Home » Posts tagged 'CIO'

Tag Archives: CIO

CISO : Responsabilités et compétences indispensables

Depuis sa création durant les années 90, le rôle du CISO a largement évolué. A l’origine, il était principalement consacré à la correction des vulnérabilités sur le système informatique. Aujourd’hui, le paysage de la sécurité a évolué, avec l’élargissement de la périphérie de l’entreprise, l’explosion du cloud et de la mobilité, avec les mutations des menaces et des risques, et jusqu’aux environnements règlementaires. Le CISO est donc devenu un acteur majeur du management de l’entreprise. Pour assurer ses responsabilités, il doit nécessairement posséder des compétences et des aptitudes très spécifiques.

CISO : Responsabilités et compétences
Crédits © rawpixel.com 2018

Dans cet article je vais essayer de vous expliquer les responsabilités d’un CISO ainsi que les compétences requises. Attention, il ne faut pas confondre CISO et RSSI. En France il y a beaucoup plus de RSSI que de CISO. Malheureusement les entreprises françaises ne comprennent toujours pas que ce rôle est absolument indispensable. Hélas, comme d’habitude au pays des Gaulois réfractaires, c’est le coût qui domine les décisions. Or les bons CISO sont rares sur le marché et donc, ils sont chers. La conséquence est une plus grande vulnérabilité des entreprises Françaises face aux nombreux risques de sécurité.

Qu’est-ce qu’un CISO?

Le Directeur de la Sécurité de l’Information (Chief Information Security Officer : CISO) répond de la sécurité des informations et des données d’une organisation. Par le passé, le rôle était défini assez étroitement dans ce sens. De nos jours, le titre est souvent utilisé de manière interchangeable avec CSO (Directeur de la Sécurité) et VP de la sécurité. Ceci indique un rôle plus étendu dans l’organisation.

Vous êtes un professionnel de la sécurité ambitieux? Vous cherchez à grimper les échelons de votre entreprise? Alors vous pouvez avoir un poste de Directeur de la sécurité informatique dans votre ligne de mire. Examinons ce que vous pouvez faire pour améliorer vos chances de décrocher un rôle de CISO et ce que seront vos responsabilités si vous décrochiez ce poste essentiel. Et si vous cherchez à ajouter un CISO à  votre organisation, vous serez sûrement intéressé par cet article.

Quelles sont les responsabilités d’un CISO?

La meilleure façon de comprendre le travail de CISO est sans doute de se baser ses responsabilités quotidiennes. Elles nous révèlent les compétences nécessaires. Bien qu’il n’existe pas deux cas identiques, Stephen Katz, qui a joué le rôle de CISO chez Citigroup dans les années 90, a décrit les domaines de responsabilité des CISO dans une interview avec MSNBC.

Les 7 domaines de responsabilité du CISO

Il répartit ces responsabilités dans les catégories suivantes:

  • Sécurité opérationnelle : Il analyse en temps réel des menaces immédiates et priorisation en cas de problème
  • Cyber-risque et cyber intelligence : Il se tient au courant des menaces pour la sécurité. Il aide le conseil d’administration à comprendre les problèmes de sécurité potentiels pouvant résulter de fusions, d’acquisitions ou de cessions.
  • Prévention des violations de données et de la fraude : Il s’assure que le personnel interne ne fait aucune mauvaise utilisation ni ne vole des données de l’entreprise
  • Architecture de sécurité : Il planifie, achète et déploie du matériel et des logiciels de sécurité. Il s’assure également que l’infrastructure informatique et réseau est conçue sur la base des meilleures pratiques de sécurité
  • Gestion des identités et des accès : Il s’assure que seules les personnes autorisées ont accès aux données et aux systèmes protégés
  • Gestion de programme : Il doit garder une longueur d’avance sur les besoins de sécurité en mettant en œuvre des programmes ou des projets réduisant les risques. Par exemple, il doit s’assurer du déploiement de correctifs réguliers des systèmes.
  • Enquêtes et expertises légales : Il détermine ce s’est mal passé, collabore avec les responsables, s’ils sont internes, et prévoiT afin d’éviter la répétition d’une crise identique
  • Gouvernance : Il s’assure que toutes les initiatives ci-dessus se déroulent sans heurts et qu’elles reçoivent le financement et les ressources dont elles ont besoin. Il s’assure également que les dirigeants de l’entreprise comprennent bien leur rôle et leur importance dans la sécurité.

Si vous voulez en savoir plus

Pour des informations plus poussées, nous vous conseillons de lire le livre blanc de SANS Institute : « Mixing Technology and Business: The Roles and Responsibilities of the Chief Information Security Officer« .

Quelles sont les exigences pour être CISO?

Que faut-il pour pouvoir postuler à ce poste? D’une manière générale, un CISO doit posséder une base technique solide. Généralement, un candidat doit être titulaire d’une licence en informatique ou dans un domaine connexe. De plus, il doit compter entre 7 et 12 années d’expérience professionnelle (dont au moins cinq ans dans un rôle de direction). Les diplômes de master en sécurité de l’information sont également de plus en plus en vogue.

Des compétences techniques sont nécessaires…

Il existe également une liste exhaustive des compétences techniques attendues. Au-delà des bases de la programmation et de l’administration système que tout dirigeant technique de haut niveau devrait posséder, vous devez également comprendre certaines technologies centrées sur la sécurité, telles que le DNS, le routage, l’authentification, les VPN, etc. services proxy et technologies d’atténuation DDOS; pratiques de codage, piratage éthique et modélisation des menaces; et les protocoles de pare-feu et de détection / prévention des intrusions. Les CISO sont censés contribuer à la conformité réglementaire. Par conséquent, vous devez également connaître en quoi consistent les évaluations de la conformité PCI, HIPAA, NIST, GLBA, GDPR, ISO 27001 et SOX.

… mais elles ne sont qu’une base

Cependant les connaissances techniques ne constituent pas le seul pré-requis requise, ni même le plus important pour décrocher le poste. Une grande partie du travail d’un CISO implique la gestion et la défense de la sécurité au sein de la haute direction de l’entreprise. Larry Ponemon, chercheur en informatique, a déclaré à SecureWorld que « les principaux RSSI ont de bonnes bases techniques mais possèdent souvent une expérience professionnelle, un MBA et les compétences nécessaires pour communiquer avec les autres cadres dirigeants et le conseil d’administration ».

Des compétences de management sont vitales

La combinaison de compétences techniques et non techniques permettant de juger un candidat au poste de RSSI peut varier en fonction de la société qui embauche. De manière générale, les entreprises ayant une portée mondiale ou internationale recherchent des candidats possédant une formation en matière de sécurité globale et fonctionnelle et évaluent les compétences en leadership tout en prenant en compte la progression de carrière et les réalisations passées. D’un autre côté, les entreprises qui ont une activité plus centrée sur le Web et les produits cherchent plutôt des compétences spécifiques orientées vers la sécurité des applications et du Web.

Quelles certifications doit posséder un CISO?

Au fur et à mesure que vous gravissez les échelons, vous pouvez améliorer votre CV avec des certifications. Ces qualifications rafraîchissent la mémoire, invitent à une nouvelle réflexion, augmentent la crédibilité. Et, plus important, elles constituent un élément obligatoire de tout programme de formation interne solide. Il existe beaucoup de certifications en sécurité de l’information. Alors lesquelles choisir? Le top 3 est constitué de :

  • CISM (Certified Information Security Manager) est spécialement indiqué pour ceux qui cherchent à gravir les échelons dans le domaine de la sécurité de l’information et à faire la transition vers le leadership ou la gestion de programme.
  • CISSP (Certified Information Systems Security Professional) est destiné aux professionnels de l’informatique qui souhaitent faire de la sécurité de l’information un objectif de carrière.
  • CEH (Certified Ethical Hacker) est destiné aux professionnels de la sécurité qui souhaitent acquérir une connaissance approfondie des problèmes susceptibles de menacer la sécurité de l’entreprise.

Nous avons, dans un précédent article, comparé les certifications CISM et CISSP. Vous pouvez vous y référer pour plus d’informations.

CISO vs CIO

La sécurité est un rôle au sein d’une entreprise qui s’oppose inévitablement avec les autres dirigeants de l’Entreprise. En effet, l’instinct des professionnels de la sécurité consiste à verrouiller les systèmes et à les rendre plus difficiles à accéder. Ceci peut entrer rapidement en conflit avec la direction informatique. La DSI a, pour sa part, l’objectif de rendre les informations et les applications disponibles sans difficulté. La manière dont tout se joue en haut de l’organigramme est souvent vue comme une bataille CISO contre CIO. On identifie souvent les contours de ce bras de fer grâce aux lignes de reporting au sein de l’organisation.

CISO vs RSSI

C’est la raison pour laquelle une entreprise ne peut pas se contenter d’un RSSI. En effet, il est relativement courant que les RSSI soient rattachés aux DSI. Cela limite la capacité du RSSI à s’aligner stratégiquement sur la stratégie de l’Entreprise. En effet, dans ce cas sa vision finit par être subordonnée à la stratégie informatique du DSI. Les RSSI n’acquièrent définitivement de l’influence que lorsqu’ils relèvent directement de la Direction Générale. C’est une pratique de plus en plus courante. Cela impliquera généralement un changement de titre en CISO. Ainsi la CISO se retrouvera sur un « pied d’égalité » avec le CIO (DSI). Cela lui permettra d’avoir des responsabilités en matière de sécurité non liées à la technologie.

Le CISO doit être sur un pied d’égalité avec le CIO

Placer le CIO et le CISO sur un pied d’égalité peut aider à résoudre les conflits. Cela indique notamment à toute l’organisation que la sécurité est importante et n’est pas limitée au domaine informatique. Mais cela signifie également que le CISO ne peut pas simplement être un gardien de l’accès aux initiatives techniques. Piergiorgio Grossi, DSI de Ducati, a déclaré au magazine i-CIO: « Il incombe au CISO d’aider l’équipe informatique à fournir des produits et des services plus robustes au lieu de simplement dire » non « . Cette responsabilité partagée des initiatives stratégiques modifie la dynamique de la relation. Et cela peut faire la différence entre succès et échec pour un nouveau CISO.

La description de poste d’un CISO

Si vous recherchez un CISO prometteur pour votre organisation, cela implique en partie de rédiger une description de poste. Une grande partie de ce que nous avons discuté jusqu’à présent peut vous aider à aborder cette question. Vous devez d’abord décider si vous voulez engager un RSSI ou un CISO. Ensuite vous devrez obtenir les approbations pour le niveau, la structure hiérarchique et le titre officiel du poste. Dans les petites entreprises, le CISO peut être vice-président ou directeur de la sécurité. Vous devez également définir les exigences minimales et les qualifications du rôle. Ensuite vous pouvez décider de recruter en externe ou en interne.

Votre description doit clairement énoncer l’engagement de votre organisation en matière de sécurité. En effet, c’est ainsi que vous allez attirer un candidat de grande qualité. Vous devez indiquer où le nouveau CISO se retrouvera dans l’organigramme et son niveau d’interaction avec le conseil d’administration. Cela clarifiera vraiment sa position et son rôle. Un autre point important est de maintenir à jour la description de poste. Il faut le faire même si vous avez quelqu’un qui occupe actuellement ce poste. Vous ne savez jamais quand cette personne passera à une autre opportunité. C’est un rôle absolument critique et vous ne pouvez pas prendre le risque de vous retrouver sans CISO.

Quel salaire pour un CISO?

CISO est un poste de haut niveau et les CISO ont donc une rémunération en conséquence. La prévision des salaires est bien plus un art qu’une science. Mais on admet généralement qu’aux USA des salaires supérieurs à 100 000 dollars sont la règle. A ce jour voici les moyennes de salaire constatées aux USA

  • ZipRecruiter annonce une moyenne nationale de 153 117 $
  • Salary.com positionne la fourchette standard encore plus haut, entre 192 000 et 254 000 dollars.

Si vous consultez Glassdoor, vous pouvez consulter les fourchettes de salaire des offres d’emploi actuelles de CISO. Ceci peut vous aider à déterminer les secteurs qui paient le plus ou le moins. Par exemple, au moment de la rédaction de cet article, le poste de chef de la sécurité publique au sein du gouvernement fédéral américain rapporte entre 164 000 et 178 000 dollars, et le poste de CISO à l’Université d’Utah, entre 230 000 et 251 000 dollars.

Toujours sur Glassdoor, vous pouvez consulter le salaire des offres d’emploi en France pour un RSSI. Il se situe en moyenne entre 50 K€ et 80 K€. On voit tout de suite la différence! Malheureusement cela traduit bien le niveau de maturité des entreprises Françaises en 2019. C’est un mauvais présage de l’aptitude des entreprises Françaises à faire face aux challenges de la transition numérique.

Vous êtes un CISO en poste et vous souhaitez nous faire part de votre expérience? Vous voulez évoluer vers un rôle de CISO? N’hésitez pas à échanger grâce à vos commentaires.

 

ITIL – Les raisons d’échec dans votre organisation

Souvent la mise en oeuvre des meilleurs pratiques ITSM basées sur ITIL ne produit pas les bénéfices espérés. Nous analysons ici les raisons d’échec des « projets d’implémentation ITIL » parmi les plus courantes. Mais est-ce vraiment ITIL qui est en cause? N’est-ce pas plutôt votre organisation? Essayons de garder un esprit ouvert et d’analyser objectivement les choses.

ITIL : les raisons de l'échec d'implémentation des meilleurs pratiques ITSM dans votre Organisation
Crédit © AdobeStock & Zinkevych 2018

Tout d’abord il faut bien se souvenir de ce qu’est ITIL. ITIL est un cadre de bonnes pratiques pour l’amélioration des services informatiques dans l’entreprise. ITIL n’est pas prescription. Ce n’est pas une méthodologie. C’est simplement un ensemble des meilleurs pratiques recensées dans le monde entier au fil des ans. Ces pratiques se déclinent au travers de processus répartis dans les 5 phases du cycle de vie des services. Elles sont par essence génériques. Ils faut bien évidemment les avoir comprises et surtout avoir compris quels sont les objectifs visés. Ensuite elles doivent être adaptées au cas spécifique de chaque entreprise avant d’être mises en oeuvre. Et c’est là que se produit en général le problème. Nous l’avons d’ailleurs décrit dans deux articles précédemment publiés sur notre blog : ITIL – 5 erreurs majeures de mise en oeuvre et ITIL – 6 autres erreurs de mise en oeuvre.

ITIL : un constat d’échec dans beaucoup d’organisations

Il est clair que le cadre de bonnes pratiques ITIL, vieux maintenant d’une trentaine d’années, a largement fait ses preuves. Pourtant bon nombre d’organisations font un constat d’échec après avoir vainement tenter d’améliorer la qualité de leurs services IT en s’appuyant sur la bibliothèque de meilleures pratiques d’AXELOS. Les résultats ne sont souvent pas à la hauteur de leurs attentes.

Quelques constats entendus chez mes clients

Nous cherchions à réduire les coûts de notre informatique. Ce n’est pas l’objectif d’ITIL. L’objectif est d’améliorer la création de valeur pour les clients.

Nous avons investi dans un outil censé être « certifié » et cela nous a coûté très cher. Dans le meilleur des cas l’outil a coûté cher mais n’a rien amélioré du tout. Dans le pire des cas l’outil a coûté cher et notre informatique est encore moins performante qu’avant.

On a investi un gros budget dans la formation de tous les membres de l’équipe informatique mais rien n’a vraiment changé. Normal, on a formé les gens sur le niveau Foundation dont l’objectif est d’apprendre les concepts et le vocabulaire. C’est très insuffisant pour mettre en oeuvre quelque chose d’aussi complexe.

On a fait appel à un consultant à qui on fait entière confiance car il est certifié ITIL expert. Ca nous a coûté très cher mais tout ce qu’il a fait a échoué. Normal, les bonnes pratiques en gestion des services IT s’appuient sur une co-réalisation entre les métiers et la DSI. Généralement un « Expert ITIL  » est un informaticien, expert dans la maîtrise des processus ITIL sur le domaine de la DSI. Normal donc que cela échoue car il faudrait qu’il soit aussi un praticien certifié au minimum avec une grande expérience business..

Une même raison à ces échecs

Tous ces échecs ont donc une bonne raison. Mais cette raison ne se trouve pas au sein même des pratiques ITIL. Cette raison est toujours liée à la façon dont on a voulu les mettre en oeuvre, sans vraiment en comprendre les enjeux. Souvent cela aboutit à alourdir le fonctionnement de l’organisation et à lui ôter toute possibilité d’agilité. C’est là un comble car c’est ce dont les organisations ont le plus besoin en 2018!

Essayons donc de comprendre ce qui a bien pu se passer pour conduire à cette situation.

Les raisons de l’échec de la mise en oeuvre d’ITIL

Vous utilisez ITIL comme des recettes de cuisine

La première, et sans doute une des plus courantes, raison de l’échec de la mise en oeuvre est de considérer les publications ITIL comme des livres de recettes de cuisine. Ce n’est pas non plus l’évangile. C’est juste un guide et un cadre de bonnes pratiques. Or, dans certaines organisations, certains responsables, à un certain niveau, vraiment emballés par l’idée qu’ITIL pourrait être la solution à leurs problèmes, essaient de mettre en œuvre toutes les directives des livres. Cette approche ne fonctionnera jamais!

ITIL a été créé dans les années 1980 par l’agence centrale d’informatique et de télécommunications du gouvernement britannique. Il n’a jamais été conçu pour devenir un produit exclusif qui serait commercialisé et vendu. Le projet initial était censé rassembler les meilleures pratiques pour contribuer à ce que le gouvernement considérait comme une dépendance croissante à l’égard des technologies de l’information, combiné à un manque de pratiques standard entraînant une augmentation des coûts et des erreurs.

Si ITIL s’est ensuite développé dans les entreprises privées c’est tout simplement parce que cela fonctionne. Mais hélas, pas comme beaucoup d’organisations le pensent.

ITIL fonctionne parce qu’il inclut les meilleures pratiques du domaine. Mais il s’agit simplement d’un cadre. Il ne doit pas être suivi étape par étape. Ce n’est pas une méthode!

Le meilleur moyen de faire en sorte qu’ITIL fonctionne dans votre entreprise est d’adopter les directives et les pratiques qui conviennent à votre entreprise et d’oublier le reste. Cela signifie qu’il faut d’abord bien comprendre le contexte de l’entreprise, sa stratégie business et la capacité des ressources dont elle dispose, que ce soit au niveau humain, financier ou matériel. Il est donc indispensable que le projet de mise en oeuvre des pratiques préconisées soit le résultat d’une collaboration profonde et efficace entre la haute direction, les directions métiers et la DSI. Il ne s’agit pas d’un projet strictement « informatique » comme beaucoup le croient.

Vous vous focalisez beaucoup trop sur les processus

ITIL V3 décrit 26 processus organisés en cinq étapes de cycle de vie des services. Chaque étape du cycle de vie est décrite dans une publication spécifique – Stratégie des services, Conception des services, Transition des services, Exploitation des services et Amélioration continue des services.

Les descriptions de processus d’ITIL V3 incluent des exemples de flux d’activités typiques. Par exemple, la description de la gestion des changements comprend un diagramme intitulé «Exemple de flux de processus pour un changement normale». Mais bien que les livres contiennent beaucoup d’autres excellents contenus, les exemples de flux de processus semblent avoir acquis leur vie propre. Ils sont clairement identifiés comme des exemples de la manière dont vous pourriez effectuer le travail. Or il existe une fâcheuse tendance à les considérer comme des étapes obligatoires: « ITIL dit que c’est comme ça qu’il faut faire ». FAUX! Ce n’est pas du tout ce que les auteurs, à l’origine, voulaient dire.

Il y a aussi un second problème. La conception de services ITIL décrit «les quatre piliers de la conception de services»: personnes, processus, produits (services, technologie et outils) et partenaires (fournisseurs, fabricants et vendeurs). Or, la quasi-totalité de la littérature publiée concerne les processus. Il y a très peu de conseils sur les personnes, les produits et les partenaires.

Cette insistance sur les processus peut conduire à de très mauvaises utilisations ITIL. Certaines organisations se contentent de documenter les processus et pensent avoir dès lors « implémenté » ITIL! D’autres organisations se concentrent sur quelques processus spécifiques et sont souvent déçues des résultats. Certes on ne peut pas tout mettre en oeuvre mais certaines pratiques ne créent de la valeur qu’associées avec d’autres. Il est donc essentiel de les mettre en oeuvre ensemble. Séparément elles ne créeront pas beaucoup de valeur, voire même elles contribueront à la détruire.

Vous mettez en oeuvre les bonnes pratiques en SILOS

Lorsque les organisations adoptent ITIL V3, elles considèrent souvent chacun des processus comme un ensemble d’activités distinct. Chaque processus a flux d’activités et ces flux sont indépendants les uns des autres. Par contre, les activités nécessaires pour créer de la valeur pour nos clients payants dépendent rarement du bon fonctionnement d’un seul processus en particulier. Le plus souvent, pour satisfaire les clients, nous avons besoin d’une combinaison d’éléments issus de plusieurs processus. Par exemple, la résolution d’un problème qui affecte les utilisateurs d’un service peut nécessiter des activités provenant de:

  • La gestion des incidents pour diagnostiquer les incidents remontés par des utilisateurs individuels et proposer des solutions de contournement,
  • Mais aussi la gestion des problèmes pour analyser les causes sous-jacentes et élaborer des solutions à long terme,
  • Sans oublier la gestion des actifs de service et de la configuration pour fournir les informations nécessaires à la gestion des incidents et des problèmes (notamment pour évaluer les impacts),
  • Ni la gestion financière pour  allouer un budget pour pouvoir développer une solution,
  • Bien sûr la gestion de la disponibilité et la gestion de la capacité pour analyser des solutions alternatives et formuler des recommandations,
  • Ainsi que la gestion des mises en production et du déploiement pour planifier le déploiement d’un correctif logiciel ou d’un composant matériel,
  • Sous le contrôle de la gestion des changement pour évaluer, approuver et surveiller le déploiement du logiciel,
  • Avec le support de la coordination de la conception pour superviser la conception et le développement d’une solution,
  • Et potentiellement beaucoup plus…

Lorsque chacun de ces processus a son propre flux d’activités vu de façon indépendante, cela peut entraîner des délais très longs. Nous l’avons d’ailleurs décrit dans un de nos précédents articles: Les changements à l’heure de DEVOPS. Les très bonnes organisations comprennent comment gérer le flux d’activités entre plusieurs processus. Hélas, ITIL V3 ne fournit pas assez de conseils pour aider les autres à bien faire les choses. En réalité, la V3 ne préconise pas de créer un flux d’activités distinct pour chaque processus. Mais c’est l’approche la plus simple à adopter. C’est donc celle que de nombreuses organisations ont mis en place dans le cadre de leur «implémentation d’ITIL».

Vous n’incluez pas les métiers dans la mise en oeuvre

Les mots ITIL et ITSM commencent par «IT» mais cela ne signifie pas qu’elles ne s’appliquent exclusivement qu’à «des initiatives purement informatiques».

Les équipes informatiques ne peuvent plus travailler en silo et implémenter une ITSM basée sur ITIL sans obtenir l’assentiment de tous les membres de la direction ou de toute personne extérieure au département informatique. C’est une recette imparable pour aboutir à une catastrophe. Le service informatique interagit avec le reste de l’entreprise. Il vous faut donc déterminer ce dont les métiers ont besoin pour réussir. Il faut ensuite déterminer la capacité de l’informatique à répondre à ces besoins. C’est ensuite seulement que l’ITSM peut vous aider

Si vous souhaitez réussir à tirer le meilleur parti d ITIL vous devez arriver à l’expliquer de façon compréhensible pour la haute direction. Mais faites attention, ils ne parlent ni le jargon ITIL ni le jargon informatique. Vous devez donc comprendre comment cela peut être bénéfique pour l’entreprise et être capable de le formuler en « termes commerciaux ». C’est à dire que vos arguments doivent porter sur les trois axes qui les intéressent : bénéfices, risques et ressources. Si vous réussissez à le faire, alors vous aurez le soutien et l’investissement des dirigeants. C’est la seule façon de pouvoir démarrer et réussir votre projet.

L’inclusion d’objectifs métier et la compréhension de la valeur métier par la DSI aideront votre équipe et votre entreprise à adopter ITIL afin de faciliter l’obtention de résultats. C’est bien là l’objectif!

Vous n’avez pas créé une feuille de route et un cas d’affaire pour l’adoption et l’adaptation d’ITIL

L’ITSM et ITIL ne concernent pas uniquement la mise en œuvre de processus pour avoir des processus. Trop d’organisations se concentrent tellement sur la mise en œuvre de processus qu’elles ignorent en quoi ces processus sont nécessaires pour atteindre l’objectif général.

L’objectif est de fournir des services qui apportent une valeur ajoutée à l’entreprise.

Créer une feuille de route et la relier à la valeur métier engendrée vous aidera à adopter les bonnes pratiques ITIL afin de prendre en charge les services et de ne pas mettre en œuvre des processus pour le plaisir de les mettre en œuvre.

Si vous êtes trop rigide et que vous essayez de tout mettre en œuvre en même temps sans autre raison que ce que vous estimez devoir faire, votre équipe résistera. C’est pourquoi tant de professionnels de l’informatique pensent que ITIL est trop bureaucratique. Un de mes clients me décrivait récemment ITIL « comme un monstre de bureaucratie« .

De même, si vous lancez de manière aléatoire certaines approches dans certains projets, personne ne sera en mesure de reconnaître en quoi ITIL améliore votre flux de travail.

Une feuille de route étape par étape vous donnera une idée précises de ce que vous devez faire pour adapter ITIL à vos besoins.

Vous pensez qu’un « bon » outil sera la solution à vos problèmes

Il existe beaucoup d’outils prétendument conçus pour aider à adopter ITIL et ITSM par les organisations.

Mais un outil ne va pas comprendre la valeur de l’informatique ni son incidence sur les résultats de votre entreprise. Un outil ne pourra pas comprendre les besoins spécifiques de chaque entreprise.

Un outil est juste un dispositif utilisé pour exécuter une fonction particulière. Les outils peuvent vous aider dans l’adoption des bonnes pratiques mais ils ne vont certainement pas faire le travail à votre place. Un outil vous servira seulement à automatiser certaines activités de vos processus et permettra la communication entre les activités. Vous devez donc faire tout le travail d’adaptation des bonnes pratiques à votre organisation d’abord. Ensuite vous pourrez regarder sur le marché pour trouver l’outil qui correspond le mieux à vos besoins spécifiques.

Vous n’investissez pas assez dans le conseil et la formation

Il existe de nombreux organismes  de formation proposant des cours ITIL Foundation. De nombreux professionnels de l’informatique réussissent leur certification ITIL. Les mêmes se présentent immédiatement comme des consultants ou des formateurs ITIL. Malheureusement une certification ne garantit absolument pas que vous sachiez appliquer les concepts ITIL.

La vérité est que tout le monde peut lire un guide de l’étudiant et apprendre les concepts ITIL, mais cela ne les mènera pas très loin, pas plus que leur organisation d’ailleurs. Comme nous l’avons dit, ITIL est un guide et non un évangile. Vous devez donc comprendre son impact et son intégration dans votre organisation. La seule façon de le faire est d’investir dans le cours de base ITIL avec un instructeur expérimenté qui peut montrer aux étudiants comment appliquer ITIL dans leur organisation. C’est pourquoi AXELOS préconise de suivre des formations auprès d’ATOs (Accredited Training Organizations) qui sont régulièrement auditées pour vérifier la qualité de leurs formations, bien au delà de la simple certification.

De même, de nombreuses organisations commettent l’erreur d’adapter ITIL sans aucune assistance qualifiée. Cela peut fonctionner pendant un petit bout de temps mais, sans aucun doute, au final le quotidien l’emportera et l’adoption échouera. Le résultat sera alors une perte d’argent et de temps sans retour sur investissement. Un consultant qualifié peut aider à éviter les erreurs courantes et à augmenter la vitesse d’adoption. Par contre un consultant qualifié aura un coût qu’il faut intégrer dans le cas d’affaire de votre projet. Ne vous focalisez pas uniquement les coûts mais essayez de voir la véritable création de valeur que peut vous apporter chaque consultant.

Conclusion : ITIL V4 résoudra-t-il vos problèmes?

ITIL V3 contient de très bons conseils, et de nombreuses organisations l’ont utilisé pour les aider à fournir des services informatiques de manière efficace. Toutefois, certaines faiblesses doivent être résolues pour lui permettre de rester pertinent dans un environnement technologique et commercial en rapide mutation. Il doit aider les organisations à créer une culture plus collaborative capable d’éliminer les silos de processus. Il doit prendre en charge les méthodes de travail modernes, en maintenant de bons processus. Mais il doit le faire en mettant davantage l’accent sur les personnes, la technologie et les fournisseurs.

Si votre entreprise a adopté ITIL V3 et trouve que cela fonctionne bien pour vous, vous n’avez pas besoin de jeter ce que vous avez fait, ni d’apporter des changements soudains et radicaux à votre gestion de l’informatique. Mais vous pensez probablement déjà aux changements que vous devez faire, en raison de l’évolution de votre culture organisationnelle et de l’environnement dans lequel vous opérez. Lors de la publication d’ITIL 4, vous constaterez que la version mise à jour est une excellente ressource pour aider votre organisation à réfléchir aux changements que vous devez faire et à la meilleure façon de les apporter. ITIL V4 vous aidera à réussir la difficile transformation numérique de votre organisation.

 

Crédits : Stuart Rance et Doug Tedder

CISA 12 trucs utiles pour l’examen

Les 12 astuces pour réussir votre CISA

Ca y est vous vous êtes décidé à passer l’examen pour obtenir la certification CISA? Vous savez pourtant que le taux de réussite à l’examen n’est pas très haut alors que le tarif, lui, est plutôt élevé. Malgré cela, l’attrait de cette certification qui figure parmi les plus recherchées par les Entreprises et parmi les 6 certifications les plus rémunératrices vous a convaincu. Bienvenue au club!!! Maintenant vous voilà pris au piège. De plus vous êtes condamné à réussir l’examen pour ne pas perdre vos frais d’inscription. Nous allons essayer de vous aider avec quelques conseils pratiques.

CISA - 12 trucs utiles pour réussir la certification
Crédit © Studio Grand Ouest

Pourquoi tenter le CISA?

Le monde de l’audit des systèmes d’information s’est développé à une vitesse vertigineuse ces dernières années. Par conséquent la demande pour les auditeurs des SI et des professionnels de la sécurité a explosé. Récemment, le champ d’application pour les professionnels certifiés CISA s’est élargi, encourageant un plus grand nombre de professionnels de la sécurité à passer l’examen CISA. Il en résulte donc une demande en forte hausse pour les détenteurs de certification CISA.

La plupart des Banques Centrales et des instituts financiers à travers le monde ont commencé à embaucher des professionnels certifiés CISA pour réaliser des audits de sécurité efficaces. Cela s’accompagne d’une hausse des salaires correspondant. Les salaires des titulaires du CISA se situent parmi les plus élevés dans le domaine de la sécurité. C’est également vrai sur l’ensemble du secteur de l’informatique en général.

Aujourd’hui, plus de 125.000 professionnels dans le monde ont réussi cette certification. Parmi eux, près de 3.000 sont membres d’un comité de direction (DG, DAF ou équivalent). Le CISA est exigé comme pré-requis pour être embauché par les plus grands cabinets d’audit internationaux. Peut-être sont-ce ces raisons qui ont influencé votre décision? Par contre, inutile de vous leurrer, votre probabilité de réussite à l’examen, sans préparation préalable, reste extrêmement faible.

CISA, une certification difficile à obtenir

L’examen CISA est connu pour être difficile. De ce fait, il présente un taux de réussite assez faible. L’ISACA, organisme qui administre l’examen, a cessé de publier des informations sur les taux de réussite au cours des dernières années. Toutefois, les retours des candidats, après réception de leurs résultats, laissent apparaître un taux global de réussite d’environ 40 à 50%. Ce taux dépend également des régions du monde.

Qu’est-ce qui rend l’examen et la certification si difficiles?

La question revient souvent : pourquoi l’examen du CISA est-il aussi coriace? Voici quelques éléments de réponse:

  1. Le CISA est désormais un examen au format électronique. Il comporte 150 questions, souvent basées sur un mini-scénario. Contrairement à la plupart des examens de certification spécifiques d’autres fournisseurs (ITIL, PRINCE2, DEVOPS, ISO 27001, etc.) la nature même du CISA fait que les candidats avec peu ou pas d’expérience sont rapidement mis en difficulté.
  2. Aucun pré-requis explicite n’est exigé par l’ISACA pour passer l’examen. Cela signifie que de nombreux candidats « occasionnels » issus d’une grande variété de milieux (informaticiens, comptables, auditeurs, professionnels de la sécurité et bien d’autres encore) s’inscrivent à l’examen, créant de ce fait une concurrence artificielle.
  3. La formulation des questions est souvent ambiguë et subjective. De nombreux candidats se plaignent des exemples de questions proposés par ISACA. Ils les trouvent trop vagues et pas toujours pertinents comparativement à l’examen écrit réel. C’est là une caractéristique de l’ISACA. Il faut se mettre dans le mode de raisonnement des auteurs de l’examen.
  4. L’accent est souvent mis sur l’apprentissage par cœur et la mémorisation. Une remarque récurrente des candidats porte sur ce point. Les questions d’examen CISA requièrent la connaissance parfaite du vocabulaire spécifique en matière de sécurité du SI.

Pourquoi un taux d’échec aussi important?

L’examen est bien moins difficile que cela n’est habituellement perçu. Pourtant des milliers de candidats échouent à leur première tentative. Les experts identifient tout un ensemble de raisons.

  • Les candidats ayant une formation technique ou technologique se heurtent souvent aux concepts de gouvernance et d’audit. Bien que le savoir-faire technique soit important, la capacité à auditer et gérer les processus de sécurité est absolument fondamentale pour le CISA.
  • A l’opposé, les candidats issus du monde de l’audit et de la comptabilité ont du mal avec les aspects techniques de l’examen. Les étudiants issus de ces domaines devraient mieux comprendre les concepts et les objectifs de base du programme d’étude.
  • Beaucoup de candidats expérimentés s’obstinent à utiliser leur propre approche pour aborder les questions et les scénarios difficiles de l’examen, refusant l’approche standard prescrite par l’ISACA.

Alors, comment se prépare-t-on à l’examen CISA?

Passons maintenant aux conseils pratiques. Voici les points les plus importants à garder à l’esprit avant de commencer votre préparation à l’examen CISA.

1. Etudier religieusement le CISA Review Manual

Manuel de préparation au CISAISACA propose le CISA Review Manual (CRM) qui sert de guide unique et complet pour l’examen. C’est l’ouvrage de référence conçu pour guider les candidats au CISA, Il fournit tous les détails relatifs à l’examen ainsi que la définition des rôles et des responsabilités d’un auditeur des systèmes d’information. Globalement, ce manuel est le meilleur guide d’auto-apprentissage pour les aspirants CISA. Il est recommandé de le lire de façon exhaustive au moins deux fois avant de se présenter à l’examen. A noter toutefois sa taille (plus de 500 pages) et sa présentation pour le moins austère. Si vous êtes un amateur de bandes dessinées, vous vous êtes clairement trompé de rayon! Ce manuel existe dans plusieurs langues dont l’Anglais et le Français.

2. Pratiquer intensivement les question de la base de données de préparation

Pratiquer les questions de révision est absolument obligatoire si vous voulez réussir l’examen. La base de données des questions d’examen proposée par ISACA est une ressource en ligne interactive et complète de 1000 questions pratiques avec les réponses et les explications. L’accès pendant 12 mois à la base de données est disponible au prix de 185 $ (pour les membres) et 225 $ (pour les non-membres). Attention cependant, il n’existe pas de version en Français.

Les futurs candidats peuvent utiliser les questions et les réponses de l’échantillon pour mieux comprendre les concepts et les sujets difficiles afin d’améliorer le niveau de leur préparation. Ces questions et réponses d’examen sont conçus pour offrir une vue d’ensemble de l’examen CISA. La base de données  de questions et réponses est mise à jour en alignement avec l’évolution du monde de l’audit de sécurité.

 3. Pensez comme le ferait un auditeur ou un comptable

La nature même de l’examen exige que vous pensiez comme un auditeur informatique ou même un comptable. Ne réfléchissez pas comme un candidat à un examen. La raison? Parce que l’accent est mis sur les applications du monde réel, vous devez mettre en avant vos aptitudes à prendre les bonnes décisions sur la base de scénarios. Face à des problèmes hypothétiques, vous devez apprendre à gérer, évaluer et prioriser des tâches multiples en vue de créer un bénéfice.

4. Utilisez au mieux les ressources gratuites de l’ISACA

Le site Web de l’ISACA offre une diversité de ressources libres de droit, utiles pour préparer le passage de l’examen. En voici quelques unes avec les liens pour y accéder.

5. Mettez les blogs et articles relatifs au CISA sur votre liste de lectures

Les candidats peuvent également tirer profit d’autres blogs et d’un grand nombre d’articles disponibles en ligne. Ils peuvent aider les candidats à mieux aborder les questions des domaines de connaissances récemment mises à jour. Certains blogs tenus par des contributeurs réguliers constituent également un ensemble de ressources à ne pas négliger. Parmi ceux-ci citons les blogs de l’ISACA et celui de Risk3sixty.

Si vous trouvez un site particulièrement intéressant pour les candidats, vous pouvez le partager en nous adressant un commentaire que nous publierons avec grand plaisir.

6. Une expérience pratique de l’audit est importante

Pour réussir votre certification CISA, une expérience pratique dans le domaine de la Sécurité IT est un plus extrêmement utile. Bien que similaires à des audits financiers ou des actifs, les audits IT ont une portée très différente. Ils traitent principalement des informations. Un candidat au CISA doit avoir une idée précise des processus business. Il doit, de plus, être familier avec la définition du périmètre, la planification de la vérification et les rapports d’audit.

Une simple expérience des processus de Sécurité de l’Information sera une aide importante. Dans la mesure du possible, rapprochez-vous des professionnels de l’audit informatique ou du département sécurité de l’information dans votre organisation actuelle. Profitez-en pour vous familiariser avec les rôles, les responsabilités et les activités quotidiennes concernées par le CISA. N’oubliez pas également de vous informer sur les autres activités en matière de sécurité.

7. Planifiez sérieusement votre préparation

La gestion de votre temps d’apprentissage et une bonne répartition du temps par domaine sont essentielles pour réussir l’examen. Vous êtes un professionnel du domaine? Alors prévoyez de démarrer votre préparation 3 à 5 mois avant l’examen. Prévoyez de consacrer au moins 1 à 2 heures d’étude sur une base régulière (quotidiennement ou 3 fois par semaine).

En outre, nous vous recommandons d’adapter votre préparation en fonction de votre parcours professionnel et de votre niveau d’expérience:

  •  Auditeur IT avec beaucoup d’expérience : 30 à 45 jours de préparation en vous appuyant sur le manuel de préparation au CISA et les questions d’examen avec réponses et explications. Prévoyez de revoir la totalité des domaines.
  • Professionnel de l’audit avec un peu d’expérience : prévoyez au moins 90 jours de préparation en vous appuyant sur le manuel de préparation au CISA et les questions d’examen avec réponses et explications. Mettez l’accent sur les domaines relatifs à la technologie.
  • Candidat sans réelle expérience des domaines couverts par le CISA : prévoyez au minimum 180 jours de préparation en vous appuyant sur l’ensemble des ressources disponibles. Ne négligez aucun des domaines.

Nos formateurs expérimentés sur le CISA vous conseillent de décomposer votre temps de préparation de la façon suivante :

  • 35 à 45% sur le manuel,
  • 15 à 20% sur le coaching,
  • et enfin 35 à 40% sur les examens de simulation et des tests pratiques.

8. Soyez adaptable, gardez l’esprit ouvert

Dans le cadre du CISA, si je devais vous donner un seul conseil, ce serait de désapprendre ce que vous avez appris. C’est presque aussi important que l’apprentissage du contenu même des concepts à retenir pour l’examen. L’industrie informatique est dynamique et en constante évolution. Par conséquent, il en va de même des principes et des techniques d’audit des systèmes d’information.

Lors de la préparation et lors du passage de l’examen, il est vital de garder un esprit ouvert, réceptif aux idées nouvelles et novatrices, et une position neutre sur des développements qui semblent aller à l’encontre de la norme établie. Le manuel CISA est maintenu à jour avec tous ces changements. Par conséquent, l’étude approfondie du manuel constitue une première étape incontournable de votre préparation.

9. Apprenez à gérer votre temps à l’examen

Comme dans le cas des autres examens, la réussite au CISA est également dépendante de la façon et de l’efficacité à gérer votre temps. Un commentaire courant  des candidats ayant échoué à l’examen porte un manque de temps pour terminer l’ensemble des questions. Cela traduit une mauvaise gestion du temps pour répondre à toutes les questions.. En examinant les documents de questions des années précédentes et les examens blancs, vous devez concevoir une stratégie de passage avec des estimations sur la quantité de temps à passer par question et par domaine, de façon à pouvoir répondre à la totalité des questions.

Après tout, ce qu’on attend d’un certifié CISA c’est bien d’être capable de prendre des décisions rapides, pragmatiques et efficaces. La gestion de votre temps à l’examen pour maximiser votre score constitue la première pierre de l’édifice.

CISA - Astuce pro

 10. Participez à des groupes de discussion et des forums

Les candidats peuvent se joindre à des groupes de discussion et des forums pour interagir avec d’autres candidats et certifiés. Il existe plusieurs forums de discussion sur la certification CISA sur le web. Ces plates-formes peuvent vous apporter des connaissances à la fois théoriques et pratiques sur l’audit du SI. Elles contribuent à améliorer la compréhension des concepts et leur application dans le monde réel.

11. Suivez un atelier de préparation à l’examen CISA

Un certain nombre d’organismes de formation accrédités proposent des ateliers de préparation au CISA sous forme de sessions en présentiel ou de cours en ligne. L’inscription et la participation à un cours de formation bien structuré et complet est fortement recommandée. Une session de formation se compose de présentations par des experts et de discussions en classe. L’interaction avec des professionnels de la sécurité expérimentés, venant de diverses parties du monde, constitue un atout exceptionnel pour vous mener à la réussite.

Leader de la formation professionnelle certifiante dans les domaines de la Gouvernance, du Management et de la  Sécurité en Afrique, 2AB & Associates vous propose des sessions de préparation au CISA en présentiel, alignées avec les exigences de l’examen. Elles sont toujours animées par des professionnels internationalement reconnus. Pour en savoir plus, visitez la page CISA – Atelier de préparation sur notre site.

L’ISACA propose également des cours de révision pour les candidats qui se sont inscrits à l’examen. Si vous trouvez l’apprentissage individuel difficile compte tenu de vos contraintes professionnelles et personnelles, vous pouvez participer à une session de révision proposée par un des chapitres de l’ISACA. Pour plus d’informations, visitez le site web de l’ISACA.

 12. Adaptez votre raisonnement au mode de pensée de l’ISACA

En particulier pour les candidats qui passent l’examen CISA dans une langue autre que leur langue maternelle, certaines questions peuvent être déroutantes. Les QCM à composition non limitée et l’étude de cas présentent généralement des choix subjectifs. Ils font souvent appel à un raisonnement verbal pour en déduire les attentes et arriver aux bonnes réponses. Vous sentez que vos compétences en raisonnement verbal ne sont pas tout à fait à la hauteur? Alors vous gagnerez sans aucun doute à suivre un atelier de préparation à l’examen.

CISA - Astuce Pro

En conclusion

Il s’agit clairement d’un examen difficile. Mais, grâce à une bonne planification, un travail acharné et de bons conseils, la réussite à la première tentative est tout à fait possible. Si vous suivez les conseils présentés dans cet article et concevez un plan de préparation adapté à vos propres besoins spécifiques, l’examen est à votre portée.

Et vous, comment avez-vous préparé votre examen? Avez-vous éprouvé des difficultés? Quels conseils donneriez-vous aux nouveaux candidats? Comment jugez-vous cette certification? Merci de nous donner votre avis en commentaire. Cela aidera sûrement beaucoup de candidats à mieux se préparer.

Vous avez réussi votre CISA? N’hésitez pas à partager la bonne nouvelle sur ce blog. Vous serez peut-être alors sollicité(e) pour partager votre expérience avec les autres candidats…

CISA : le booster de votre carrière

CISA, pourquoi il est si important

A l’heure où CISM et CISSP apparaissent comme les qualifications indispensables pour atteindre un niveau de senior management dans la sécurité de l’information, beaucoup de participants à nos formations nous posent la question: Où CISA se positionne-t-il dans mon plan de carrière? Ou bien: Est-ce que la qualification CISA est uniquement destinée aux auditeurs informatiques?

 CISA en quelques chiffres

Les chiffres parlent d’eux-mêmes et répondent aux interrogations.

Introduite en 1978, la qualification Certified Information Systems Auditor (CISA) est la doyenne des certifications de l’ISACA. Elle est actuellement détenue par plus de 125.000 professionnels de l’informatique dans le monde entier. Elle est mondialement reconnue comme une preuve de compétence et d’expérience en matière d’assurance que les actifs critiques de l’Entreprise sont sécurisés et disponibles.

Les membres du Conseil d’Administration des grandes Entreprises souhaitent s’assurer que leur Organisation est protégée contre les risques de cybercriminalité. En un mot, ils comptent sur leurs Managers qualifiés CISA pour cela. CISA reste, en 2016, l’une des six certifications les mieux rémunérées pour la deuxième année consécutive, selon l’enquête sur les compétences et les salaires IT de Global Knowledge.

Les cinq domaines du CISA

Il ne s’agit pas là d’une qualification de niveau initial telles qu’elles existent dans d’autres domaines tels que ITIL, COBIT, PRINCE2, etc. Les qualifications de niveau initial, généralement appelées Foundation permettent uniquement de valider la connaissance de concepts généraux et d’un vocabulaire. C’est donc uniquement une preuve de connaissance d’une documentation et en aucun cas une preuve de compétence. Par contre, c’est clairement un pré-requis pour avancer dans l’apprentissage, mais en aucun cas un visa pour la mise en oeuvre. Combien de projets ont échoué car confiés à des incompétents pourtant titulaires d’une certification de niveau Foundation… La compétence s’appuie certes sur la connaissance mais aussi et surtout sur l’expérience. C’est d’ailleurs l’un des 7 facilitateurs de COBIT 5 pour une bonne gouvernance et un management performant des Entreprises.

COBIT 5, également publié par l’ISACA, constitue le socle de la certification CISA. Il n’y a donc rien de surprenant à ce que celle-ci soutienne le facilitateur « People, Skills et Competencies » de COBIT. La qualification CISA est attribuée aux candidats ayant réussi un examen écrit rigoureux et faisant, de plus, la preuve d’au moins cinq ans d’expérience pertinente sur les cinq domaines de connaissance suivants:

  1. Le processus d’audit des systèmes d’information
  2. Gouvernance et Gestion des information et des technologies associées
  3. Systèmes d’information – Acquisition, développement et mise en œuvre
  4. Exploitation, maintenance et support des Systèmes d’Information
  5. Protection des actifs informationnels

A qui s’adresse la certification CISA?

L’ISACA met principalement l’accent, dans le cadre du CISA, sur trois rôles particulièrement critiques pour la réussite d’une Entreprise.

Les auditeurs du Système d’Information

CISA vous permet d’être reconnu(e), non seulement au niveau local ou national, mais aussi au niveau international, en tant que professionnel avec les connaissances, les compétences et la crédibilité pour vérifier tous les domaines liés aux systèmes d’information et délivrer des recommandations et des solutions. Le rôle d’auditeur ne se limite pas à la réalisation d’une vérification et à la fourniture des résultats. Une partie, peut-être la plus importante, consiste à donner des recommandations et à faire le suivi de leur mise en oeuvre. C’est là un point souvent incompris.

Les professionnels de Gouvernance du SI

CISA assure les parties prenantes de vos capacités à identifier les problèmes critiques pour l’Entreprise. Il rassure également sur vos compétences à recommander des pratiques personnalisées spécifiques à l’Entreprise pour soutenir et garantir la Gouvernance de l’Information et des technologies associées.

Les professionnels de la Sécurité de l’Information

CISA démontre votre expérience pour aider les entreprises dans un contexte légal et réglementaire complexe et en constante évolution. Il confirme aussi votre parfaite connaissance et votre expertise en matière de normes internationales. Enfin la qualification CISA confirme votre aptitude à réduire la complexité et les délais de gestion des vulnérabilités, à mesurer la sécurité et assurer la conformité. CISA est conçu pour être complémentaire à la qualification ISACA Certified Management Information Security (CISM).

Comment réussir la certification CISA?

La prochaine session d’examen CISA en 2016 se tiendra le 10 décembre 2016. Il ne vous reste que quelques jours pour vous inscrire avant la date limite d’inscription finale fixée au 21 Octobre. Pour vous préparer à l’examen, vous aurez certainement besoin d’acheter et de lire les manuels CISA Review, 26e édition et CISA Review Questions, Manuel des questions et d’explications, 11e édition.

Je vous recommande également, compte tenu de la difficulté de l’examen et du taux d’échec élevé d’envisager d’assister à notre Atelier de Préparation à l’examen CISA. Nous vous proposons deux ateliers, à Abidjan du 7 au 11 Novembre et Paris du 28 Novembre au 2 Décembre. Cet atelier a une durée de cinq jours (un jour par domaine). Il vous préparera efficacement à une meilleure compréhension du vocabulaire, des concepts et surtout à la compréhension des questions d’examen. A noter que les manuels mentionnés ci-dessus sont offerts dans le cadre de notre atelier de préparation à l’examen.

Vous avez des questions? Vous doutez toujours de l’intérêt pour votre cas personnel? N’hésitez pas à nous laisser votre commentaire et nous nous ferons un plaisir de vous répondre.

DSI en 2015 : quel est le bon profil?

Responsable de la stratégie informatique de l’entreprise, le DSI n’a pas seulement besoin de connaissances en informatique. Il doit d’abord être un organisateur, un manager et un leader. Voire un visionnaire. Alors quel profil choisir pour ce rôle : informaticien expérimenté ou pas? Votre DSI est-il la personne qui convient pour ce poste?

réunion DSI

Le challenge de l’Entreprise du 21ème siècle réside dans sa capacité d’innovation face à un marché extrêmement dynamique sur lequel les positions compétitives sont en constante évolution. La mondialisation de l’économie apporte toujours plus de concurrence et toujours plus d’informations à compiler pour être à la hauteur du challenge. Dans un monde où l’information est la clé de la création de valeur, il est clair que la capacité de l’Entreprise à gérer cette information revêt une importance stratégique. Fini le temps où le département informatique ne servait que de support au Business. Aujourd’hui son rôle est plus orienté vers l’innovation et le leadership stratégique. Le rôle du DSI a donc considérablement évolué ces dernières années pour passer de celui d’un super-technicien capable de mettre en place une équipe de « pompiers » en charge de résoudre des incidents et de garantir la disponibilité des service IT aux métiers pour soutenir leur activité opérationnelle génératrice de valeur, vers celui de leader stratégique, capable de travailler avec les métiers sur de nouveaux axes de productivité s’appuyant sur la transformation permanente de l’Entreprise en vue de son adaptation à l’environnement concurrentiel.

Les compétences requises pour un DSI ont bien évidemment évolué dans ce sens. Le DSI du 21ème siècle est donc d’abord un stratège, un manager doté d’un fort leadership et un visionnaire capable d’imaginer avec les métiers de l’Entreprise quels seront ses marchés de demain, afin de permettre à ces derniers d’occuper ces nouveaux marchés avant leurs concurrents. Y a-t-il encore besoin d’être un informaticien pour occuper le poste de DSI? Rien n’est moins sûr.

Une révolution technologique et culturelle est en cours

La mobilité et le Cloud sont en train de remodeler de façon fondamentale l’informatique d’entreprise. Ils ont déjà changé la relation globale entre l’informatique et le reste de l’organisation. Cette nouvelle façon de gérer l’information est devenue à la fois un défi et une immense opportunité pour les DSIs, mais saisir cette opportunité exige un changement de culture, de mentalité et de compétences. Pour réussir, le DSI et le personnel du département informatique doivent travailler main dans la main avec le business dans un vrai partenariat basé sur une relation de confiance.

Age du boulierLes attentes de pouvoir travailler en utilisant les outils les mieux adaptés à leurs besoins, et la capacité de mener en parallèle des tâches personnelles et  des tâches de leur Entreprise au travail, mais aussi à la maison, tout en préservant la confidentialité des renseignements personnels sont devenues la norme pour une majorité d’employés.

Cette nouvelle organisation engendre des risques importants au niveau de la sécurité des informations et de la résilience de l’Entreprise. Il est donc vital que le DSI soit également un véritable gestionnaire des risques d’Entreprise afin d’inclure les aspects liés à la cyber-résilience dans sa stratégie.

Quel est le rôle d’un DSI?

COBIT® 5 décrit le DSI comme étant « le plus haut dirigeant de l’entreprise en charge de l’alignement des stratégies IT et des stratégies d’affaires. Il est également responsable de la planification, des ressources et de la gestion de la livraison des services informatiques ainsi que des solutions pour soutenir les objectifs de l’entreprise ».

En d’autres termes, son rôle, en coopération avec l’ensemble des membres du Comité de Direction, consiste à participer à l’élaboration des stratégies Business et à s’assurer que les stratégies IT sont bien « embarquées » (ou alignées) avec celles de l’Entreprise. La stratégie IT devra ensuite être validée et approuvée par le Comité Stratégique qui répond au Conseil d’Administration.

COBIT® 5 décrit le Comité Stratégique comme « un groupe de hauts dirigeants nommés par le conseil d’administration afin de s’assurer que ce dernier participe aux grands dossiers et décisions liés à l’IT, et qu’il en est tenu informé. Le comité est responsable de gérer les portefeuilles d’investissements en informatique, les services informatiques et les actifs informatiques en veillant à la création de valeur et que le risque soit géré. Le comité est généralement présidé par un membre du Conseil d’Administration et non par le Directeur du Système d’Information« .

Le DSI est chargé d’identifier les domaines potentiels de croissance qui auront un besoin accru du soutien informatique, et de diriger la conception et l’exécution d’une stratégie Informatique qui construit ces fonctions essentielles dans le domaine IT. En d’autres termes, le DSI a donc comme rôle d’élaborer la stratégie IT (« Responsible »), en alignement avec les stratégies Business en vue de satisfaire les objectifs de l’Entreprise qui eux-mêmes se déclinent de la mission qui lui a été assignée par le Conseil d’Administration. Le Comité Stratégique a, pour sa part, la charge de valider l’ensemble des stratégies et de s’assurer de leur alignement.

Une fois les stratégies validées, le DSI répond (est « Accountable ») de la livraison des solutions et des services définis dans la stratégie. Sa première responsabilité sera donc de rédiger et de faire appliquer la Politique Informatique. Pour cela il devra gérer les risques IT dans la limite de l’appétit du risque de l’Entreprise, négocier et implémenter des contrats complexes, notamment en matière de sous-traitance, transmettre la politique en vue de son application à son Senior Management qui la traduira en processus, et s’assurer de la résilience du système informatique, incluant les aspects de sécurité, d’intégrité et de confidentialité, ainsi que de s’assurer de la conformité légale et réglementaire.

Les aptitudes et compétences requises pour un DSI

Pour remplir son rôle, le DSI devra donc faire montre d’aptitudes et de compétences correspondant aux responsabilités qui lui sont assignées.

1. Alignement des stratégies du système d’information et des métiers de l’entreprise

Cela signifie être capable de:

  • Anticiper les besoins de l’entreprise à long terme
  • Améliorer l’efficacité et l’efficience des processus de l’organisation
  • Déterminer le modèle de système d’information et l’architecture d’entreprise alignés avec la politique de l’Organisation et assurer un environnement sécurisé
  • Prendre des décisions stratégiques pour la politique informatique au niveau de l’Entreprise, y compris au niveau des stratégies de sourcing
  • Faire preuve de leadership pour la construction et la mise en œuvre de solutions innovantes sur les long terme

2. Gouvernance du Système d’Information

Cela signifie être capable de:

  • Faire preuve de leadership concernant la stratégie de gouvernance informatique en communiquant, propageant et contrôlant les processus pertinents du département informatique entier
  • Définir, déployer et contrôler la Management des Systèmes d’Information en ligne avec les impératifs Business
  • Prendre en compte tous les paramètres internes et externes tels que la législation et le respect de normes de l’industrie pour optimiser les risques et le déploiement de ressources en vue de générer un bénéfice Business équilibré.

3. Gestion des relations avec les métiers

Cela signifie être capable de:

  • Identifier les relations clés qui devraient être initiées pour comprendre les exigences informatiques du Business
  • Promouvoir la vision et les opportunités que la technologie peut présenter pour l’entreprise, y compris la possibilité de transformation et son impact probable sur le Business
  • Diriger la conception d’une procédure pratique permettant de maintenir des relations positives avec le Business

4. Développement du Business Plan

Cela signifie être capable de:

  • Fournir un leadership stratégique pour le développement de Business Plans pour exploiter au mieux les capacités des technologie de l’information afin de répondre aux besoins des métiers
  • Considérer les modèles possibles et applicables de sourcing
  • Présenter une analyse coûts/bénéfices et des arguments justifiables à l’appui de la stratégie choisie
  • Communiquer et vendre le Business Plan aux parties prenantes de l’Enterprise en tenant compte des intérêts politiques, financiers, et organisationnels.

5. Management des risques métiers liés à l’informatique

Cela signifie être capable de:

  • Diriger la définition d’une politique de gestion des risques en tenant compte de toutes les contraintes possibles, y compris les questions techniques, économiques et politiques
  • Mettre en œuvre la gestion des risques au niveau du Système d’information grâce à l’application des politiques et procédures de gestion des risques
  • Évaluer les risques pour le Business de l’organisation, y compris au niveau d’Internet, du Cloud et des appareils mobiles
  • Documenter les risques potentiels et les plans de réponse.

6. Leadership et travail d’équipe

Cela signifie être capable de:

  • Renforcer l’engagement sur une vision partagée afin de fournir des services client de qualité
  • Encouragez les personnels à prendre des décisions de façon indépendante et à assumer le leadership dans leur domaine d’expertise
  • Vaincre, grâce à sa performance, à la confiance qui lui est faite et au soutien à son leadership
  • Créer un environnement dans lequel les membres de l’équipe sont des moteurs pour améliorer performances et la productivité
  • Veiller à ce que les liens appropriés / partenariats entre les équipes soient maintenues.

7. Gestion Financière

Cela signifie être capable de:

  • Assurer la gestion financière stratégique des finances, le financement du capital / hors trésorerie, l’amortissement des coûts de projet, la gestion d’exercice, la gestion du coût du capital.

Alors avez-vous le bon profil pour être DSI en 2015?

Compétences requises pour un DSILe DSI, par essence, doit absolument être membre du Comité de Direction car c’est à ce niveau que se situent les responsabilités de Gouvernance et de Stratégie. Au niveau du savoir être, il doit être capable de travailler en équipe avec les autres membres du Comité de Direction et savoir se concentrer sur ce qu’il convient de faire (la stratégie et la rédaction de politiques) plutôt que sur comment on va le faire (les processus et les procédures). Le « comment » relève de la responsabilité du Senior Management.

Sur la base des éléments décrits précédemment, il est clair que le DSI de 2015 n’est pas un « informaticien » ayant un profil technique et ayant gravi les échelons pour arriver à ce poste en fin de carrière. Il doit s’agir avant tout d’un stratège, d’un manager complet, d’un organisateur, d’un leader et d’un visionnaire. Ce type de profil ne correspond pas du tout au profil d’un ingénieur informaticien mais plutôt à celui d’une personne issue d’une grande école de management ou de commerce avec une expérience réussie de quelques années à un poste de senior manager ou de membre d’un Comité de Direction.

Quelques formations et certifications viendront idéalement compléter les aptitudes et les compétences du DSI, sur la base des référentiels de bonnes pratiques universellement utilisés dans ce domaine.

Voici quelques unes des formations et certifications typiquement destinées à un profils de DSI :

COBIT® pour le Board et les Exécutifs (1 jour) : les responsabilités de gouvernance et de management du système d’information et comment réaliser l’alignement avec les attentes des actionnaires/propriétaires, les objectifs de l’Entreprise et la Stratégie Informatique.

COBIT® 5 Foundation (3 jours) : les fondamentaux de la gouvernance et du management des systèmes d’informations, incluant comment en implémenter les facilitateurs et évaluer leur aptitude à supporter la mission de l’Entreprise.

RESILIA Foundation (3 jours) : les fondamentaux de la cyber-résilience, incluant la cyber-sécurité, et notamment comment intégrer la cyber-résilience dans la stratégie informatique.

ITIL® Service strategy (3 jours) : formation de niveau « intermediate » du cursus ITIL, la qualification Stratégie de Service (SS) est l’un des cinq modules du cycle de vie des services ITIL et vous fournit les conseils vous permettant de concevoir, développer et mettre en œuvre la stratégie de fournisseur de service en alignement avec la stratégie de l’Entreprise.

AB Consulting, seul Organisme de Formation Accrédité (ATO) par l’ISACA et AXELOS sur la totalité de ces domaines en Afrique, vous propose l’ensemble de ces formations et certifications. Nous pouvons également vous aider au travers de nos services de coaching et d’accompagnement sur ces aspects ainsi que réaliser à votre demande des évaluation d’aptitude de votre système de management ou de votre système de gouvernance.

Pour plus d’informations ou pour vous abonner à notre newsletter, merci de compléter le formulaire de contact:

Catégories

Archives

Calendrier

février 2019
L M M J V S D
« Jan    
 123
45678910
11121314151617
18192021222324
25262728  
%d blogueurs aiment cette page :