils peuvent espionner et récupérer vos mots de passe qui sont transmis en clair sur le réseau.

L’authentification à deux facteurs utilise deux manières différentes de prouver qui vous êtes. Elle repose sur deux choses complètement différentes. Il est donc beaucoup plus difficile pour un pirate informatique de prendre le contrôle votre compte. Chaque connexion nécessite l’utilisation de deux éléments distincts parmi les suivants:

  • Quelque chose que vous savez (un mot de passe par exemple)
  • Quelque chose que vous avez (une carte, un badge, un jeton matériel)
  • ou quelque chose que vous êtes (une identification biométrique comme une empreinte digitale par exemple)
  • ou enfin quelque part où vous êtes (l’identité d’un réseau sans fil par exemple ou des coordonnées GPS).

Certains sites Web vous permettent d’utiliser un message texte envoyé sur un téléphone portable ou un code envoyé dans un message électronique en tant que deuxième facteur. C’est notamment le cas pour les banques. Cela vaut mieux que de simplement utiliser un mot de passe mais ce n’est pas aussi sécurisé que d’autres options. En effet, il existe des moyens bien connus d’intercepter les messages électroniques et les messages texte du téléphone. D’ailleurs, considéré comme trop fragile, ce moyen d’authentification utilisé par les banques est en voie d’être interdit en Europe. La commission européenne est  actuellement en train d’élaborer la nouvelle directive DPS2 qui va dans ce sens et s’imposera à toutes les banques et les sites marchands. La meilleure option pour une utilisation personnelle consiste à utiliser une application, telle que Google Authenticator, ou un jeton matériel, tel que Yubikey.

L’authentification à deux facteurs est déjà disponible sur de nombreux sites

Peut-être ne le savez-vous pas mais de nombreux sites et logiciels différents prennent déjà en charge l’authentification à deux facteurs. Par exemple

  • Vous pouvez l’activer sur les sites de médias sociaux tels que Facebook, Twitter et LinkedIn
  • De nombreuses banques et autres sites financiers fournissent un deuxième facteur sous la forme d’un jeton matériel qui génère un code à utiliser lorsque vous vous connectez
  • Certains logiciels prennent en charge deux facteurs. Par exemple, vous pouvez configurer la connexion à deux facteurs pour la plupart des gestionnaires de mots de passe répertoriés ci-dessus.

Utilisez un service de VPN

Vous utilisez un réseau WiFi public, par exemple dans les hôtels, les aéroports ou les cafés? Les pirates informatiques ont alors une bonne occasion de s’attaquer à votre sécurité. Ils peuvent s’y prendre de différentes manières. Notamment, il peuvent mettre en place un faux point d’accès WiFi qui redirige tout le trafic via leurs propres serveurs. Ils ont alors tout loisir de capturer vos informations personnelles.

Le meilleur moyen de vous protéger de ce type d’attaque consiste à utiliser un service VPN. Une fois que vous vous êtes connecté au réseau WiFi et avant de faire quoi que ce soit, le service VPN configure une connexion vérifiée et cryptée entre votre appareil et un serveur VPN. Le serveur VPN achemine ensuite tout votre trafic Internet, de façon cryptée, vers sa destination. Ceci empêche toute personne sur le réseau WiFi local de voir quoi que ce soit sur votre activité Internet ou d’interférer avec celle-ci.

Vous pouvez trouver une comparaison détaillée des produits VPN disponibles sur le site That One Privacy Site.

2. Protégez vos ordinateurs, vos tablettes et vos téléphones

Il est extrêmement facile pour les ordinateurs, les tablettes ou les téléphones d’être infectés par des logiciels malveillants pouvant avoir des conséquences dévastatrices. Un Ransomware peut chiffrer tous vos fichiers et demander de l’argent pour les récupérer. Le cryptojacking peut prendre le contrôle de votre appareil et utiliser toute votre puissance CPU pour générer des bitcoins pour un attaquant. Les virus, les vers et les chevaux de Troie peuvent être utilisés pour prendre complètement le contrôle de votre appareil et l’utiliser pour lancer des attaques sur d’autres ordinateurs ou tout simplement pour vous causer des problèmes.

Parmi les actions que vous pouvez prendre pour vous protéger nous vous proposons les suivantes:

Maintenez les correctifs de sécurité à jour

Ne tardez pas à installer les correctifs du système d’exploitation. Dès que le correctif est disponible et que la connaissance du bug se généralise, il est probable que des cyber-criminels tenteront d’exploiter le bug qu’il corrige. Si vous attendez quelques semaines pour installer le correctif, ils auront tout le temps de vous pirater.

Ne faites pas que patcher votre système d’exploitation. Les applications nécessitent également des correctifs réguliers. Certaines applications les téléchargent automatiquement. Par exemple, des navigateurs Web tels que Chrome et Firefox vous invitent à mettre à jour les versions les plus récentes. Vous devez toutefois surveiller les autres applications et les maintenir à jour manuellement.

Il existe des outils pour vous aider, mais aucun d’eux n’est totalement satisfaisant. Vous pouvez utiliser un produit appelé SUMo, qui identifie les mises à jour dont vous avez besoin et fournit un lien pour les télécharger. Attention cependant, les liens de téléchargement ne sont pas toujours fonctionnels.

Assurez-vous de maintenir votre anti-virus à jour

Vous devez absolument exécuter un logiciel antivirus sur tous vos appareils, le maintenir à jour et effectuer des analyses régulières. Il existe de nombreuses options gratuites, en fonction de la plate-forme que vous utilisez. Par exemple, Sophos propose des produits gratuits pour Windows, Mac et Android. N’hésitez pas à rechercher en ligne des critiques qui seront probablement mises à jour plus fréquemment que ce blog.

Faites attention l’hameçonnage, ne cliquez pas sur des liens

L’hameçonnage (phishing en anglais) est souvent utilisé par les pirates pour vous amener à télécharger et à exécuter des logiciels. Généralement, il se présente sous la forme d’un lien dans un courrier électronique, un message texte ou un message de média social. Mais il peut également être intégré dans un document PDF ou Office. Pour en savoir plus, je vous invite à consulter un précédent article : Phishing – Mode d’emploi.  Auparavant, il était assez facile de reconnaître les attaques de phishing car elles avaient généralement une mauvaise grammaire et des liens qui présentaient des risques évidents à reconnaître. Mais les escrocs deviennent de plus en plus intelligents et certaines de ces attaques sont vraiment difficiles à détecter.

Vous devez être vigilant. Si vous recevez un lien dans un message envoyé par un ami, ne vous contentez pas de cliquer dessus. Réfléchissez bien au type de messages que cet ami vous envoie habituellement. Eventuellement contactez-le et demandez-lui s’il vous a vraiment envoyé le message. Si vous recevez un email d’une banque ou d’une autre institution financière, n’utilisez jamais le lien inclus dans le message pour accéder à votre compte. Ouvrez votre navigateur Web et accédez vous-même au site.

Faites des sauvegardes régulières, spécialement pour les données importantes

Si votre ordinateur ou votre périphérique est compromis, vous pouvez probablement le restaurer dans l’état dans lequel il se trouvait lorsqu’il a quitté l’usine. Cela supprimera tout logiciel malveillant. Cependant, si vos précieuses données ont été compromises, votre seul moyen de récupération consiste à restaurer une sauvegarde. Vous pouvez utiliser un logiciel de sauvegarde comme Acronis TrueImage ou StorageCraft ShadowProtect, mais même si cela n’est pas possible, vous devez stocker des copies des fichiers importants dans un emplacement sûr, même si vous les envoyez régulièrement à votre service de messagerie cloud.

3. Protégez vos objets connectés

De nombreux appareils que nous introduisons aujourd’hui dans nos foyers ont une capacité informatique et une connectivité réseau. Cela inclut

  • les téléviseurs et les différentes éléments que nous leur connectons;
  • haut-parleurs intelligents tels que Amazon Echo ou Google Home;
  • les ampoules intelligentes;
  • systèmes domotiques;
  • les webcams;
  • et des appareils plus exotiques tels que des grille-pain intelligents, des bouilloires et des brosses à dents.

Tous ces appareils sont en réalité des ordinateurs de votre réseau domestique. Ils peuvent donc être attaqués et leur contrôle peut être pris par des pirates. Si vous souhaitez connaître l’ampleur potentielle du problème, consultez Shodan, un moteur de recherche Web qui localise et identifie les périphériques IoT non sécurisés.

Les conseils de ce paragraphe du blog s’appliquent également aux périphériques réseau domestiques tels que les routeurs et les points d’accès sans fil.

Changez les mots de passe par défaut

La première chose, et la plus importante, que vous devriez faire avant de commencer à utiliser tout appareil connecté est de changer les mots de passe par défaut. Choisissez un bon mot de passe et veillez à en conserver une copie, de préférence dans votre gestionnaire de mots de passe.

Mettez à jour le micro-logiciel et les logiciels

Comme tous les autres ordinateurs, ces appareils exécutent des logiciels qui peuvent être compromis. Les fournisseurs publient régulièrement des mises à jour et des correctifs. Vous devez vous assurer que ceux-ci sont installés rapidement.

Désactivez les fonctionnalités que vous n’utilisez pas

De nombreux appareils comportent de nombreuses fonctionnalités qu’on utilise très rarement. Une fois que vous avez identifié les fonctionnalités du périphérique que vous souhaitez utiliser, il est recommandé de désactiver toutes les fonctionnalités que vous n’utilisez pas. Cela réduira la «surface d’attaque» et contribuera à réduire les risques de compromission de votre appareil.

Conclusion

Nous sommes de plus en plus dépendants d’Internet et nos foyers regorgent d’appareils informatiques de plus en plus sophistiqués. Internet et les appareils connectés sont très populaires. Ils contribuent à notre qualité de vie, mais ils comportent des risques. Si vous les utilisez sans penser aux risques, un jour vous serez attaqué et les conséquences pourraient être graves.

Si vous utilisez les contre-mesures disponibles, telles que les bons mots de passe, l’authentification à deux facteurs et les mises à jour de correctifs, vous pouvez alors vous protéger. Vous protègerez ainsi votre maison et votre famille contre les pires effets d’une attaque.

Cet article vous a paru utile? Vous avez d’autres astuces pour vous protéger en ligne? N’hésitez pas à partager vos avis et vos expériences par un commentaire. Si vous avez aimé cet article, vous pouvez aussi nous laisser un « like », cela fait toujours plaisir à notre équipe.

10 trucs pour bien démarrer avec COBIT 2019

Il y a quelques semaines que la nouvelle version du référentiel de Gouvernance et de Management de l’information : COBIT 2019 a été publiée sous la forme des 4 premiers volumes. Nous nous sommes donc posé la question de comment bien démarrer avec COBIT 2019. Voici nos 10 conseils.

COBIT 2019 - 10 trucs pour bien démarrer votre initiative de gouvernance
Crédit © rawpixel.com 2018

Petit rappel historique : de Cobit à COBIT® 2019

Vous avez sûrement déjà entendu parler de COBIT. COBIT existe depuis un moment maintenant. Si tel est le cas, vous vous souviendrez peut-être que COBIT était un cadre dirigé vers des pratiques en matière d’audit. Vous vous souvenez peut-être aussi de l’ancien nom: CobiT. C’était alors un acronyme signifiant littéralement «Objectifs de contrôle pour l’information et les technologies connexes». Son nom traduisait clairement ses racines basées sur l’audit. Tout cela, c’était il y bien longtemps. En tout cas, c’était avant 2012.

Mais maintenant c’est simplement devenu COBIT®, un nom commercial  sans signification spéciale. À l’instar d’ITIL, l’acronyme a été remplacé en 2012 avec la version COBIT® 5 traduisant une ambition beaucoup plus grande. COBIT 5 est devenu LE cadre de gouvernance et de management de l’information des entreprises, incluant la technologie associée. Il s’agit donc depuis 2012 d’un référentiel de gouvernance et de management couvrant toute l’entreprise. Ce n’est plus un cadre d’audit limité au domaine informatique.

Avec COBIT 2019, l’ISACA va encore plus loin en simplifiant COBIT 5 et en y rajoutant des outils de design ainsi que des niveaux de maturité pour chacun des objectifs. Les processus et les « enablers » ont quitté le premier plan du modèle principal, remplacés par les objectifs.

Démarrer avec COBIT

Comme pour beaucoup de choses dans la vie, et pas uniquement dans les TI, il y a rarement une seule approche universelle. Au lieu de cela, vous devez trouver l’équilibre entre ce que vous devez réaliser, vos priorités clés et les limites organisationnelles sur lesquelles vous souhaitez appliquer le changement.

Alors, prenez les 10 conseils suivants dans l’esprit dans lequel ils vous sont proposés. Considérez-les et conservez seulement ceux qui sont pertinents pour votre organisation.

1. Comprenez d’abord à quoi sert COBIT

Cela peut vous paraître étrange de prime abord. Mais je vous rappellerai l’évolution de COBIT que j’ai décrite en introduction. COBIT 2019 est aujourd’hui décrit comme un «cadre de gouvernance et de gestion de l’information et de la technologie (I & T)». On est très loin de sa vocation d’origine. Il est également important de bien comprendre que ce n’est pas un cadre de gestion des services informatiques comme l’est ITIL par exemple. Il s’adresse à toute l’organisation prise dans son ensemble. Ce n’est donc pas quelque chose destiné au DSI. Un programme de mise en oeuvre couvre toute l’entreprise, c’est à dire toutes les directions : métiers, finances, RH, risques, sécurité, etc.

2. Comprenez ce que le mot « gouvernance » signifie pour votre organisation

C’est peut-être le conseil le plus important. Pour tirer le meilleur parti de COBIT 2019, il est primordial de «mettre tout le monde sur la même longueur d’onde» en ce qui concerne la gouvernance (et la gestion bien sûr). Sinon, vous aurez probablement autant de définitions internes de la gouvernance que d’employés. D’ailleurs il n’est pas du tout certain que votre haute direction ait une vision claire à ce sujet. En effet, la notion de gouvernance dans les pays francophones est assez mal comprise. Sans doute est-ce dû à l’histoire et à la culture « monarchique » française. Elle est très éloignée de la gouvernance comprise par les anglophones. Nous y reviendrons dans un prochain article sur la structure de gouvernance et de management des organisations. Alors si besoin, n’hésitez pas à faire suivre aux membres de votre direction une formation d’introduction. 2AB & Associates propose également des présentations destinées aux exécutifs que nous réalisons sur 1h30 à 3h pour l’ensemble de Comité de Direction

3. Reconnaissez que COBIT 2019 n’est pas seulement un ensemble de 40 processus

De nombreuses approches ITSM se concentrent sur les processus d’amélioration. COBIT 2019 inclut aussi 40 processus mais il ne sont que des composantes des 40 objectifs de gouvernance et de management. Les 40 objectifs se répartissent dans 5 domaines:

  • 1 domaine pour la Gouvernance
    • EDM : Evaluer, Diriger et Surveiller
  • 4 domaines pour le management
    • APO : Aligner, Planifier et Organiser
    • BAI : Bâtir, Acquérir et Implémenter
    • DSS : Délivrer, Servir et Supporter
    • MEA : Surveiller, Evaluer et Contrôler.

Chaque objectif repose sur 7 composants (qui s’appelaient les « enablers » dans la version précédente) pour être atteint :

  • un processus
  • structures organisationnelles
  • flux d’informations et d’éléments
  • personnes, des aptitudes et des compétences
  • politiques et des procédures
  • culture, éthique et comportement
  • services, infrastructure et applications.

Les objectifs sont déterminés en utilisant la cascade d’objectifs qui était au coeur de COBIT 5. De la sorte, vous vous focaliserez sur les objectifs prioritaires de votre organisation.

4. Obtenez l’implication forte de la haute direction pour la mise en oeuvre

Un facteur clé du succès de COBIT 5 a toujours été la haute direction, qui fournit la direction, le mandat et son engagement continu pour l’initiative. C’est encore plus vrai avec la version 2019. Il s’agit de mettre en oeuvre des pratiques de gouvernance et de management. C’est donc une responsabilité qui se situe au plus haut niveau de l’organisation. Sans une implication forte de haute direction, l’échec de votre programme est quasiment assuré.

5. Justifiez formellement l’investissement dans COBIT 2019

Ne démarrez pas cela comme «une bonne chose à faire» en vue de s’améliorer. Ces types d’initiatives tendent à être les premières à être arrêtées lorsque des pressions budgétaires entrent en jeu. Il s’agit là d’un programme d’envergure au niveau de votre entreprise. La justification grâce à des business cases appropriés est donc impérative. Réalisez une analyse de rentabilité pour chaque projet contenu dans le programme définissant la portée, les bénéfices attendus et, surtout, décrivant un mécanisme permettant de mesurer les progrès et les succès.

6. Commencez de façon ciblée pour obtenir un accord

En particulier, identifiez les «points de douleur» spécifiques. COBIT 2019 peut vous aider à les traiter (et à les résoudre) au lieu de simplement commencer par une liste d’actions. Cela vous aidera non seulement à rester concentré, mais aussi à promouvoir les succès obtenus. Cela vous permettra également de mieux convaincre la haute direction et de transformer un sentiment de besoin diffus en nécessité absolue de mise en oeuvre. C’est ainsi que vous déclencherez le désir du changement sans lequel rien n’est possible.

7. Mettez en oeuvre « votre » programme et n’essayez pas de copier-coller le contenu de COBIT 2019

Comme pour les autres cadres de bonnes pratiques, il est nécessaire d’adopter et d’adapter COBIT 2019 aux besoins et au contexte spécifiques de votre organisation. Ne considérez surtout pas la publication de l’ISACA comme un évangile et le seul moyen de bien faire les choses. Il s’agit simplement de lignes directrices vous permettant de comprendre comment procéder. Vous devez vous en inspirer pour créer votre propre cadre de gouvernance et de management de l’I&T, spécifique à votre organisation. Il convient également de cibler les objectifs qui sont prioritaires dans votre cas particulier. N’oubliez jamais que les ressources mises à votre disposition ne sont pas illimitées.

8. Assurez-vous que le langage que vous employez est compris et accepté de tous

Votre organisation n’est sans doute pas nouvelle. Elle a sans doute adopté un langage ou un lexique commun en interne afin de garantir la clarté de la communication. Il convient de faire en sorte que tout le monde ait une compréhension commune des choses. Donc, lorsque vous démarrez avec COBIT 2019, ne changez pas les habitudes. Utilisez le langage interne connu et compris de tout le monde connaît. Tant pis si ce n’est pas le langage utilisé dans les publications officielles. Le programme de mise en oeuvre ou d’amélioration de la gouvernance et du management de l’I&T est complexe. Ne le compliquez pas encore plus avec l’utilisation de termes que les gens ne comprennent pas. Cela risquerait d’aboutir au rejet pur et simple de votre initiative et à son échec. Ne courrez pas ce risque.

9. Démarrez doucement avec les choses simples et visibles

Comme pour chaque nouveauté introduite dans l’environnement professionnel, il est important de mettre l’accent sur les «gains rapides» (Quick Wins). Cette astuce se reflète dans la hiérarchisation des améliorations les plus bénéfiques dans le contexte de la facilité de réalisation. Cette atteinte rapide des objectifs et la réalisation des premiers bénéfices contribuera à renforcer la crédibilité et la confiance. Elle renforcera ainsi l’investissement continu en temps et en argent, ainsi que la motivation des personnes impliquées dans le changement.

10. Assurez-vous de mettre en place dès le début des mesures du succès

Comme déjà mentionné dans le conseil n ° 5, il doit exister un mécanisme permettant d’évaluer et de rendre compte des améliorations. Il est important de noter qu’il ne s’agit pas seulement de mesurer  la phase « projet ». Il convient aussi et surtout  de réaliser l’évaluation continue des performances et la progression des opportunités d’amélioration. Et surtout ne trichez pas. Soyez transparent et communiquez les résultats des mesures réelles. Si les cibles ne sont pas atteintes, c’est peut-être que vous avez été trop ambitieux. Alors expliquez- et adaptez vos cibles pour qu’elles soient atteignables et faites les progresser dans le temps. Il vaut toujours mieux commencer avec des résultats modestes mais en constante amélioration qu’avec des résultats incroyablement bons mais faux…

Voici donc nos 10 conseils pour bien démarrer avec COBIT 2019. Vous n’êtes pas d’accord? Vous pensez que vous pouvez en rajouter d’autres? Vos commentaires sont les bienvenus. N’hésitez pas à ouvrir le débat.

Gestion des services informatiques : l’atout majeur des PME

J’entends souvent mes clients dire que les bonnes pratiques TI (notamment basées sur ITIL) sont réservée aux grandes entreprises. Bien que très répandue, cette croyance est totalement fausse. Les PME sont au contraires les premières à tirer un bénéfice certain de leur informatique. Je vais, dans cet article, essayer de mieux vous faire comprendre quelles sont les 4 raisons essentielles pour lesquelles une meilleure gestion des services informatiques constitue un atout majeur pour une PME.

Gestion des services informatiques (ITSM - ITIL) : l'atout majeur des PME
Crédit © rawpixel.com 2018

Il y aune idée reçue à propos de la gestion des services informatiques (ITSM) dans le monde informatique. Certains professionnels et certaines organisations pensent que la gestion des services informatiques n’est rien de plus qu’un fouillis de processus bureaucratiques qui ne font que freiner la productivité et ne peuvent être efficacement mis en œuvre que par de grandes organisations. Nous parlons ici d’organisations plutôt que d’entreprises car elles peuvent être publiques, privées, à but commercial ou non.

Mais je vais vous confier un secret. Une bonne gestion des services informatiques peut être l’arme secrète permettant à une PME de s’imposer sur son marché.

La gestion des services informatiques n’a pas besoin d’être compliquée. Après tout, l’ITSM est simplement un ensemble de pratiques définies pour la mise en œuvre, la gestion et la fourniture de services informatiques répondant aux besoins de l’organisation. Elle doit donc s’adapter à la taille et aux ressources de l’organisation. Et ce, d’autant plus lorsqu’il s’agit d’une PME.

Mais qu’est-ce vraiment que la gestion des services informatiques? Je vous propose la description suivante basée sur 3 caractéristiques :

  • Un ensemble de services fiables, cohérents et conformes aux attentes des clients et aux moyens de l’informatique,
  • Elle apporte une contribution mesurable de l’informatique à la valeur commerciale générée par les métiers,
  • Elle s’appuie sur des processus efficaces, définis, documentés et basés sur les données fiables.

Qu’en pensez-vous? N’est-ce pas ce qu’attend toute organisation? Cela ne résonne pas exactement comme quelque chose qui ne profiterait qu’aux grandes entreprises, n’est-ce pas?

De nombreuses personnes reconnaissent les avantages d’une excellente gestion des technologies de l’information. Laissez-moi donc vous expliquer pourquoi cette technologie et les services associés sont si importants pour les PME.

1. L’expérience utilisateur

Les attentes des clients ont radicalement changé au cours des dernières années, en partie grâce aux nouvelles technologies. Les clients attendent des réponses en rapides, des parcours personnalisés et une innovation continue des entreprises.

Prenons l’exemple d’Amazon. Vous pensez vraiment que les clients achètent chez Amazon simplement parce que c’est Amazon? Bon, c’est peut-être le cas maintenant. Mais à l’origine, les clients commençaient à acheter chez Amazon, tout simplement parce qu’Amazon facilitait leurs achats. Amazon a commencé par faire des choses simples répondant aux attentes des clients, comme proposer des offres d’achat personnalisées, envoyer des notifications d’expédition immédiate et maintenir un service client réactif. Une «expérience de type Amazon» est désormais ce qu’attend le client de chaque entreprise.

Bien sûr, la plupart des petites entreprises fonctionnent avec un personnel limité. Et par conséquent, les PME peuvent avoir des difficultés à répondre à des attentes de type «Amazon».

C’est là que les services informatiques entrent en jeu. l’ITSM aide les PME à fournir des services plus rapides et plus fiables et surtout sans nécessiter de main-d’œuvre supplémentaire. En fin de compte, cela signifie une expérience client plus fluide et plus cohérente, sans frais généraux supplémentaires. Et bien sûr, cela ne nécessite pas un personnel plus important.

En voici un autre exemple avec les boutiques sans employés en Chine. Nul doute que la Chine a pris de l’avance sur nous. Mais il faut réagir vite. La concurrence Chinoise ne va pas tarder à attaquer notre commerce de détail. Nul doute que d’ici peu nos supérettes ressembleront à cela. Ou alors elles auront disparu.

Vous imaginez bien que les services informatiques, dans l’exemple de cette vidéo doivent être totalement fiables et sécurisés. Il est donc souhaitable de s’appuyer sur des bonnes pratiques de gestion des services TI tels que ITIL par exemple.

2. L’agilité

Le monde des affaires est incroyablement compétitif. La concurrence est mondiale. La technologie a permis à chaque entreprise d’avancer plus vite et de se développer plus rapidement. Si vous n’êtes pas en avance sur la courbe, c’est que vous êtes déjà en retard! L’agilité est donc une nécessité absolue pour les PME. C’est même une question de survie.

L’ITSM aide les organisations à structurer leurs activités afin de répondre rapidement aux besoins les plus urgents et les plus importants. Elle aide à éliminer les interruptions et les problèmes épineux qu’il faut constamment résoudre. Enfin, l’ITSM aide les équipes à rester concentrées sur les résultats qui permettent à l’entreprise de prendre de l’avance et à la maintenir.

3. Les services informatiques sont plus faciles à mettre en oeuvre dans les PME

Comme je viens de le mentionner les PME doivent être flexibles et agiles pour pouvoir faire face à la concurrence. Les PME doivent se concentrer sur les projets et les services qui généreront des revenus et augmenteront leurs résultats nets.

Pour cette raison, les PME sont particulièrement bien placées pour tirer des bénéfices de leurs services informatiques plus rapidement que les grandes entreprises. Dans une PME, les équipes sont plus petites et doivent collaborer plus souvent sur les projets les plus critiques et les plus importants. Les employés voient souvent les résultats de leurs efforts plus directement que ceux qui travaillent dans de grandes organisations.

Par conséquent, il y a moins de personnes à convaincre pour soutenir un projet de mise en œuvre de l’ITSM. Il y a également moins silos à casser, et une meilleure compréhension de la manière dont tout le monde collabore à un objectif commun.

4. Aller plus loin avec le même budget

Contrairement à de nombreux mythes, la gestion des services informatiques ne se résume pas à l’achat d’un outil le plus récent et le plus performant. Ce n’est pas non plus une méthode. Il s’agit de créer des processus et des flux d’activités afin que l’ensemble de l’organisation fonctionne mieux avec l’objectif de permettre une expérience client transparente.

La création de processus efficaces et de services bien définis garantit la croissance de votre entreprise à un niveau satisfaisant. Lorsque vous avez les bons processus et des services clairs, vous pouvez être assuré que votre équipe est concentrée sur le business. Ainsi, lorsque le moment sera venu pour vous de vous développer et d’embaucher plus de membres dans votre équipe, ce sera parce que l’entreprise grandira, et non pas parce que votre équipe est trop occupée et stressée, et qu’elle ne réalise pas réellement le business attendu.

En outre, la gestion des services informatiques ne démarre pas avec l’acquisition d’un outil. Il faut d’abord se concentrer sur les besoins de l’entreprise. Ensuite il faut identifier et définir les processus, les services et les flux d’activités nécessaires pour répondre aux besoins. En partant de cette perspective, vous éviterez de gaspiller de l’argent pour des outils qui ne soutiendront jamais votre entreprise. Lorsque vous investirez dans un outil, vous saurez qu’il fonctionne avec les processus que vous avez déjà définis. Et par conséquent, il sera utilisé correctement.

Comment démarrer la mise en oeuvre de l’ITSM dans votre PME?

Je vous ai convaincu? Vous souhaitez démarrer la mise en oeuvre de la gestion des services TI dans votre organisation? Alors commençons par répondre à quelques questions. Cela vous aidera à comprendre clairement comment la gestion des services informatiques peut s’intégrer dans votre organisation.

N’oubliez pas ce que j’ai indiqué précédemment. La gestion des services informatiques ne se résume pas à acheter l’outil le plus récent et le meilleur du marché! Évitez de plonger directement avec l’achat d’un outil sophistiqué. Commencez par la définition des services et des processus nécessaires!

Évitez l’erreur commune de vous planter avant même de vous lancer! Les réponses à ces questions vous aideront beaucoup plus que n’importe quel outil coûteux à cette étape de votre projet ITSM:

  • Identifiez comment votre entreprise utilise ou dépend de la technologie informatique.
  • Quelles sont les activités courantes de votre équipe pour aider votre entreprise à utiliser la technologie?
  • Êtes-vous en mesure de mesurer la contribution de la technologie à votre entreprise?
  • Êtes-vous en mesure de mesurer et de discuter de la manière dont votre équipe informatique contribue au succès de votre entreprise, en termes pertinents?
  • Qu’est-ce qui pourrait être fait différemment dans la manière dont l’informatique contribue au succès de l’entreprise?
  • Identifiez les petites améliorations susceptibles d’apporter de gros gains à votre entreprise.

Faites les choses dans le bon ordre

Une fois que vous aurez répondu à ces questions, il sera temps de commencer à vous familiariser avec les différents cadres de gestion des services informatiques et de savoir comment. Assistez à des webinaires et à des réunions de groupes d’utilisateurs pour découvrir les avantages de la gestion des technologies de l’information pour votre entreprise. Discutez avec des experts ou lisez des blogs et des livres blancs sur la meilleure façon de démarrer avec l’ITSM. Suivez des formations sur les différents référentiels de bonnes pratiques et les normes disponibles : ITIL, COBIT, VerISM, ISO 20000, …

C’est le début de l’année et de nombreuses PME ont encore des objectifs ambitieux, des plans et des échéances excitantes. Le moment est donc idéal pour aller au-delà de votre plan d’action et pour vous assurer de respecter tous vos objectifs cette année!

N’hésitez pas à nous faire part de votre avis en nous laissant vos commentaires. C’est grâce aux échanges que vous pourrez cibler les domaines d’amélioration potentielle de vos services TI.

 

19 résolutions pour une année 2019 réussie

2018 vient de se terminer. Et ce fut une année riche en nouveautés dans les domaines de la gouvernance, du management des TI et de la sécurité de l’information. C’est donc le moment idéal pour souhaiter une très belle année 2019 à tous nous lecteurs de la part de toute l’équipe de 2AB & Associates. Cette année 2019 va voir arriver sans doute encore plus de nouveautés que la précédente. Et cela va commencer dès les prochaines semaines et les prochains mois.

Bonne année 2019
Crédits © rawpixel.com 2018

Mais avant de nous concentrer sur ce qui arriver ou ce qui vient d’arriver, essayons de garder les pieds sur terre. Traditionnellement, chaque début d’année est propice aux bonnes résolutions. Alors, pour ne pas faillir à la tradition, nous avons également réfléchi à ce qui pourrait servir de base pour de bonnes résolutions dans les départements ITSM des organisations.

« C’est une nouvelle ère. C’est un nouveau jour. C’est une nouvelle vie pour moi. Et je me sens bien! »  Est-ce vraiment ce que vous vous êtes dit en rentrant dans votre bureau le 2 Janvier? D’accord, certains d’entre vous l’ont peut-être dit. Mais beaucoup d’entre vous n’ont fait que recommencer la même course, la nouvelle année marquant seulement le début de 12 mois de nouveaux défis. Ces nouveaux défis seront accompagnés d’une grande partie des anciens, qui sont toujours là. Alors, que devriez-vous faire pour commencer 2019 de la bonne façon – ou au moins de la meilleure façon possible?

Ou, dit autrement,

Démarrez dans la bonne direction

Mon premier groupe de conseils pour 2019 porte sur la construction des fondations appropriées pour les améliorations et les changements futurs.

1. Comprenez que l’informatique «telle que nous la connaissons» est en train de changer rapidement

Beaucoup de changements sont intervenus récemment. Ils concernent la technologie que nous gérons. Mais ils affectent aussi celle que nous utilisons pour nous aider à gérer l’informatique. La demande de l’entreprise et son besoin confiance en cette technologie (ainsi que dans les services auxquels elle contribue) ne cessent de croître. Et il en est ainsi également des attentes croissantes des employés et des clients externes qui bénéficient des meilleurs résultats des stratégies d’expérience utilisateur. Tous ces facteurs, ainsi que d’autres, vont changer radicalement la gestion des services TI au cours des 12 prochains mois et au-delà. Il est temps pour vous de changer et vous adapter. Sinon c’est vous qu’on risque de changer.

2. Appuyez-vous sur les bonnes pratiques pour susciter le changement

Si vous lisez régulièrement mon blog, vous avez déjà découvert les nouvelles versions de VeriSM, ISO/IEC 20000, COBIT et ITIL. La première vague d’ITIL 4 arrive au premier trimestre 2019. D’une part, c’est formidable. Ce cadre de bonnes pratiques est enfin en train de rattraper le monde en rapide évolution dans lequel nous travaillons. De l’autre côté, cependant, ces «nouvelles versions» vont potentiellement stimuler les activités axées sur un accroissement de flexibilité par les personnes qui y sont exposées. Il en résultera beaucoup de petites activités de changement potentiellement disparates. Bien sûr, vous pouvez toujours considérer cela comme «mieux que rien». Il est toutefois bien plus raisonnable d’envisager tous ces changements à venir dans le cadre d’une approche globale d’amélioration. C’est la seule façon de pouvoir en tirer le meilleur avantage.

3. Commencez enfin à penser et à communiquer en termes de valeur business – et non informatique.

Cela ne concerne bien sûr que ceux et celles qui ne le font pas déjà. C’est la grande orientation que prend l’industrie de la gestion des services informatiques aujourd’hui. Nombreux sont ceux qui considèrent qu’elle aurait déjà dû être dans cette approche de «focalisation sur la valeur» depuis des années. Une de ces voix est celle de Paul Wilkinson, dont les ateliers révèlent généralement que le principal reproche que les cadres supérieurs font à leurs collègues des TI est qu’ils ne comprennent «pas la priorité business et l’impact de l’informatique sur l’entreprise».

4. Réalisez que l’amélioration réelle de la gestion des services informatiques ne se réalisera que si vous la planifiez de manière proactive.

Vous savez probablement déjà ce qui se passe souvent avec vos meilleures ambitions d’amélioration de l’ITSM. Le «vrai travail» vous en empêche. Le tumulte quotidien au sein du département TI, et en particulier du support informatique, empêche les gens de prendre du temps pour «sortir la tête de l’eau». Ils « courent » en permanence pour satisfaire les utilisateurs. Une approche proactive d’amélioration nécessite non seulement de justifier des ressources et des coûts supplémentaires. Mais ce n’est pas suffisant. Il faut aussi de veiller à ce que les opportunités soient bien priorisées en fonction des besoins et des objectifs du business. Il est également indispensable de pouvoir ensuite mesurer et communiquer les résultats atteints par rapport aux objectifs de l’entreprise.

5. Chassez les idées fausses

Ne faites pas l’erreur de penser que l’amélioration des services TI engendre toujours une amélioration de la performance du business. Ce n’est pas vrai. Au lieu de cela, vous devez vraiment comprendre les effets ultimes des idées potentielles d’amélioration des TI sur les résultats business. Et comprenez également que, de façon perverse, il n’est pas impossible que les améliorations apportées à la gestion des services informatiques aient un effet négatif sur les résultats de l’entreprise.

Pourquoi? Prenons un exemple très simple: l’organisation informatique a réussi à favoriser l’adoption du libre-service informatique. C’est un gros succès pour le département informatique qui se trouve libéré de multiple tâches de support. Dès lors, les commerciaux de l’entreprise se débrouillent maintenant seuls pour résoudre leurs incidents informatiques. Ils sont autonomes pour faire les demandes de nouveaux services. Du coup, du fait de leur inefficacité dans ce domaine et de leur mauvaise compréhension, ils perdent beaucoup de temps à cela. Ce temps perdu est évidemment répercuté sur le temps consacré à leurs activités business. Or c’est leur activité business qui crée de la valeur pour l’entreprise. Au final, les économies opérationnelles réalisées par le centre de services informatiques sont très largement contrebalancées par la baisse des ventes mensuelles. Et c’est l’entreprise toute entière qui est impactée négativement. C’est un cas simple que j’ai déjà rencontré à plusieurs reprises et qui mérite d’être médité lorsque l’on cherche à s’améliorer.

6. Identifiez et priorisez les améliorations ITSM par le biais de conversations avec vos clients, et non avec les informaticiens.

Vous avez sans doute déjà une longue liste de choses que vous aimeriez améliorer. Mais vous devez faire attention à ce que ce soient les «bonnes choses», du point de vue business. C’est particulièrement le cas lorsque ce qui semble être une amélioration très intéressante en matière de gestion des services informatique n’a que peu d’impact positif sur les opérations business (voir le point précédent). Ainsi, plutôt que de considérer l’amélioration du point de vue du département IT, vous devez toujours partir de l’extérieur et aller de l’avant vers l’intérieur. C’est à dire qu’il faut systématiquement opter pour une approche externe. C’est toujours le business qui doit être le point de départ.

7. Analysez vos précédentes activités d’amélioration des services TI.

Cette activité d’analyse est, hélas, trop souvent négligée. L’orientation prospective du département informatique empêche souvent de revenir sur ce qui s’est passé auparavant. Pourtant, comme pour tout ce que vous faites dans le domaine des TI, cela vous permettra d’apprendre du passé (et des autres). Il s’agit non seulement de tirer des leçons de ce qui n’a pas bien fonctionné, mais également de ce qui s’est bien passé. Il faut surtout comprendre le « pourquoi » afin d’identifier les risques et les améliorations à apporter. Ces résultats d’analyse devront ensuite être pris en compte dans les activités d’amélioration de 2019. Vous éviterez ainsi de refaire éternellement les mêmes erreurs.

Focalisez-vous sur ce qui est vraiment important

Mon deuxième groupe de conseils pour 2019 concerne les tendances et les innovations qui affecteront votre façon traditionnelle de penser ainsi que votre façon d’exploiter vos services TI.

8. Prenez conscience de l’importance de l’expérience utilisateur en matière de services TI.

Aussi loin que je me souvienne, les meilleures pratiques en matière de gestion des TI n’ont jamais voulu reconnaître les utilisateurs finaux comme étant des clients. Elles se basaient pour cela sur le fait qu’ils ne paient pas personnellement leur s services informatiques. Elles considéraient donc que les clients étant plutôt des cadres supérieurs (ceux-ci risquant d’ailleurs de ne pas payer les factures informatiques). Cependant, tout cela n’a aujourd’hui plus aucune importance. En effet  c’est l’expérience des employés qui est désormais au centre. Car l’informatique n’est qu’un outil au service des employés pour leur faciliter l’atteinte de leurs objectifs business. L’aspect majeur, c’est que le fait de ne pas tenir compte de l’expérience des employés aura probablement une incidence négative sur le succès, la valeur et la pertinence du service informatique pour toute l’entreprise.

9. Préparez-vous pour l’arrivée de l’intelligence artificielle (IA) dans le domaine des services TI.

Vous n’y échapperez pas. Il est impossible que votre organisation, votre département informatique et vos activités TI ne soient pas affectées par les opportunités offertes par l’intelligence artificielle en 2019. Et, au cours de la prochaine année, de plus en plus de fournisseurs d’outils ITSM introduiront des fonctionnalités d’intelligence artificielle basées sur des tâches, notamment pour le support. Cela va des chatbots à la catégorisation, à la hiérarchisation et au routage automatisés des tickets. Le battage médiatique de 2018 sur l’IA deviendra une réalité en 2019. Et ce sera essentiel pour améliorer l’ITSM dans les trois domaines suivants: «meilleur, plus rapide, moins cher». Alors, êtes-vous prêt, ou serez-vous prêt pour l’arrivée imminente de l’IA?

10. … Et essayez d’éviter un déferlement incontrôlé de l’IA.

En informatique, nous sommes souvent confrontés à la nécessité faire face à «un déferlement», où la technique et les coûts technologiques ne sont pas contrôlés. Ainsi, la virtualisation et la prolifération des machines virtuelles (VM) constituent un cas d’école bien connu. Les entreprises paient pour une plus grande «capacité», c’est-à-dire plus de VM, qu’elles n’en ont réellement besoin (et n’en utilisent). Ensuite, il y a eu la prolifération des services cloud (l’infonuagique). Et là encore, en raison du manque de contrôle sur les capacités de cloud payées on a sur-dépensé pour des capacités dont certaines n’étaient pas nécessaires. Maintenant, alors que les services informatiques et d’autres fonctions business cherchent à exploiter l’intelligence artificielle, ils ne doivent pas se retrouver face aux mêmes situations. Ce n’est pas tellement lié à la capacité redondante, mais plus à la disparité et au nombre d’initiatives d’IA. Contrairement à une mise en oeuvre centralisée et contrôlée, cela conduira à une duplication des efforts et à des coûts d’achat et de fonctionnement plus élevés (et probablement à des problèmes d’interopérabilité).

11. Cessez de parler de création de valeur par la gestion des services TI à vos collègues du business

Attendez!? Quoi!? Ne vous inquiétez pas, c’est l’une de ces situations du type «Le roi est mort, vive le roi». La gestion des services TI est toujours aussi bénéfique pour votre entreprise. Par contre, il est important de faire la distinction entre ce dont on parle et comment cela s’appelle. La plupart des personnes de votre entreprise (y compris au sein des équipes informatiques) ne savent pas ou ne se soucient pas de ce qu’est vraiment la gestion des services TI. La plupart, cependant, comprennent que «la transformation numérique est un impératif commercial» (peu importe ce que cela signifie). Et les éléments de la gestion de services informatiques que nous connaissons et aimons peuvent jouer un rôle efficace dans la transformation numérique. C’est le cas en particulier dans la transformation du back-office. Il peut s’agir par exemple de remplacer les procédures manuelles souvent lentes par une automatisation améliorée, une meilleure compréhension et, pour l’avenir, de tirer avantage de l’AI.

12. Repensez vos stratégies et vos politiques en matière de ressources humaines.

J’ai parlé de certains changements importants ayant une incidence sur la gestion des services TI dans les points précédents. Cependant, les responsables informatiques doivent également tenir compte les effets de ces changements sur les personnes. Et ils doivent se préparer à y réagir. C’est un sujet qui mérite beaucoup plus qu’un simple point et un conseil, mais je vais essayer d’être bref.

Pour commencer, il faut bien comprendre qu’il est de plus en plus difficile de travailler dans l’informatique. Les informaticiens se sentent de plus en plus mal à leur place. Le stress quotidien augmente considérablement sur le lieu de travail et conduit à des difficultés de rétention du personnel. De plus, les types de compétences et de capacités requises du personnel évoluent en permanence. Cela va de l’attitude à l’aptitude du centre de services informatiques à travailler avec succès, en s’améliorant continuellement en s’appuyant sur de nouvelles fonctionnalités basées sur l’IA. Non seulement de nouvelles méthodes de travail apparaissent, mais aussi de nouveaux rôles traitant de tâches et de problèmes plus complexes. Ceci est dû notamment à un accroissement du libre-service, de l’automatisation et de l’IA qui ont supprimé les tâches plus simples. Les techniciens se retrouvent donc désormais uniquement face à des tâches complexes.

13. Reconsidérez la façon dont vous évaluez la satisfaction des utilisateurs face à l’informatique.

Le traditionnel questionnaire de satisfaction constitue depuis longtemps l’outil privilégié pour comprendre ce que vos clients, c’est-à-dire vos collègues de travail, pensent de l’organisation informatique et du support en particulier. Toutefois, l’industrie de la gestion des services informatiques (ITSM) tarde à prendre conscience du fait que cette mesure – ou du moins les questions qui sont posées et la manière dont elles sont posées – cache la véritable perception des clients en matière d’informatique. Et si les perceptions des clients ne sont pas bien comprises, toutes les activités entreprises pour vous améliorer sont probablement mal ciblées. Pour citer le légendaire Ivor Macfarlane: « Si nous mesurons les mauvaises choses, nous améliorerons probablement seulement les mauvaises choses ».

14. Evaluez votre niveau de gestion des connaissances et le succès de votre libre-service

Pourquoi? Parce que ce sont deux domaines qui devraient influencer positivement vos succès en matière d’IA. Mais cela sera possible seulement si vous «exploitez» au mieux ces deux domaines. Et, malheureusement, de nombreuses organisations informatiques ont beaucoup de mal à traduire les technologies associées en fonctionnalités que les employés utilisent activement au quotidien.

15. Examinez bien la façon dont vos collaborez avec les équipes de développement

Je ne m’étendrai pas sur ce point, car mon article est déjà long et j’aime penser que les choses s’améliorent. Cependant «70% des répondants pensent que le personnel ITSM n’a pas été suffisamment impliqué dans les activités et les ambitions DevOps du business” selon une enquête ITSM réalisée mi-2017. Alors, prenez le temps de vous demander si les communautés de la production, du support et DevOps collaborent vraiment bien au sein de votre organisation. Si elles ne le font pas, alors faites enfin quelque chose de positif sur ce sujet critique. Et rappelez-vous que le point critique dans une approche DevOps c’est l’aspect culturel.

16. Investissez massivement sur la facilitation du changement organisationnel

Non, je ne parle pas ici du processus de gestion du changement préconisé par ITIL. Je fais bien référence à la gestion du changement organisationnel (OCM) qui est essentiellement culturel. Il est indispensable de reconnaître que la plupart des changements technologiques et commerciaux sont en définitive des changements liés aux personnes.

La publication « ITIL Practitioner Guidance » décrit la gestion du changement organisationnel (OCM) comme suit: «Une approche permettant de gérer les effets du changement sur les personnes, ce qui peut être dû à de nouveaux processus métier, à des changements de structure organisationnelle ou à des changements culturels au sein d’une entreprise. En termes simples, OCM s’adresse au côté humain de la gestion du changement. ». Il s’agit en réalité de comprendre comment nous, humains, réagissons au changement, puis d’utiliser des outils et des techniques éprouvés pour aider les gens à adhérer à un changement donné. COBIT prend d’ailleurs très au sérieux ce sujet qui se traduit dans plusieurs composantes de la gouvernance et du management.

Regardez au delà de chaque changement pris individuellement

Mon dernier groupe de conseils de 2019 concerne la durabilité des activités d’amélioration dans le temps.

17. Obtenez la mesure de vos mesures ITSM

Depuis combien de temps utilisez-vous les mêmes mesures ITSM? Et en particulier depuis combien de temps avez-vous les mêmes indicateurs de performance clés pour votre centre de services? J’ai déjà évoqué la nécessité de mieux comprendre la perception des clients vis-à-vis de l’informatique, au-delà du questionnaire de satisfaction client traditionnel. Mais il existe également de nombreuses autres raisons d’investir du temps et des ressources dans la révision de vos métriques.

Par exemple, une fois que vous avez une meilleure compréhension de ce qui influence ou motive le «bonheur» du client, vous pouvez ensuite identifier les indicateurs actuels qui génèrent les comportements et actions incorrects du personnel informatique, puis les résultats obtenus, par rapport aux besoins désormais connus du client. Et donc vous pouvez identifier les attentes. Ou encore, comment les mesures d’efficacité traditionnelles seront affectées par le succès du libre-service, de l’automatisation et de l’IA. Sera-t-il possible de modifier simplement les cibles ou est-il plus facile de simplement mettre quelques mesures nouvelles dans votre tableau de bord? Par exemple vous pourriez mesurer le taux de résolution de premier contact.

18. N’oubliez pas de communiquer largement sur vos succès

C’est facile à faire! Pourtant c’est rarement fait… Tout le monde est tellement occupé par les tâches quotidiennes que tous les succès en matière d’amélioration sont rapidement «salués de la tête», puis on passe à autre chose. Si vous vous êtes longtemps battu pour obtenir des ressources et des budgets supplémentaires pour atteindre vos objectifs, ne pas communiquer efficacement vos succès revient à «vous tirer une balle dans le pied». En effet si vous ne communiquez pas, on oubliera que vous avez atteint votre objectif. Et, au final, il en résultera une impression de faible retour sur investissement.  Et, point important, obtenir des budgets d’amélioration en 2020 sera probablement encore plus difficile.

19. Essayez d’aider les autres mais surtout aidez-vous vous-même

Le succès futur de l’ITSM dépend, et a probablement toujours dépendu, de ceux qui ont pu aider les autres à réussir. Traditionnellement, cela a pu se faire via les nombreuses conférences mondiales liées à l’ITSM ou, pour quelques-uns, en contribuant aux publications officielles des meilleures pratiques ITSM. Cependant, comme le montre l’évolution rapide et le succès de DevOps, nos vies de plus en plus sociales et connectées offrent davantage de possibilités de partage et de collaboration entre pairs – en amélioration itérative – pour des bonnes pratiques émergentes qui pourraient bien remplacer les meilleures pratiques « à l’ancienne » rapidement obsolètes.

Voici donc mes 19 conseils ITSM pour 2019.  Que pensez-vous devoir ajouter? Avec quoi n’êtes-vous pas d’accord? S’il vous plaît exprimez-vous dans les commentaires.

SMSI certifié ISO 27001 vs conformité RGPD

Quel rapport y a-t-il entre la mise en oeuvre d’un SMSI (sytème de management de la sécurité de l’information) certifié ISO 27001 et la conformité au RGPD? Est-ce une solution pour répondre aux obligations réglementaires et légales? J’entends souvent cette question. Essayons-donc de voir quelle relation il peut y avoir entre les deux. Et essayons de comprendre en quoi la certification ISO 27001 peut vous aider à améliorer votre conformité.

ISO 27001 : un SMSI certifiés est-il la solution pour la conformité RGPD?
Crédit © Adobe Stock

Le RGPD et la norme ISO 27001 ont beaucoup en commun. Tous deux visent à renforcer la sécurité des données et réduire le risque de failles de sécurité. De même, tous deux exigent des entreprises qu’elles assurent la confidentialité, l’intégrité et la disponibilité des données sensibles. ISO 27001 est une norme très détaillée en la matière. Le RGPD est une réglementation Européenne. Il faut d’ailleurs noter que l’article 24 du RGPD stipule que l’adhésion aux codes de conduite et certifications approuvées – comme ISO 27001 – peut être utilisée pour démontrer la conformité.

D’où la question : « Suis-je conforme au RGPD si j’obtiens la certification ISO 27001 de mon SMSI ? ».

Les similarités entre ISO 27001 et le RGPD

Le RGPD est un cadre beaucoup plus large avec une couverture plus fondamentale de la sécurité et de la confidentialité des données. Toutefois il est nécessaire de bien comprendre les similarités et les différences entre les deux standards pour savoir si un SMSI certifié ISO 27001 peut avoir une utilité pour passer les audits de conformité au RGPD.

Les deux cadres ont beaucoup de points communs.

Confidentialité, intégrité et disponibilité des données

L’article 5 du RGPD définit les principes généraux pour le traitement des données, comme la protection contre les traitements non-autorisés ou illégaux, les pertes de données accidentelles, leur destruction ou leur altération. L’article 32 précise que les entreprises doivent mettre en place les mesures techniques et organisationnelles pour assurer la sécurité des données : encryptage, résilience des systèmes de traitement, capacité de restaurer rapidement la disponibilité des données personnelles, etc.

De façon similaire, plusieurs mesures de sécurité dans ISO 27001 visent à aider les entreprises à assurer la confidentialité, la disponibilité et l’intégrité des données. Elles doivent, selon la clause 4, identifier les facteurs internes et externes susceptibles d’impacter leurs programmes de sécurité. La clause 6 leur impose de déterminer leurs objectifs de sécurité des TI et de créer un programme ad hoc. Enfin, La clause 8 définit les exigences pour la maintenance et l’amélioration continue de leur programme de sécurité . Elle leur impose de documenter ce dernier pour démontrer leur conformité.

Evaluation des risques

RGPD et ISO 27001 exigent tous deux une approche de la sécurité des données basée sur les risques. L’article 35 du RGPD impose aux entreprises d’effectuer des évaluations d’impact sur la protection des données et d’identifier les risques pour les données personnelles. Ces évaluations doivent obligatoirement être faites avant tout traitement de données à haut risque. C’est le cas notamment pour les données sensibles.

ISO 27001 impose également aux entreprises de faire des évaluations rigoureuses pour identifier les menaces et les  vulnérabilité pouvant affecter les actifs (clause 6.1.2). Elles doivent ensuite mettre en oeuvre les mesures de sécurité appropriées (clause 6.1.3).

Gestion des parties intéressées

La clause 8 de l’ISO 27001 demande aux entreprises d’identifier les actions de traitement qui sont externalisées et de s’assurer qu’elles restent sous contrôle. La clause 15 donne des directives spécifiques pour les relations avec les fournisseurs et demande aux entreprises de surveiller et évaluer le niveau de service des fournisseurs.

Des enjeux similaires sont couverts par l’article 28 du RGPD, qui exige que les contrôleurs de données sécurisent les termes contractuels et les assurances des processeurs, avec un « accord de traitement des données ».

Notification des failles de sécurité

En vertu des articles 33 et 34 du RGPD, les entreprises doivent informer l’autorité de contrôle dans les 72 heures suivant la découverte d’une violation de sécurité de données personnelles. Les personnes concernées doivent être notifiés sans délai, mais seulement si les données représentent un « risque élevé pour les droits et libertés des personnes concernées ».

La mesure de sécurité A.16 de l’ISO 27001 ne spécifie pas de délai pour la notification en cas de faille de sécurité. Cependant,  elle stipule que les entreprises doivent signaler rapidement tout incident de sécurité et communiquer de manière à permettre une action corrective rapide.

Protection des informations par défaut et dès la conception

L’article 25 du RGPD stipule que les entreprises doivent mettre en place les mesures techniques et organisationnelles au cours de la phase de conception de tout projet, afin de garantir les droits de confidentialité des données dès le début du projet (« protection des données dès la conception »). De plus, les entreprises doivent protéger la confidentialité des données par défaut. Ceci signifie qu’elle doivent s’assurer que seules les informations nécessaires à chaque objectif de traitement sont utilisées (« protection des données par défaut »). Il s’agit en fait du principe de minimisation des données.

Dans ISO 27001, des exigences similaires sont décrites dans les clauses 4 et 6. La clause 4 exige que les entreprises comprennent le périmètre et le contexte des données qu’elles collectent et traitent. La clause 6 impose qu’elles effectuent régulièrement des évaluations de risque pour garantir l’efficacité de leur programme de gestion de la sécurité.

Conservation des enregistrements

L’article 30 du RGPD exige que les entreprises conservent les historiques de leurs activités de traitement. Ceci inclut la catégorie des données, la finalité du traitement, et la description générale des mesures de sécurité techniques et organisationnelles.

ISO 27001 stipule que les entreprises doivent documenter leurs processus de sécurité. Elles doivent aussi documenter les résultats de leurs évaluations de risque de sécurité et de risque de traitement (clause 8). Les informations doivent être stockées et classées, les propriétaires des données doivent être désignés et les procédures pour l’utilisation acceptable des données doivent être définies.

ISO 27001 et RGPD : est-ce la même chose?

Comme nous l’avons vu, la certification ISO 27001 peut simplifier le processus de mise en conformité RGPD. Toutefois, il existe des différences importantes entre les deux cadres. Le RGPD est une réglementation européenne à laquelle doit se conformer toute organisation publique ou privée. C’est un cadre global qui fournit aux entreprises une vision stratégique de la manière dont elles doivent protéger les données personnelles. ISO 27001 est une norme et les organisation peuvent, à leur choix, faire certifier leur SMSI ou pas. C’est un ensemble de bonnes pratiques centrées sur la sécurité des informations.

Les différences entre ISO 27001 et le RGPD

La norme fournit des conseils pratiques sur la manière de protéger les informations et réduire les cyber-menaces. A la différence du RGPD, elle ne couvre pas directement les enjeux liés à la confidentialité des données personnelles (que l’on retrouve dans le chapitre 3 du RGPD portant sur « Les droits des personnes concernées ») :

  • Consentement : les responsables du traitement doivent prouver que les personnes concernées ont donné leur accord pour le traitement de leurs données personnelles (articles 7 et 8). La demande de consentement doit être faite sous une forme facilement compréhensible. De plus, la finalité du traitement des données doit être clairement décrit. Les personnes concernées ont également le droit d’annuler leur consentement à tout moment.
  • Portabilité des données : les personnes concernées ont le droit d’obtenir et réutiliser leurs données personnelles pour leurs propres objectifs et pour différents services, et de transmettre ces données à un autre responsable de traitement sans entrave à l’utilisation.
  • Droit à l’oubli : les individus ont le droit de faire effacer leurs données personnelles et de stopper toute diffusion ultérieure, et ce sans délai.
  • Le Droit à la restriction de traitement : les individus ont le droit de limiter la manière dont une organisation utilise leurs données personnelles si les données ont été traitées de manière illégale ou si l’individu conteste l’exactitude des données.
  • Droit d’opposition : la personne concernée a le droit de s’opposer au traitement des données à des fins marketing, d’étude ou de statistique (article 21).
  • Transfert international de données personnelles : les organisations doivent s’assurer que les transferts internationaux de données sont faits en accord avec les règles approuvées par le Commission Européenne (article 46).

Conclusion

Le RGPD se concentre sur la confidentialité des données et la protection des informations personnelles. Il impose aux entreprises de déployer les moyens nécessaires pour obtenir un consentement explicite pour collecter des données et s’assurer que ces données sont traitées de manière légale. Toutefois, il ne donne pas les détails techniques sur la manière de maintenir un niveau de sécurité des données adéquat ou pour réduire les menaces internes et externes. A cet égard, ISO 27001 apporte des réponses : la norme fournit des orientations pratiques sur la manière de développer des politiques claires et complètes pour réduire les risques qui peuvent générer des incidents de sécurité.

Bien que la conformité ISO 27001 ne garantisse pas la conformité RGPD, elle peut être une étape qui présente un intérêt certain. Les entreprises ont donc intérêt à considérer la possibilité de se certifier ISO 27001 pour s’assurer que leurs mesures de sécurité sont suffisamment fortes pour protéger les données sensibles.

ITIL – Les raisons d’échec dans votre organisation

Souvent la mise en oeuvre des meilleurs pratiques ITSM basées sur ITIL ne produit pas les bénéfices espérés. Nous analysons ici les raisons d’échec des « projets d’implémentation ITIL » parmi les plus courantes. Mais est-ce vraiment ITIL qui est en cause? N’est-ce pas plutôt votre organisation? Essayons de garder un esprit ouvert et d’analyser objectivement les choses.

ITIL : les raisons de l'échec d'implémentation des meilleurs pratiques ITSM dans votre Organisation
Crédit © AdobeStock & Zinkevych 2018

Tout d’abord il faut bien se souvenir de ce qu’est ITIL. ITIL est un cadre de bonnes pratiques pour l’amélioration des services informatiques dans l’entreprise. ITIL n’est pas prescription. Ce n’est pas une méthodologie. C’est simplement un ensemble des meilleurs pratiques recensées dans le monde entier au fil des ans. Ces pratiques se déclinent au travers de processus répartis dans les 5 phases du cycle de vie des services. Elles sont par essence génériques. Ils faut bien évidemment les avoir comprises et surtout avoir compris quels sont les objectifs visés. Ensuite elles doivent être adaptées au cas spécifique de chaque entreprise avant d’être mises en oeuvre. Et c’est là que se produit en général le problème. Nous l’avons d’ailleurs décrit dans deux articles précédemment publiés sur notre blog : ITIL – 5 erreurs majeures de mise en oeuvre et ITIL – 6 autres erreurs de mise en oeuvre.

ITIL : un constat d’échec dans beaucoup d’organisations

Il est clair que le cadre de bonnes pratiques ITIL, vieux maintenant d’une trentaine d’années, a largement fait ses preuves. Pourtant bon nombre d’organisations font un constat d’échec après avoir vainement tenter d’améliorer la qualité de leurs services IT en s’appuyant sur la bibliothèque de meilleures pratiques d’AXELOS. Les résultats ne sont souvent pas à la hauteur de leurs attentes.

Quelques constats entendus chez mes clients

Nous cherchions à réduire les coûts de notre informatique. Ce n’est pas l’objectif d’ITIL. L’objectif est d’améliorer la création de valeur pour les clients.

Nous avons investi dans un outil censé être « certifié » et cela nous a coûté très cher. Dans le meilleur des cas l’outil a coûté cher mais n’a rien amélioré du tout. Dans le pire des cas l’outil a coûté cher et notre informatique est encore moins performante qu’avant.

On a investi un gros budget dans la formation de tous les membres de l’équipe informatique mais rien n’a vraiment changé. Normal, on a formé les gens sur le niveau Foundation dont l’objectif est d’apprendre les concepts et le vocabulaire. C’est très insuffisant pour mettre en oeuvre quelque chose d’aussi complexe.

On a fait appel à un consultant à qui on fait entière confiance car il est certifié ITIL expert. Ca nous a coûté très cher mais tout ce qu’il a fait a échoué. Normal, les bonnes pratiques en gestion des services IT s’appuient sur une co-réalisation entre les métiers et la DSI. Généralement un « Expert ITIL  » est un informaticien, expert dans la maîtrise des processus ITIL sur le domaine de la DSI. Normal donc que cela échoue car il faudrait qu’il soit aussi un praticien certifié au minimum avec une grande expérience business..

Une même raison à ces échecs

Tous ces échecs ont donc une bonne raison. Mais cette raison ne se trouve pas au sein même des pratiques ITIL. Cette raison est toujours liée à la façon dont on a voulu les mettre en oeuvre, sans vraiment en comprendre les enjeux. Souvent cela aboutit à alourdir le fonctionnement de l’organisation et à lui ôter toute possibilité d’agilité. C’est là un comble car c’est ce dont les organisations ont le plus besoin en 2018!

Essayons donc de comprendre ce qui a bien pu se passer pour conduire à cette situation.

Les raisons de l’échec de la mise en oeuvre d’ITIL

Vous utilisez ITIL comme des recettes de cuisine

La première, et sans doute une des plus courantes, raison de l’échec de la mise en oeuvre est de considérer les publications ITIL comme des livres de recettes de cuisine. Ce n’est pas non plus l’évangile. C’est juste un guide et un cadre de bonnes pratiques. Or, dans certaines organisations, certains responsables, à un certain niveau, vraiment emballés par l’idée qu’ITIL pourrait être la solution à leurs problèmes, essaient de mettre en œuvre toutes les directives des livres. Cette approche ne fonctionnera jamais!

ITIL a été créé dans les années 1980 par l’agence centrale d’informatique et de télécommunications du gouvernement britannique. Il n’a jamais été conçu pour devenir un produit exclusif qui serait commercialisé et vendu. Le projet initial était censé rassembler les meilleures pratiques pour contribuer à ce que le gouvernement considérait comme une dépendance croissante à l’égard des technologies de l’information, combiné à un manque de pratiques standard entraînant une augmentation des coûts et des erreurs.

Si ITIL s’est ensuite développé dans les entreprises privées c’est tout simplement parce que cela fonctionne. Mais hélas, pas comme beaucoup d’organisations le pensent.

ITIL fonctionne parce qu’il inclut les meilleures pratiques du domaine. Mais il s’agit simplement d’un cadre. Il ne doit pas être suivi étape par étape. Ce n’est pas une méthode!

Le meilleur moyen de faire en sorte qu’ITIL fonctionne dans votre entreprise est d’adopter les directives et les pratiques qui conviennent à votre entreprise et d’oublier le reste. Cela signifie qu’il faut d’abord bien comprendre le contexte de l’entreprise, sa stratégie business et la capacité des ressources dont elle dispose, que ce soit au niveau humain, financier ou matériel. Il est donc indispensable que le projet de mise en oeuvre des pratiques préconisées soit le résultat d’une collaboration profonde et efficace entre la haute direction, les directions métiers et la DSI. Il ne s’agit pas d’un projet strictement « informatique » comme beaucoup le croient.

Vous vous focalisez beaucoup trop sur les processus

ITIL V3 décrit 26 processus organisés en cinq étapes de cycle de vie des services. Chaque étape du cycle de vie est décrite dans une publication spécifique – Stratégie des services, Conception des services, Transition des services, Exploitation des services et Amélioration continue des services.

Les descriptions de processus d’ITIL V3 incluent des exemples de flux d’activités typiques. Par exemple, la description de la gestion des changements comprend un diagramme intitulé «Exemple de flux de processus pour un changement normale». Mais bien que les livres contiennent beaucoup d’autres excellents contenus, les exemples de flux de processus semblent avoir acquis leur vie propre. Ils sont clairement identifiés comme des exemples de la manière dont vous pourriez effectuer le travail. Or il existe une fâcheuse tendance à les considérer comme des étapes obligatoires: « ITIL dit que c’est comme ça qu’il faut faire ». FAUX! Ce n’est pas du tout ce que les auteurs, à l’origine, voulaient dire.

Il y a aussi un second problème. La conception de services ITIL décrit «les quatre piliers de la conception de services»: personnes, processus, produits (services, technologie et outils) et partenaires (fournisseurs, fabricants et vendeurs). Or, la quasi-totalité de la littérature publiée concerne les processus. Il y a très peu de conseils sur les personnes, les produits et les partenaires.

Cette insistance sur les processus peut conduire à de très mauvaises utilisations ITIL. Certaines organisations se contentent de documenter les processus et pensent avoir dès lors « implémenté » ITIL! D’autres organisations se concentrent sur quelques processus spécifiques et sont souvent déçues des résultats. Certes on ne peut pas tout mettre en oeuvre mais certaines pratiques ne créent de la valeur qu’associées avec d’autres. Il est donc essentiel de les mettre en oeuvre ensemble. Séparément elles ne créeront pas beaucoup de valeur, voire même elles contribueront à la détruire.

Vous mettez en oeuvre les bonnes pratiques en SILOS

Lorsque les organisations adoptent ITIL V3, elles considèrent souvent chacun des processus comme un ensemble d’activités distinct. Chaque processus a flux d’activités et ces flux sont indépendants les uns des autres. Par contre, les activités nécessaires pour créer de la valeur pour nos clients payants dépendent rarement du bon fonctionnement d’un seul processus en particulier. Le plus souvent, pour satisfaire les clients, nous avons besoin d’une combinaison d’éléments issus de plusieurs processus. Par exemple, la résolution d’un problème qui affecte les utilisateurs d’un service peut nécessiter des activités provenant de:

  • La gestion des incidents pour diagnostiquer les incidents remontés par des utilisateurs individuels et proposer des solutions de contournement,
  • Mais aussi la gestion des problèmes pour analyser les causes sous-jacentes et élaborer des solutions à long terme,
  • Sans oublier la gestion des actifs de service et de la configuration pour fournir les informations nécessaires à la gestion des incidents et des problèmes (notamment pour évaluer les impacts),
  • Ni la gestion financière pour  allouer un budget pour pouvoir développer une solution,
  • Bien sûr la gestion de la disponibilité et la gestion de la capacité pour analyser des solutions alternatives et formuler des recommandations,
  • Ainsi que la gestion des mises en production et du déploiement pour planifier le déploiement d’un correctif logiciel ou d’un composant matériel,
  • Sous le contrôle de la gestion des changement pour évaluer, approuver et surveiller le déploiement du logiciel,
  • Avec le support de la coordination de la conception pour superviser la conception et le développement d’une solution,
  • Et potentiellement beaucoup plus…

Lorsque chacun de ces processus a son propre flux d’activités vu de façon indépendante, cela peut entraîner des délais très longs. Nous l’avons d’ailleurs décrit dans un de nos précédents articles: Les changements à l’heure de DEVOPS. Les très bonnes organisations comprennent comment gérer le flux d’activités entre plusieurs processus. Hélas, ITIL V3 ne fournit pas assez de conseils pour aider les autres à bien faire les choses. En réalité, la V3 ne préconise pas de créer un flux d’activités distinct pour chaque processus. Mais c’est l’approche la plus simple à adopter. C’est donc celle que de nombreuses organisations ont mis en place dans le cadre de leur «implémentation d’ITIL».

Vous n’incluez pas les métiers dans la mise en oeuvre

Les mots ITIL et ITSM commencent par «IT» mais cela ne signifie pas qu’elles ne s’appliquent exclusivement qu’à «des initiatives purement informatiques».

Les équipes informatiques ne peuvent plus travailler en silo et implémenter une ITSM basée sur ITIL sans obtenir l’assentiment de tous les membres de la direction ou de toute personne extérieure au département informatique. C’est une recette imparable pour aboutir à une catastrophe. Le service informatique interagit avec le reste de l’entreprise. Il vous faut donc déterminer ce dont les métiers ont besoin pour réussir. Il faut ensuite déterminer la capacité de l’informatique à répondre à ces besoins. C’est ensuite seulement que l’ITSM peut vous aider

Si vous souhaitez réussir à tirer le meilleur parti d ITIL vous devez arriver à l’expliquer de façon compréhensible pour la haute direction. Mais faites attention, ils ne parlent ni le jargon ITIL ni le jargon informatique. Vous devez donc comprendre comment cela peut être bénéfique pour l’entreprise et être capable de le formuler en « termes commerciaux ». C’est à dire que vos arguments doivent porter sur les trois axes qui les intéressent : bénéfices, risques et ressources. Si vous réussissez à le faire, alors vous aurez le soutien et l’investissement des dirigeants. C’est la seule façon de pouvoir démarrer et réussir votre projet.

L’inclusion d’objectifs métier et la compréhension de la valeur métier par la DSI aideront votre équipe et votre entreprise à adopter ITIL afin de faciliter l’obtention de résultats. C’est bien là l’objectif!

Vous n’avez pas créé une feuille de route et un cas d’affaire pour l’adoption et l’adaptation d’ITIL

L’ITSM et ITIL ne concernent pas uniquement la mise en œuvre de processus pour avoir des processus. Trop d’organisations se concentrent tellement sur la mise en œuvre de processus qu’elles ignorent en quoi ces processus sont nécessaires pour atteindre l’objectif général.

L’objectif est de fournir des services qui apportent une valeur ajoutée à l’entreprise.

Créer une feuille de route et la relier à la valeur métier engendrée vous aidera à adopter les bonnes pratiques ITIL afin de prendre en charge les services et de ne pas mettre en œuvre des processus pour le plaisir de les mettre en œuvre.

Si vous êtes trop rigide et que vous essayez de tout mettre en œuvre en même temps sans autre raison que ce que vous estimez devoir faire, votre équipe résistera. C’est pourquoi tant de professionnels de l’informatique pensent que ITIL est trop bureaucratique. Un de mes clients me décrivait récemment ITIL « comme un monstre de bureaucratie« .

De même, si vous lancez de manière aléatoire certaines approches dans certains projets, personne ne sera en mesure de reconnaître en quoi ITIL améliore votre flux de travail.

Une feuille de route étape par étape vous donnera une idée précises de ce que vous devez faire pour adapter ITIL à vos besoins.

Vous pensez qu’un « bon » outil sera la solution à vos problèmes

Il existe beaucoup d’outils prétendument conçus pour aider à adopter ITIL et ITSM par les organisations.

Mais un outil ne va pas comprendre la valeur de l’informatique ni son incidence sur les résultats de votre entreprise. Un outil ne pourra pas comprendre les besoins spécifiques de chaque entreprise.

Un outil est juste un dispositif utilisé pour exécuter une fonction particulière. Les outils peuvent vous aider dans l’adoption des bonnes pratiques mais ils ne vont certainement pas faire le travail à votre place. Un outil vous servira seulement à automatiser certaines activités de vos processus et permettra la communication entre les activités. Vous devez donc faire tout le travail d’adaptation des bonnes pratiques à votre organisation d’abord. Ensuite vous pourrez regarder sur le marché pour trouver l’outil qui correspond le mieux à vos besoins spécifiques.

Vous n’investissez pas assez dans le conseil et la formation

Il existe de nombreux organismes  de formation proposant des cours ITIL Foundation. De nombreux professionnels de l’informatique réussissent leur certification ITIL. Les mêmes se présentent immédiatement comme des consultants ou des formateurs ITIL. Malheureusement une certification ne garantit absolument pas que vous sachiez appliquer les concepts ITIL.

La vérité est que tout le monde peut lire un guide de l’étudiant et apprendre les concepts ITIL, mais cela ne les mènera pas très loin, pas plus que leur organisation d’ailleurs. Comme nous l’avons dit, ITIL est un guide et non un évangile. Vous devez donc comprendre son impact et son intégration dans votre organisation. La seule façon de le faire est d’investir dans le cours de base ITIL avec un instructeur expérimenté qui peut montrer aux étudiants comment appliquer ITIL dans leur organisation. C’est pourquoi AXELOS préconise de suivre des formations auprès d’ATOs (Accredited Training Organizations) qui sont régulièrement auditées pour vérifier la qualité de leurs formations, bien au delà de la simple certification.

De même, de nombreuses organisations commettent l’erreur d’adapter ITIL sans aucune assistance qualifiée. Cela peut fonctionner pendant un petit bout de temps mais, sans aucun doute, au final le quotidien l’emportera et l’adoption échouera. Le résultat sera alors une perte d’argent et de temps sans retour sur investissement. Un consultant qualifié peut aider à éviter les erreurs courantes et à augmenter la vitesse d’adoption. Par contre un consultant qualifié aura un coût qu’il faut intégrer dans le cas d’affaire de votre projet. Ne vous focalisez pas uniquement les coûts mais essayez de voir la véritable création de valeur que peut vous apporter chaque consultant.

Conclusion : ITIL V4 résoudra-t-il vos problèmes?

ITIL V3 contient de très bons conseils, et de nombreuses organisations l’ont utilisé pour les aider à fournir des services informatiques de manière efficace. Toutefois, certaines faiblesses doivent être résolues pour lui permettre de rester pertinent dans un environnement technologique et commercial en rapide mutation. Il doit aider les organisations à créer une culture plus collaborative capable d’éliminer les silos de processus. Il doit prendre en charge les méthodes de travail modernes, en maintenant de bons processus. Mais il doit le faire en mettant davantage l’accent sur les personnes, la technologie et les fournisseurs.

Si votre entreprise a adopté ITIL V3 et trouve que cela fonctionne bien pour vous, vous n’avez pas besoin de jeter ce que vous avez fait, ni d’apporter des changements soudains et radicaux à votre gestion de l’informatique. Mais vous pensez probablement déjà aux changements que vous devez faire, en raison de l’évolution de votre culture organisationnelle et de l’environnement dans lequel vous opérez. Lors de la publication d’ITIL 4, vous constaterez que la version mise à jour est une excellente ressource pour aider votre organisation à réfléchir aux changements que vous devez faire et à la meilleure façon de les apporter. ITIL V4 vous aidera à réussir la difficile transformation numérique de votre organisation.

 

Crédits : Stuart Rance et Doug Tedder

Catégories

Archives

Calendrier

mars 2019
L M M J V S D
« Fév    
 123
45678910
11121314151617
18192021222324
25262728293031
%d blogueurs aiment cette page :