Home » Posts tagged 'COBIT'

Tag Archives: COBIT

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

RGPD/GDPR : appuyez-vous sur COBIT

Dans notre précédent article intitulé RGPD/GDPR ; Les changements au 25 Mai 2018, nous vous avons proposé 10 axes clés pour devenir conforme au RGPD. La mise en conformité est, par définition, un projet transversal relevant de la gouvernance de l’Entreprise. Or, dès lors qu’on parle de Gouvernance, le référentiel susceptible de nous aider est COBIT 5. Dans quelle mesure, COBIT 5 peut-il nous aider à mettre en oeuvre le RGPD (GDPR) via ses 7 facilitateurs, en s’appuyant sur les 5 principes de la Gouvernance?

RGPD : comment COBIT peut vous aider
Crédits : Tatyana – Fotolia.com

Le RGPD (GDPR en Anglais) contient 99 articles définissant les exigences et les droits accordés aux citoyens de l’UE. Le RGPD (/GDPR) décrit également la structure de conformité et pénalités pour non-conformité. Chaque organisation a besoin de bien comprendre le RGPD (/GDPR) et de déterminer ses prochaines actions. Nous allons, pour les principaux sujets de préoccupation, décrire comment l’approche COBIT peut vous aider à y répondre.

Quel rapport en tre RGPD (GDPR) et COBIT?

Le RGPD (GDPR en Anglais) est une Règlementation Européenne destinée à la protection des renseignements et des données personnelles des citoyens de l’Union. Il s’agit donc d’une loi, applicable à toute entreprise ou organisme, public ou privé, dans l’Espace Economique Européen. Cette loi est entrée en vigueur le 4 Mai 2016 (date de publication au journal officiel de l’Union Européenne) . La Commission Européenne a accordé  deux ans de grâce aux Etats et aux organisations pour se mettre en conformité. Ce délai de grâce expire le 25 Mai 2018. Par conséquent, les sanctions prévues par loi vont s’appliquer à compter cette date. De plus, il faut reconnaître que les sanctions prévues sont dissuasives (jusqu’à 4% du chiffre d’affaires mondial annuel pour les grandes entreprises et 20 Millions d’Euros pour les TPE et PME).

Malheureusement, comme d’habitude, les organisations des pays francophones ont attendu le dernier moment pour se préoccuper de leur mise en conformité. Aussi, à un mois de l’échéance, beaucoup d’entre elles commencent seulement à se poser la question. De plus, elles pensent, de façon totalement erronée, qu’il s’agit simplement d’un projet informatique de plus.

La conformité légale et réglementaire est, par essence, un sujet de Gouvernance des Entreprises. Dans le cas précis du RGPD, il s’agit de Gouvernance du Système d’Informations. Or le référentiel de Gouvernance du Système d’Informations, reconnu dans le monde entier, n’est autre que COBIT 5. Il apparaît donc clairement que COBIT 5 peut nous aider efficacement à mettre en oeuvre des exigences du RGPD (GDPR).

Quelques exigences clés du RGPD (GDPR)

Identification des données présentant un risque élevé et analyses d’impact

Les entreprises ont désormais l’obligation effectuer des analyses d’impact sur la protection des données (DPIA) lors de l’utilisation de nouvelles technologies ou lors du lancement de nouveaux projets, pour toute donnée présentant un risque élevé pour les droits et libertés des citoyens de l’UE. Ces analyses d’impact doivent également décrire comment l’entreprise entend aborder le risque grâce à un traitement systématique et étendu ou via des activités de surveillance. Donc, cela s’apparente à une évaluation traditionnelle des risques qui analyse les risques et les mesures en place pour y remédier. Ainsi, il est simple, en nous appuyant sur la cascade d’objectifs, d’identifier les processus primaires de COBIT à considérer:

  • EDM02 Ensure Benefits Delivery ;
  • EDM04 Ensure Risk Optimization ;
  • APO11 Manage Quality ;
  • APO12 Manage Risk ;
  • APO13 Manage Security ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Protection, traitement et stockage des données personnelles

Les données personnelles de chaque personne concernée doivent être traitées de manière transparente, et uniquement pour les finalités spécifiées. L’Entreprise doit garantir un niveau « raisonnable » de protection des données et des renseignements personnels. Les données doivent être traitées en toute sécurité pour se protéger contre tout accès non autorisé, perte ou dommage. Des mesures techniques et organisationnelles appropriées doivent être mises en oeuvre. Le RGPD (GDPR) ne définit pas ce que cela signifie de façon précise. Il est cependant clair que si les données sont perdues ou volées, l’entreprise est manifestement en violation de la conformité. Les principaux processus COBIT à considérer sont donc les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO02 Manage Strategy ;
  • APO03 Manage Enterprise Architecture ;
  • APO10 Manage Suppliers ;
  • BAI01 Manage Programs and Projects ;
  • BAI02 Manage Requirements Definition ;
  • BAI03 Manage Solutions Identification and Build ;
  • BAI04 Manage Availability and Capacity ;
  • BAI06 Manage Changes ;
  • BAI07 Manage Change Acceptance and Transitioning ;
  • BAI08 Manage Knowledge ;
  • BAI09 Manage Assets ;
  • BAI10 Manage Configuration.

Consentement, portabilité, droit d’accès et droit à l’oubli

Les individus doivent donner leur consentement explicite concernant le traitement de leurs données personnelles. Rappelons que le RGPD (GDPR) considère comme traitements la collecte initialel’enregistrementl’organisationla structurationla conservationl’adaptation ou la modificationl’extractionla consultationl’utilisationla communication par transmissionla diffusion ou toute autre forme de mise à dispositionle rapprochement ou l’interconnexionla limitationl’effacement jusqu’à la destruction.

Ces personnes (« les personnes concernées ») ont le droit de savoir, sur demande, quelles données personnelles une entreprise utilise et comment ces données sont utilisées. Un citoyen de l’UE peut également obtenir, sur demande, le transfert de ses données personnelles d’une entreprise à une autre dans un format lisible par machine. De plus, les entreprises ont l’obligation  d’arrêter de traiter et / ou de supprimer des données personnelles sur un citoyen de l’UE sur sa demande. Cette exigence va plus loin: il s’agit de permettre aux citoyens de l’UE le droit d’être oublié en ayant des données personnelles supprimées sur demande. Les principaux processus COBIT à considérer sont les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO08 Manage Relationships ;
  • APO09 Manage Service Agreements ;
  • APO10 Manage Suppliers ;
  • BAI08 Manage Knowledge.

Nomination d’un délégué à la protection des données

Certaines organisations ont obligation de désigner un délégué à la protection des données (DPO). Le rôle du DPO est de superviser la stratégie de sécurité des données de l’entreprise et sa conformité au RGPD (GDPR). Alors, quelles sont les  organisations qui ont l’obligation d’avoir un DPO? L’exigence s’applique à toute organisation qui traite ou stocke de grandes quantités de données sur les citoyens de l’UE. Elle s’applique également aux organisations qui traitent ou stockent des données personnelles, surveillent régulièrement les individus. Enfin elle s’applique à toutes les autorités publiques. Pour répondre à cette exigence, les principaux processus COBIT à considérer sont :

  • EDM01 Ensure Governance Framework Setting and Maintenance ;
  • APO07 Manage Human Resources ;
  • BAI05 Manage Organizational Change Enablement.

Notification des violations de données à caractère personnel

Les entreprises (et plus particulièrement les responsables du traitement) doivent informer les autorités de contrôle dans les 72 heures suivant la découverte d’une violation de données à caractère personnel. Les sous-traitants sont généralement ceux qui découvrent en premier  une telle violation de données. Par conséquent, la loi les rend responsables d’informer sans délai le responsable du traitement. Beaucoup d’organisations ont déjà mis en place de telles procédures. Cependant,  peu d’entre elles effectuent régulièrement des tests pour s’assurer que les exigences sont bien respectées. Concernant cet axe de travail, les principaux processus COBIT à considérer sont :

  • DSS01 Manage Operations ;
  • DSS02 Manage Service Requests and Incidents ;
  • DSS03 Manage Problems ;
  • DSS04 Manage Continuity ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Assurer la conformité réglementaire

Pour assurer la conformité à la législation, les organisations ont l’obligation de s’évaluer, de surveiller et d’évaluer en permanence leurs contrôles et d’étudier les améliorations continues à mettre en oeuvre en termes de technologies et d’idées. Les organisations doivent également fournir l’assurance qu’elles suivent les obligations énoncées. Pour cette exigence du RGPD (GDPR) les principaux processus COBIT à améliorer sont les suivants :

  • APO04 Manage Innovation ;
  • APO05 Manage Portfolio ;
  • APO06 Manage Budget and Costs ;
  • MEA01 Monitor, Evaluate and Assess Performance and Conformance ;
  • MEA02 Monitor, Evaluate and Assess the System of Internal Control ;
  • MEA03 Monitor, Evaluate and Assess Compliance With External Requirements.

Quelques conseils et astuces pour réussir la mise en œuvre du RGPD

Pour faciliter le travail de mise en conformité, nous vous livrons ici une série de conseils et d’astuces basés sur COBIT 5. De plus, ces conseils et astuces proviennent des observations et recommandations issues de l’expérience d’organisations qui ont déjà entamé, et pour certaines terminé avec succès, leur marche vers la conformité au RGPD (GDPR). Ce qui suit est  donc, de fait, une liste des facteurs clés de succès à prendre en compte dans votre programme de mise en conformité.

1. Créez un sentiment d’urgence et de criticité au niveau du top management

Très logiquement, c’est la toute la première des choses à faire. Obtenir le soutien de niveau exécutif est clé. C’est ce soutien qui déclenchera les attitudes et provoquera les attentes nécessaires permettant d’adopter avec succès les bonnes pratiques de gouvernance. En effet ce sont ces pratiques qui permettront d’appliquer et de se conformer les exigences du RGPD. Pour obtenir ce soutien précieux, vous devez absolument convaincre le Comité de Direction de l’urgence et de la criticité de ce programme.

Astuce : Lisez COBIT 5 Implementation Guide pour plus de conseils et techniques permettant d’obtenir un soutien de niveau exécutif et faire reconnaître le besoin d’agir.

2. Considérez le RGPD comme une opportunité de créer davantage de valeur

Le RGPD n’est pas seulement un contrainte. C’est aussi l’opportunité d’améliorer les pratiques et créer davantage de valeur pour les parties prenantes de l’organisation. Bien que mettre en oeuvre et maintenir la conformité puisse sembler pesant, c’est clairement la bonne approche. Rappelez-vous que la raison d’être de l’entreprise est de créer de la valeur pour les parties prenantes. Et le RGPD  bien appliqué est un important contributeur à la création de valeur ajoutée.

Astuce : La cascade d’objectifs de COBIT 5 identifie les besoins des parties prenantes et les transforme en objectifs d’affaires. Ensuite ceux-ci sont déclinés en objectifs informatiques permettant de soutenir les objectifs métiers. Enfin, les objectifs informatiques permettent d’identifier les processus les plus appropriés sur lesquels se concentrer pour améliorer valeur pour les parties prenantes.

3. Inventoriez les pratiques et les référentiels utilisés actuellement

Identifiez les pratiques et les référentiels utilisés actuellement dans le cadre de la gouvernance et de management de l’entreprise, y compris le plan de protection des données existant. La plupart des entreprises ont déjà mis en place un tel  plan (souvent basé sur ITIL, COBIT ou ISO 27001 par exemple). Cependant elles devront le revoir et le mettre à jour pour s’assurer qu’il s’aligne bien avec les exigences du RGPD.

Astuce : Le RGPD est une préoccupation réglementaire qui peut être satisfaite en s’appuyant sur les meilleures pratiques existantes du marché telles que COBIT, ITIL, TOGAF (le référentiel d’architecture d’entreprise de l’Open Group), le cadre de l’Institut National Américain des normes et de la technologie (NIST), les normes ISO (ISO 27001, ISO 29100 par exemple) et bien d’autres. N’hésitez pas à vous appuyer sur ce qui existe déjà au sein de l’Organisation.

4. Considérez COBIT 5 un intégrateur des autres référentiels de bonnes pratiques

Ne vous arrêtez pas à un seul référentiel. Il s’agit là d’une extension de l’astuce précédente. Bien que COBIT soit le seul cadre d’affaires pour la GEIT (Gouvernance de l’Information d’Entreprise et des Technologies associées), COBIT n’est pas le seul référentiel susceptible de vous aider. Cependant, il est bien adapté pour servir de cadre pour aider à déterminer les composants nécessaires d’autres référentiel et fournir un vrai modèle GEIT.

Astuce : Le site web COBIT Online contient des informations supplémentaires à propos de cette approche https://cobitonline.isaca.org/about.

5. Nommez un DPO dès maintenant

Nommez dès maintenant un DPO et d’éventuels autres rôles pertinents. Même dans entreprises qui ne sont pas concernées par le RGPD, certains rôles sont indispensables. Ils doivent être identifiés et assignés. Ces rôles peuvent être remplis sous des noms différents. L’essentiel est que les responsabilités correspondantes soient bien attribuées sans qu’il n’y ait de conflit d’intérêt.

Astuce : La publication COBIT 5: Enabling Processes identifie les diagrammes RACI pour chacun des 37 processus de COBIT 5. Vous pouvez vous en inspirer pour identifier les rôles et responsabilités nécessaires au bon fonctionnement de votre organisation.

6. Menez une évaluation des risques

Une évaluation des risques d’entreprise permet d’aider à la prise de décision. Il est important de savoir quelles données personnelles l’entreprise stocke et traite sur les citoyens de l’UE, ainsi que le risque associé. Les évaluations des risques permettent d’identifier les risques, de déterminer des mesures pour réduire les risques et développer des plans d’actions pour gérer les risques. Avant chaque traitement important et au début de chaque nouveau projet, le RGPD impose qu’une analyse d’impact sur les données personnelles soit menée et que des actions soient prises en fonction des risques identifiés.

Astuce : COBIT 5 for Risk et ISO 31000 constituent d’excellents cadres de référence pour déterminer le processus approprié d’évaluation des risques et le relier aux exigences du RGPD.

7. Lancez un vaste programme de sensibilisation et de formation

Tout le personnel de l’organisation doit être familier avec les exigences du RGPD ainsi qu’avec leurs applications à chaque rôle spécifique de l’Entreprise. La formation est probablement l’une des actions les plus importantes qu’une entreprise peut lancer pour augmenter la probabilité de réussite d’un programme tel que la mise en conformité à la réglementation.

Astuce : Dans les entreprises qui s’appuient sur COBIT pour leur gouvernance et le suivi de leur conformité, le cours COBIT 5 Foundation constitue une excellente première étape. Dans tous les cas, une sensibilisation au RGPD  d’une journée est un bon point de départ pour l’ensemble des employés traitant des données personnelles.

8. Préparez et répétez les plans de réponse aux incidents

Planifiez les plans de réponse aux incidents. Et surtout n’oubliez pas de les tester, de les répéter et de les revoir régulièrement. La plupart des organisations ont déjà mis en place une forme de processus de gestion incidents. Cependant, le RGPD impose certaines exigences qui n’ont pas toujours été prises en compte dans le plan déjà en place. Notamment, les entreprises doivent signaler toute violation de données personnelles à l’Autorité de Contrôle dans les 72 heures suivant sa découverte. La façon dont les équipes d’intervention réagiront influera directement sur les risque d’amendes pour l’entreprise en cas de non respect des exigences.

Astuce : Améliorez les procédures existantes de gestion des incidents en vous appuyant, le cas échéant, sur les processus COBIT, ITIL ou ISO 27001 applicables et adaptez les pour créer un modèle spécifique intégrant les exigences du RGPD.

9. Focalisez-vous sur l’information

Quand on parle de protection des données personnelles, on fait référence à un type particulier d’information.. Rappelez-vous que l’information est un actif, une ressource qui, si elle n’est pas protégée peut devenir un passif. Comprendre les attributs, l’emplacement et le cycle de vie des données permet d’améliorer la capacité de l’entreprise à fournir les protections requises par le RGPD.

Astuce : COBIT 5: Enabling Information peut aider à la compréhension du cycle de vie et des attributs de l’information.

10. Effectuez des évaluations et des audits continus

Le maintien de la conformité nécessite un suivi et une amélioration continue. Il est important pour l’entreprise de ne pas laisser ses efforts s’estomper en passant à la prochaine initiative. Dans ce cas,  des surprises désagréables peuvent survenir. Poursuivez l’élan sans relâcher les efforts.

Astuce : Utilisez le modèle de mise en œuvre de COBIT (COBIT Implementation) ou l’approche d’amélioration continue des services d’ITIL (CSI) et veillez à ce les fonctions d’audit et d’audit interne soient pleinement impliquées dans la démarche.

Les apports de COBIT dans votre mise en conformité avec le RGPD

Les organisations qui se concentrent uniquement sur la conformité sont généralement celles qui n’ont pas mis en oeuvre de cadre de gouvernance. La conformité au RGPD n’est qu’une conformité supplémentaire à respecter. C’est une composante d’une initiative plus vaste basée sur un ratio risque / bénéfice. L’objectif doit être d’équilibrer cette conformité avec les performances de l’entreprise. Le référentiel COBIT 5 est complet dans la couverture de la gouvernance d’entreprise. Cependant il ne répond pas à tous les besoins de conformité d’une entreprise. Toutefois, il peut certainement fournir le cadre de gouvernance et de gestion permettant de déterminer l’approche la plus appropriée visant à créer de la valeur et de la confiance pour les parties prenantes. Dans ce cas, il permet de donner l’assurance que les données personnelles bénéficieront de bien de la confidentialité, de l’intégrité et de la disponibilité sur la base du RGPD (GDPR).

Une remarque? Un commentaire? Une question? N’hésitez pas à lancer la discussion. Nos experts sont à votre disposition pour vous répondre. Alors merci de nous laisser un commentaire sur ce blog.

ITIL : renaissance ou dernier soupir?

ITIL, le référentiel phare en matière de gestion des services informatiques commence à prendre de l’âge. Aucune évolution notable n’a été publiée depuis 2011. Et encore, la version 2011 n’était elle-même qu’une révision cosmétique (en anglais « refresh ») de la version ITIL V3 publiée en 2007. Cela fait donc dix ans que rien de vraiment nouveau n’a été publié. A l’occasion du salon ITSMF Fusion 2017, AXELOS a levé le voile sur l’avenir d’ITIL en 2018.

ITIL: renaissance en 2018?
Crédits: © AXELOS

On peut comprendre qu’une méthodologie n’évolue pas beaucoup. Mais justement le problème d’ITIL c’est qu’il ne s’agit aucunement d’une méthodologie. ITIL est un cadre de bonnes pratiques pour améliorer les services informatiques délivrés aux métiers. Or, durant ces dix dernières années, les Entreprises et leurs métiers ont subi une transformation radicale. Il est donc clair que leurs besoins de services informatiques ont également énormément changé. Les attentes des affaires sont très différentes aujourd’hui de ce qu’elles étaient il y a dix ans. Les risques auxquels tout service TI est exposé ont également évolué. L’environnement technologique a subi un bouleversement encore jamais vu auparavant.

L’annonce faite par AXELOS

Selon AXELOS, propriétaire du référentiel, ITIL® est «l’approche la plus largement utilisée pour la gestion des services informatiques dans le monde». La société indique qu’il existe des millions de praticiens d’ITIL dans le monde. Elle indique également que le référentiel est utilisé par la majorité des grandes organisations pour gérer leurs  opérations informatiques.

Il aurait donc été naturel que l’annonce d’une mise à jour d’ITIL suscite de nombreux commentaires. Cependant, comme vous l’avez sûrement constaté, tant la presse que les réseaux sociaux ne s’y sont guère intéressés.

La raison de ce manque d’intérêt est la raison même pour laquelle AXELOS veut faire cette mise à jour. ITIL a désormais atteint un point de non pertinence dans un monde économique dynamique et agile. L’environnement économique est aujourd’hui très différent de celui dans lequel ITIL a été développé.

De nouveaux modèles d’architecture, de nouvelles approches de management et, plus généralement, la transformation numérique des organisations ont relégué ITIL au stade de relique du passé.

Pourtant, des investissements substantiels ont été réalisés par nombre d’organisations dans le monde. Il s’agit notamment de la certification de leurs collaborateurs. Le grand nombre de fournisseurs de technologie qui ont vu le jour autour de ce framework et le vaste réseau de consultants et de sociétés de formation qui ont bâti leurs offres autour d’ITIL suggèrent que ce référentiel ne disparaîtra pas tranquillement du jour au lendemain.

Mais cette mise à jour annoncée sera-t-elle suffisante pour une renaissance d’ITIL en 2018? Ou marquera-t-elle son dernier soupir?

ITIL est-il en core pertinent dans un monde qui change?

Lors de l’annonce faite à ITSMF Fusion 2017, Margo Leach, Chef de produit chez AXELOS a admis la nécessité de faire évoluer ITIL pour pouvoir s’aligner sur un monde en pleine évolution tout en revendiquant sa pertinence au jour d’aujourd’hui.


« Les principes fondamentaux d’ITIL sont valables et restent essentiels pour permettre aux entreprises de se transformer et d’évoluer », a déclaré M. Leach. « Mais nous devons ajouter un élément supplémentaire au cœur d’TIL: la rapidité de mise sur le marché et l’agilité, c’est-à-dire la capacité d’une entreprise à répondre aux menaces commerciales, aux demandes et aux opportunités du marché. »


AXELOS a également reconnu que d’autres approches, (DevOps, …) traitent déjà de ces problèmes. « Le nouvel ITIL doit inclure des conseils pratiques et explicites sur la façon d’intégrer les principes des nouvelles méthodes de travail contemporaines« , a déclaré Margo Leach.

L’évolution rapide des technologies basées sur le cloud, les nouvelles approches telles que DevOps et l’enracinement des méthodologies agiles ont remis en question bon nombre de méthodes, apparemment rigides et bureaucratiques, souvent associées à ITIL.

En conséquence, et en dépit de leurs investissements importants dans le référentiel sous la forme de formation et d’outils, de nombreuses Organisations mettent maintenant l’accent sur la nécessité d’investissement futur sur de nouveaux cadres plus pertinents.

Alors n’est-il pas trop tard pour un nouvel ITIL?

La mise à jour d’ITIL ne devrait donc pas surprendre. Même si l’éditeur a affirmé il y a plusieurs années qu’il n’y aurait plus d’autres mises à jour. Néanmoins, le manque de pertinence perçu s’est également traduit par la perte de position dominante comme en témoigne l’arrivée d’une approche de gestion de service et d’un programme de certification concurrents, appelé VeriSM.

VeriSM prétend également représenter une approche moderne de «Gestion des services pour l’ère numérique». Le nombre de leaders de l’industrie et d’organisations qui le soutiennent est éloquent. A tout le moins, c’est la reconnaissance évidente par l’industrie que le domaine traditionnel de la gestion des services est en train de perdre son sens original et risque de ne plus être pertinent.

La transformation digitale entraîne un changement d’orientation

Ce que je crains, c’est que la prochaine mise à jour ITIL et la nouvelle approche VeriSM passent à côté de ce qui se passe réellement. A mon sens, la transformation numérique ne concerne pas vraiment la technologie ni son utilisation particulière. Il s’agit de la transformation des modèles d’affaires et d’opérations. Cela se traduit par un transfert fondamental de pouvoir de l’Entreprise vers le Client. En d’autres termes il ne s’agit pas d’une transformation technologique. Il s’agit plutôt d’une transformation de la société.

En tant que tel, le paradigme organisationnel de l’organisation doit passer de l’optimisation et de l’efficacité à l’expérience client et à facilitation pour l’utilisateur tout au long de son parcours. Le problème est que l’accent principal, tant pour ITIL que pour la gestion des services au sein des organisations, est entièrement basé sur l’efficacité et l’optimisation des opérations (informatiques ou autres).

De plus, les adoptions de la gestion des services TI sont largement basées sur des processus linéaires. A l’opposé, le monde libre-service et centré sur le client crée une abondance d’interactions client asynchrones et asymétriques avec l’organisation et la technologie qui doit les supporter.

Le résultat net est un cadre de bonnes pratiques de plus en plus déconnecté des besoins réels des Entreprises qu’il soutient. C’est d’ailleurs aussi le cas pour un secteur industriel tout entier.

Y a-t-il un avenir pour ITIL?

Je rencontre quotidiennement des dirigeants d’entreprises et des DSI. Nous discutons des défis auxquels ils sont confrontés et des stratégies qu’ils utilisent pour y répondre. L’accent est alors systématiquement mis sur l’efficacité et l’optimisation. Ce sont là les facteurs de valeur traditionnels de la gestion des services informatiques (ITSM).

Mais la priorité est aujourd’hui ailleurs. C’est l’agilité, l’adaptabilité et l’amélioration de l’expérience client qui sont la clé des affaires en 2018. L’objectif pour toute Organisation est de créer un avantage compétitif sur le marché. Ce sont là des moteurs qu’AXELOS a correctement identifiés. L’efficacité demeure bien sûr une préoccupation quotidienne. Pour ce faire, les entreprises se tournent de plus en plus vers les services et l’automatisation basés sur le cloud pour optimiser leurs opérations.

ITIL, VeriSM ou tout autre cadre ou approche de gestion de service souhaite reste pertinent? Alors leur objectif doit être la prise en compte des nouvelles priorités des Organisations. Leur axe principal doit donc être de réorienter les organisations vers l’expérience client et de les éloigner des modèles centrés sur les systèmes ou centrés sur le service.

Les praticiens de la gestion des services IT vous diront que cela a toujours été l’objectif principal. Je ne les contredis pas. Mais il est temps de reconnaître que, dans la pratique, ce n’est pas ce qui s’est passé. Si ITIL doit rester pertinent en 2018, cela doit changer radicalement. Il n’y aura d’avenir pour ITIL qu’à cette condition.

Vous avez sûrement un avis. N’hésitez pas à nous laisser votre commentaire…

Sécurité sur internet : 10 pratiques essentielles

Dans le cadre du mois de la cybersécurité 2017, AB Consulting CI et 2AB & Associates, sponsors officiels depuis plusieurs années, s’associent de nouveau à la campagne de sensibilisation des citoyens sur les bonnes pratiques en matière de sécurité sur internet.

10 pratiques essentielles pour rester en sécurité sur internet

10 pratiques essentielles pour rester en sécurité sur internet

A l’occasion du mois de la cybersécurité 2017, nous publions un livre blanc intitulé 10 pratiques essentielles pour rester en sécurité sur internet. Ce livre blanc sera remis à tous les participants lors de notre wébinaire gratuit du 4 octobre prochain.

Aujourd’hui notre vie est étroitement liée à l’utilisation d’internet. Cela vaut aussi bien pour notre vie professionnelle que pour notre vie privée. L’objectif est de sensibiliser l’ensemble des citoyens sur la nécessité de prendre quelques précautions élémentaires pour se protéger des risques inhérents à l’utilisation de ce mode de communication.

Nous vous proposons donc de nous rejoindre sur notre wébinaire du 25 octobre 2017 pour creuser ensemble ce sujet délicat. Attention, le nombre de places est limité. Inscrivez-vous ici dès maintenant… C’est entièrement gratuit!

Nous faisons tout pour sauvegarder nos biens personnels – en verrouillant nos portes, en surveillant nos sacs et nos portefeuilles. Hélas, souvent, nous ne prenons pas le même soin avec les informations personnelles que nous stockons en ligne, sur les réseaux sociaux et dans nos appareils, qu’il s’agisse d’ordinateurs ou de téléphones. La plupart du temps, c’est simplement parce que nous ne comprenons pas bien les risques et que nous ne savons pas par où commencer.

Alors, avant de participer à notre wébinaire et de lire notre livre blanc, voici quelques règles élémentaires. Il s’agit simplement de 3 conseils de bon sens à respecter scrupuleusement :

Naviguez toujours prudemment sur Internet

Bien sûr, commencez par utiliser un navigateur et une machine à jour des correctifs de sécurité, Mais il convient encore de prendre quelques précautions élémentaires lorsque vous naviguez sur des sites internet.

Sites marchands et sites bancaires

IMPORTANT : Ne donnez jamais d’informations personnelles et confidentielles (vos coordonnées personnelles, vos coordonnées bancaires, etc) sur un site marchand ou un site bancaire, sans avoir vérifié au préalable que le site est sécurisé.

Le site doit utiliser un certificat électronique qui garantit qu’il est authentique. C’est grâce à ce certificat que la confidentialité des informations échangées est bien garantie. Bien sûr, là il s’agit de considérations quelque peu techniques et vous n’êtes pas forcément un(e) technicien(ne). Il existe une façon simple de vous assurer que le site est bien sécurisé. Il y a deux informations affichées par le navigateur qui doivent être vérifiées :

  • l’adresse URL du site web doit commencer par « https:// ». Par ailleurs, le nom du site doit correspondre à ce que vous vous attendez à trouver.
  • un petit cadenas fermé doit figurer à droite de l’adresse du site. Il peut aussi se trouver en bas à droite de la barre d’état selon la version et le type de votre navigateur. Ce cadenas symbolise une connexion sécurisée. En cliquant dessus, on peut afficher le certificat électronique du site, et visualiser le nom de l’organisme.

Attention cependant, il est toujours possible à un agresseur d’intervenir en amont (sur votre machine) ou en aval (sur le site consulté). Il peut aussi essayer de vous aiguiller sur un site frauduleux, au nom très voisin. L’objectif est le plus souvent d’obtenir des informations sensibles. La prudence doit donc être de rigueur.

Pour plus de précisions sur les procédés utilisés par les pirates, nous vous conseillons la lecture de deux articles publiés sur notre blog : Phishing – Mode d’emploi et 10 trucs pour reconnaître un mail d’hameçonnage.

Les forums et les blogs

IMPORTANT : En aucun cas vous ne devez donner d’informations personnelles sur des forums (adresse physique, de messagerie, numéro de téléphone…).

Il est désormais fréquent de communiquer sur des sites communautaires de types forums de discussion ou autres blogs. Il est important de bien garder en mémoire, lorsque l’on veut déposer un message sur ce type de site, que le contenu de vos écrits  pourra être analysé par des robots. Qu’appelle-t-on des robots? Ce sont des programmes capables de récupérer les informations personnelles contenues dans le texte. Il peut s’agir de vos adresses de messageries ou de vos identifiants de messageries instantanées. Ces informations pourront ensuite être utilisées afin de propager du pourriel (spam). Aujourd’hui, il n’est pas rare après avoir déposé son adresse personnelle de messagerie électronique sur un forum de se voir inondé de spams les heures ou jours suivants. Attention, ces informations communiquées sur ces sites resteront publiques et non maîtrisables durant une très longue période.

Le paiement en ligne

IMPORTANT : Soyez prudent sur la nature des données bancaires demandées lors d’un paiement en ligne. Un site ne doit jamais vous demander de saisir votre code secret associé à votre carte bancaire. 

Lorsque que vous décidez de faire des achats sur internet,-vous devez vous assurer du sérieux du site marchand. Il doit offrir toutes les garanties de sécurité lorsque vous payez : chiffrement, possibilité de rétractation….Si vous avez le moindre doute, ne finalisez pas la transaction et signalez le site aux points de contact mentionnés sur contrat de votre carte bancaire.

Pour en savoir plus…

Pour en savoir plus, n’hésitez pas à nous adresser vos commentaires et à partager vos expériences relatives à la sécurité sur internet. Et surtout inscrivez-vous vite à notre wébinaire gratuit du 25 Octobre et recevez le livre blanc 10 pratiques essentielles pour rester en sécurité sur internet.

Mois de la cybersécurité 2017 à Abidjan

Mois de la cybersécurité 2017

Le Mois de la cybersécurité (CSM) s’appuie sur le fait qu’Internet est une ressource partagée et que la sécurité des communications sur internet est une responsabilité partagée.

Mois de la cybersécurité 2017

Le Mois de la cybersécurité est une campagne internationale de sensibilisation. Elle a lieu chaque année en Europe, Asie, Amérique du Nord et Australie au mois d’octobre. L’objectif de cette campagne est de sensibiliser le public sur l’importance de la sécurité de l’information. Elle vise à informer les citoyens sur la sécurité lors de l’utilisation d’Internet et sur quelques bonne pratiques simples à suivre pour se protéger en ligne, ainsi que pour protéger leur famille, leur milieu de travail et leurs appareils.

Les thèmes du mois de la cybersécurité 2017

Le mois est divisé en thèmes (un thème par semaine) qui soulignent les différents aspects de la cybersécurité. Cette année, la campagne débutera le 2 octobre pour s’achever le 31 Octobre et sera organisée de la façon suivante :

  • 1ère Thème : du 2 au 6 octobre : Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne
  • 2ème Thème : du 9 au 13 octobre : Soyez vigilants – Protection des renseignements personnels et des données privées
  • 3ème Thème : du 16 au 20 octobre : Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous
  • 4ème Thème : du 23 au 27 octobre : Le citoyen numérique dans un monde de plus en plus numérique

Les évènements planifiés à Abidjan

Afin de soutenir cette campagne internationale de sensibilisation, AB Consulting CI s’associe cette année encore à l’initiative collective. Chaque semaine, des évènements gratuits seront proposés. Mais, cette année, outre les évènements (wébinaires, rencontres), des ressources documentaires seront mises à disposition de tous. Il s’agira de livres blancs, de posters à partager, d’infographies, d’articles sur notre blog et même d’outils de sensibilisation.

Le programme des évènements est d’ores et déjà fixé et nous vous invitons à vous inscrire nombreux et nombreuses pour y assister. C’est évènements sont entièrement gratuits mais le nombre de places est limité. Alors n’attendez pas pour vous inscrire en suivant les liens ci-dessous :

Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne

Nous vous proposons de nous suivre le 25 Octobre 2017 à 11h GMT pour un wébinaire d’une heure, présenté par Alain Bonneaud sur le thème « 10 moyens simples de vous protéger en ligne« . Les participants se verront remettre gratuitement un livre blanc reprenant les 10 conseils pour assurer leur sécurité en ligne. Inscrivez-vous ici.

Soyez vigilants – Protection des renseignements personnels et des données privées

Le 11 Octobre 2017 à 11h GMT, David Henrard, président du Chapitre ISACA de Québec et expert de la protection des renseignements personnels, présentera un wébinaire d’une heure sur le thème « Cybersécurité : La protection des renseignements personnels« . A l’heure où le GDPR entrera bientôt dans sa phase obligatoire, cette présentation fera le point sur les aspects réglementaires pour les entreprises mais aussi sur les précautions à prendre par tout utilisateur d’internet en matière de protection de ses informations personnelles. Inscrivez-vous ici.

Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous

Le 18 Octobre 2017 à 11h GMT, Alain Bonneaud, expert en cybersécurité et en gouvernance des Entreprises présentera un wébinaire d’une heure sur la nécessité, au sein des Entreprises, de sensibiliser l’ensemble du personnel à une obligation de respecter des règles de bases en matière de sécurité. Contrairement à une idée reçue, la sécurité n’est pas l’apanage des informaticiens. Savez-vous que 95% des attaques informatiques réussies passent par des personnels non informaticiens? Que vous soyez chef d’Entreprise ou salarié ou même consultant, cette présentation intitulée « La cybersécurité au travail est l’affaire de tous. Pas seulement des informaticiens! » vous concerne. Insrcivez-vous ici.

Le citoyen numérique dans un monde de plus en plus numérique

Le 27 Octobre 2017, à Abidjan, AB Consulting CI organisera une petit déjeuner pour les directions des Entreprises afin d’échanger avec les Directeurs et Managers sur leurs responsabilités en matière de gestion des risques de cybersécurité et les manières de se protéger dans un monde toujours plus numérique. Cette rencontre sera l’occasion d’échanger avec nos experts sur l’ensemble des aspects relatifs à ces problématiques de plus en plus sensibles. Cette matinée est accessible uniquement sur invitation, le nombre de places étant très limité. N’hésitez pas à nous laisser vos coordonnées si vous souhaitez y participer.

Et bien sûr, n’hésitez pas à nous adresser vos commentaires et à partager d’autres initiatives utiles à tous dans le cadre de cette campagne internationale.

Les 6 certifications qui paient en 2017

Vous envisagez de vous lancer dans une carrière dans le domaine des technologies de l’information (TI)? Vous souhaiteriez obtenir une certification dans un domaine que vous maîtrisez déjà? Une multiplicité de solutions s’offre à vous. Alors comment choisir? Sur quels critères? Que vous soyez intéressé par les réseaux, la sécurité ou l’administration des systèmes, vous trouverez sans peine une certification qui est censée vous aider à lancer ou faire progresser votre carrière. Mais toutes ces certifications ont-elles la même valeur? Et même, pour certaines certifications il semble qu’il y ait différents organismes proposant des certifications concurrentes. Sont-elles équivalentes? S’adressent-elles au même public? Sont-elles reconnues de façon similaire par la communauté des Entreprises? Bien évidemment la réponse est négative. Alors, vous devez faire votre choix et ne pas vous tromper.

Les 6 certifications qui paient en 2017
Crédit: © contrastwerkstatt

6 certifications qui paient bien!

Une des motivations souvent évoquées par les personnes qui nous contactent pour suivre une formation et passer une certification consiste à obtenir un meilleur salaire. Quelles sont donc les certifications qui paient le mieux en 2017? Nous allons essayer de vous aiguiller un peu en vous présentant les 6 certifications qui paient le mieux de façon générale. Bien sûr il peut y avoir des différences selon les pays. Il est clair que le salaire proposé pour une fonction correspondant à une même certification ne sera pas le même aux USA, au Canada, en France ou en Côte d’Ivoire. Mais il demeure que le classement reste globalement identique.

Mais soyons honnêtes: vous courrez après les gros salaires? Cet article vous présente les six certifications les mieux payées. Mais il vous indique aussi ce que les employeurs attendent de vous et ce que cela implique. La certification ne suffit pas… C’est un élément qui, conjugué à d’autres vous permettra d’atteindre votre objectif.

Commençons par le bas pour remonter vers la certifications qui, cette année, remporte la palme du meilleur salaire. Nous sommes fiers, chez AB Consulting, de proposer des ateliers de préparation à ces 6 certifications depuis maintenant plusieurs années dans le cadre de nos accréditations internationales.

6. Project Management Professional : PMP

Les professionnels adorent la certification PMP car elle leur donne accès à une grande variété d’Entreprises.  Elle leur permet d’appliquer leurs compétences dans une grande variété de domaines. Beaucoup d’informaticiens la recherchent, même si ce n’est pas une certification liée au domaine informatique. Toutes les Organisations ont des projets à gérer. Mais il est vrai que beaucoup de projets, aujourd’hui, tournent autour de l’informatique. La capacité d’appliquer les principes de gestion de projet (PM) au domaine informatique vous permet de glisser un pied dans la porte de presque n’importe quelle Entreprise. Vous serez alors responsable de veiller à ce que les activités de gestion des services informatiques soient effectuées dans les temps et dans les budgets.

Venons-en à ce qui vous intéresse vraiment: l’argent. Le titulaire du certificat PMP gagne en moyenne 112.153 $ par année, en 2017. Ce n’est pas mal si vous pouvez obtenir ce type de certification. Pour pouvoir passer l’examen de certification, vous devrez  justifier d’au moins un diplôme d’études secondaire, d’un minimum de 7 500 heures d’expérience de gestion ou de direction de projets, et 35 heures de formation au PMP dans un organisme de formation accrédité. Bien sûr, le PMI vérifiera minutieusement chacun des pré-requis avant de vous autoriser à passer votre certification.

5. Certified Information Systems Auditor : CISA

Pour ceux qui veulent démontrer leurs compétences dans les domaines de la sécurité informatique, de l’audit informatique, de la gestion des risques et de la gouvernance, la certification CISA constitue une excellente référence.

L’examen se compose de 200 questions à choix multiples réparties sur 5 domaines. Si vous le réussissez, ce ne sera qu’un premier pas franchi. Vous devrez également prouver au minimum cinq ans d’expérience professionnelle dans les domaines concernés et 20 heures de formation. Ce n’est que lorsque vous aurez accompli cette étape supplémentaire que vous vous verrez attribuer la certification CISA. En aucun cas vous ne pourrez vous prévaloir de la certification avec uniquement la réussite à l’examen. Dès lors que l’ISACA vous aura attribué la certification, vous intègrerez un groupe de professionnels dont le salaire annuel moyen est de l’ordre de 112.931 $.

Pour en savoir plus sur cet examen, vous pouvez consulter notre article CISA: 12 trucs utiles pour l’examen.

4. Certified Information Systems Security Professional : CISSP

Si vous êtes un consultant en sécurité, un manager, un auditeur, un analyste ou un ingénieur système, le CISSP peut être une bonne certification pour vous. C’est l’opportunité de prouver que vous êtes capable de concevoir et d’élaborer et de mettre en oeuvre un protocole de sécurité d’entreprise.

Le test est composé de 250 questions à choix multiples et de mises en concordance. Cette certification vous donne accès à des postes en sécurité de l’information qui paient, en moyenne, 120.933 $ par an.

3. Certified Information Security Manager : CISM

Le CISSP est principalement focalisé sur les aspects techniques. A l’inverse la certification CISM est principalement axée sur le management de la sécurité de l’information. Bien sûr, vous serez toujours impliqué dans la conception et l’ingénierie des protocoles de sécurité, mais vous serez surtout impliqué dans la gestion de la sécurité d’une entreprise. Ce type de position vous donnera accès à des secteurs d’activité en dehors de l’informatique, car vous devrez travailler avec d’autres parties prenantes pour atteindre les objectifs commerciaux globaux de l’entreprise. Il s’agit d’une certification débouchant sur des rôles de senior manager.

Si c’est bien ce qui vous intéresse, vous pourrez alors prétendre à un salaire annuel moyen de l’ordre 121.177 $. Avant de pouvoir récolter les fruits de votre labeur, vous devrez d’abord réussir l’examen, qui comprend 200 questions à choix multiples, et ensuite prouver que vous avez un minimum cinq ans d’expérience pertinente dans les domaines correspondants. Ce n’est seulement après cette dernière étape que l’ISACA vous attribuera la certification CISM.

2. Certified in Risk and Information Systems Control : CRISC

L’examen de certification CRISC porte sur quatre domaines majeurs de la gestion des risques : identification, évaluation, réponse et atténuation, surveillance et suivi des contrôles. Si vous souhaitez travailler dans ce domaine, ou si vous avez une expérience dans le domaine et si vous voulez obtenir une certification recherchée, vous devriez envisager la certification CRISC.

L’examen comprend 150 questions à choix multiples. Si vous réussissez l’examen, devrez ensuite justifier d’un minimum de 3 années d’expérience dans 3 des 4 domaines couverts par le CRISC. L’ISACA confirmera la recevabilité de votre demande et vous attribuera le certificat CRISC. Vous entrerez alors dans une catégorie professionnelle dont la moyenne de salaire annuel est de l’ordre de 121.424 $.

1. Certified in Governance of Enterprise Information and related Technology : CGEIT

La certification la plus lucrative couvre un large éventail de responsabilités, y compris les responsabilités de la gestion du cadre de gouvernance de l’information d’entreprise, de la gestion stratégique de l’informatique et de l’entreprise, de la réalisation des bénéfices, de l’optimisation des risques et de l’optimisation des ressources.

Cette certification s’adresse à des personnes exerçant des responsabilités au sein d’un Conseil d’Administration ou d’un Comité de Direction.

L’examen de certification comprend 150 questions à choix multiples auxquelles il faut répondre en moins de quatre heures. La réussite à l’examen vous permettra de soumettre votre dossier à l’ISACA. Vous devrez alors prouver un minimum de 5 années d’expérience à un niveau de Gouvernance ou de Direction.  Dès lors que votre dossier sera vérifié et validé par l’ISACA vous obtiendrez la certification CGEIT. La moyenne annuelle de rémunération d’un CGEIT est de l’ordre de 131.443 $.

Pour en savoir plus et échanger avec nos experts…

Pour en savoir plus et échanger avec nos experts, n’hésitez pas à nous laisser un commentaire. Nous vous répondrons alors avec grand plaisir. Et si vous avez réussi au moins l’une de ces certifications, n’hésitez pas à nous laisser votre témoignage…

La version Française du Guide de mise en oeuvre COBIT 5 est disponible

Ca y est enfin!! Le guide « COBIT 5 Mise en oeuvre » est désormais disponible en Français. De longues semaines d’investissement personnel de l’équipe de traduction auront été nécessaires. Il n’est jamais simple de traduire un guide de bonnes pratiques ou de mise en oeuvre. L’Anglais est une langue typiquement orientée « business » et donc assez rigoureuse. A l’opposé, le Français est une langue plus orientée vers la littérature ou la diplomatie et dans laquelle, soit les termes anglais n’ont pas d’équivalent ou, pire encore, sont le plus souvent traduits par des termes erronés (les fameux faux-amis sur lesquels tous les élèves ont trébuché pendant leur parcours scolaire).

COBIT 5 Mise en Oeuvre

Bon, en ce qui concerne cette publication, l’honnêteté nous impose d’admettre que ce n’est pas réellement une version Française. C’est plutôt une version Québécoise, car réalisée par l’équipe du chapitre (tiens, encore un mot qui n’a pas d’équivalent direct en Français) ISACA de Québec, avec seulement deux contributions externes, l’une d’un expert en Gouvernance de Montréal (toujours au Québec) et l’autre de votre serviteur, seul Français (encore que résident en Côte d’Ivoire) à avoir participé à la préparation de cette version Française.

Les raisons d’une absence totale de la France

Mais pourquoi donc une version Française dans laquelle aucun Français (de France) ne s’implique? La question mérite d’être posée. Les réponses sont multiples et malheureusement assez désespérantes:

  • Une incompréhension totale, en France de ce que sont la Gouvernance et le Management, et donc un intérêt très faible pour le sujet,
  • Une mauvaise interprétation de la notion de création de valeur, comprise uniquement comme une valeur financière et focalisée majoritairement sur une réduction des coûts,
  • Un contexte légal basé sur un modèle hérité à la fois de systèmes monarchiques et « communistes » qui conduit irrémédiablement à la destruction de valeur au lieu de la création, qui ne favorise pas l’adoption du cadre COBIT,
  • Des structures organisationnelles et gouvernementales ne permettant pas de séparer la gouvernance du management,
  • Une culture, une éthique et des comportements inadéquats (particulièrement visibles en France en cette période électorale),
  • Une gouvernance et une gestion anarchique de l’information conduisant à des excès et induisant des conséquences catastrophiques,
  • Une technologie mal utilisée et mal exploitée pour la création de valeur et laissée entre les mains de techniciens et d’ingénieurs,
  • Un modèle éducatif et une gestion de la formation continue déconnectés des réalités et des besoins des organisations.

Nous reviendrons plus en détail sur ces raisons avec un autre article dans les prochains jours. Cependant les lecteurs connaissant COBIT® 5 auront reconnu là des faiblesses au niveau des facilitateurs (en Anglais on les nomme « enablers » ce qui est beaucoup plus fort que  facilitateur mais n’a pas de traduction littérale) d’une bonne gouvernance et d’un management efficaces qui manquent cruellement à la France.

A cela, il faut bien rajouter, mais peut-on encore leur en vouloir après ce que nous venons de dire, une absence totale de volonté de l’AFAI (chapitre Français de l’ISACA) de s’investir de quelque façon que ce soit dans la promotion de COBIT® 5 qui n’assure pas, aujourd’hui, compte tenu du modèle économique imposé par ISACA HQ, un bénéfice suffisant pour les membres Français. Or, en France, il est d’usage que la création de valeur s’évalue au niveau personnel et non au niveau d’une organisation. En d’autres termes, si je participe à ces travaux, qu’est-ce que j’y gagne personnellement?

Le marché pour une version Française des bonnes pratiques

La Francophonie compte aujourd’hui un peu moins de 280 millions de personnes dans le monde, réparties de la façon suivante (source: organisation internationale de la Francophonie)

  • environ 8% en Amérique du Nord (majoritairement au Canada)
  • 37% en Europe (majoritairement en France)
  • près de 54% en Afrique (où la culture et les institutions sont calquées sur la France, héritage de la colonisation)
  • autour de 1% dans le reste du monde.

Qu’est-ce qui fait la différence entre le Canada (ou plus précisément le Québec) et les pays francophones européens et africains? J’apporterai deux réponses:

  • La culture nord-américaine fortement ancrée au Canada, intégrant les bonnes pratiques de Gouvernance et de Management largement répandues dans cette partie du monde,
  • Des lois imposant l’usage de modèles intégralement francisés dans les organisations Québécoises, ce qui n’est pas le cas en Europe, ni en Afrique francophone.

Il est donc clair que l’environnement légal favorise l’adoption des bonnes pratiques décrites par COBIT 5 au Canada et qu’au contraire l’environnement local défavorise et décourage les bonnes pratiques basées sur COBIT 5 en Europe et en Afrique Francophones.

Il apparaît ainsi clairement que le marché pour une traduction Française du cadre COBIT 5 et de son guide de mise en oeuvre se situe majoritairement en Amérique du Nord. C’est donc fort logiquement que ce sont les Québécois qui font l’effort. Malheureusement, cela décourage encore un peu plus les Français d’adopter COBIT 5 et de s’appuyer sur le guide de mise en oeuvre pour lancer des initiatives d’amélioration de la Gouvernance et du Management car ils voient ces pratiques comme étant issues de la culture Américaine. De plus ils considèrent que le Québécois n’est pas le Français tel qu’il est parlé en Europe et en Afrique. Et ce n’est pas faux…

 COBIT 5 Mise en Oeuvre – Juste une référence indispensable

La publication de la version française du guide de mise en oeuvre vient complèter le référentiel et le modèle de référence des processus COBIT 5 déjà traduits par la même équipe qu’il convient de féliciter pour leur excellent travail.

Toutefois, il faut bien rappeler que ce guide ne décrit pas la mise en oeuvre du cadre de gouvernance et de management COBIT 5 mais la mise en oeuvre des sept facilitateurs soutenant la gouvernance et management de l’information dans l’Entreprise. Il s’agit en fait de la méthodologie extrêmement efficace et efficiente de gestion d’un programme de mise en oeuvre ou d’amélioration continue, décrite par COBIT et basée sur trois composants hérités des normes et bonnes pratiques du marché :

  1. l’amélioration continue en sept étapes (similaire à ITIL)
  2. la facilitation du changement (héritée des bonnes pratiques de Change Management)
  3. la gestion de programme et de projets (issue de PRINCE2, PMBok et M_o_P)

Gageons que la version Française du guide de mise en oeuvre sera une aide efficace pour les utilisateurs francophones et sera un réel succès.

GDPR – Exigences de protection des données

GDPR – Exigences de la réglementation

Dans notre précédent article GDPR et la protection des données en Afrique. Nous avions évoqué la Réglementation Générale de Protection des Données adoptée par l’Union Européenne et quelles en seraient les impacts sur les économies des pays Africains. Dans ce nouvel article, nous allons voir, plus en détail, quelles sont les principales exigences de la réglementation. 

GDPR le contenu de la réglementation sur la protection des données

La mise en conformité à la GDPR peut, au premier abord, apparaître comme un fardeau. Cela ne l’est pas. C’est  un moyen de protéger chacun d’entre nous, car nous sommes tous l’objet de données, l’exploitant ou encore le vérificateur de données. La GDPR se concentre sur les données personnelles. Mais c’est une occasion idéale pour investir dans la protection de toutes vos données. Tout cela sera finalement très utile car ce sont vos données qui sont la source de votre activité économique.

Pourquoi protéger les données de l’Entreprise?

Vous pensez ne pas être concernés car vous produisez des crayons et vous pensez que l’informatique est secondaire dans votre activité. Pensez un seul instant aux données qui vous sont propres pour produire vos crayons. Il y a les spécifications, la propriété intellectuelle, les données sur vos fournisseurs, les informations sur commandes, les clients, les services financiers, les coordonnées bancaires de vos clients et de vos fournisseurs, les informations personnelles de vos employés, les configurations de sécurité que vous avez mises en place… Toutes ces informations sont vitales pour votre activité. Que se passerait-il si vous les perdiez ou si elles arrivaient entre les mains de votre concurrent?

Commençons donc par le début. Nous devons assurer une bonne protection des données. Ce n’est pas seulement parce que la GDPR l’exige et que nous devons nous aligner sur les exigences de l’UE. C’est simplement un pré-requis indispensable à la bonne gestion d’une Entreprise. Tout bon régime de protection des données commence par une stratégie. Celle-ci précise les obligations de l’Entreprise vis à vis des données et les résultats escomptés. La stratégie définit également les moyens à mettre en oeuvre pour protéger ces informations.

Comment nous y prendre?

Les Entreprises ont deux sources d’inspiration pour baliser leur chemin.

Le premier est la GDPR elle-même parce qu’elle énonce les obligations que les entreprises doivent appliquer à leur système d’information. Le second est l’utilisation de référentiels tels que COBIT 5 ou de normes telles que ISO 27001. COBIT 5 et ISO 27001 nous fournissent le cadre sur la base duquel évaluer comment vous allez atteindre ces résultats et les bénéfices attendus. En combinant liste complète des exigences de la GDPR et l’utilisation de COBIT 5, les entreprises seront donc en mesure de répondre aux exigences de conformité de GDPR de façon transparente.

Les principales exigences de la GDPR

Avant d’aborder comment nous y prendre, examinons un peu plus en détail les exigences de la réglementation

1. Même si votre entreprise n’est pas dans l’UE, la réglementation s’applique

Les organisations non situées dans un état européen mais qui font des affaires avec l’UE et utilisent les données personnelles des ressortissants de l’UE doivent se préparer à se conformer à la réglementation. Ceux qui fournissent des produits ou des services à des clients dans l’UE ou qui traitent ou manipulent leurs données peuvent avoir à faire face à des poursuites de l’UE si un incident de sécurité est signalé.

C’est notamment le cas de toute banque Africaine qui reçoit de l’argent depuis un compte situé en Europe. C’est la même chose si elle effectue un transfert vers un compte bancaire Européen. Cette banque Africaine aura alors en sa possession les données bancaires du citoyen ou de l’Entreprise européenne avec laquelle s’effectue la transaction. Ces informations doivent donc être protégées en respectant les exigences de la GDPR. Toute transaction commerciale impliquant une organisation Africaine et un Organisation Européenne est donc concernée.

2. La définition des données personnelles est élargie

La confidentialité des données concerne désormais d’autres facteurs susceptibles d’être utilisés pour identifier un individu. Il s’agit par exemple de son identité génétique, psychique, économique, culturelle ou sociale. Les entreprises sont incitées à prendre des mesures afin de réduire la quantité d’informations personnelles qu’ils stockent, et à veiller à ce qu’elles ne stockent pas les informations plus longtemps que strictement nécessaire.

3. Un consentement est requis pour traiter les données relatives aux enfants

Le consentement des parents sera nécessaire pour le traitement des données personnelles des enfants de moins de 16 ans. Chaque État membre de l’UE peut abaisser à 13 ans l’âge nécessitant le consentement parental. Bien entendu des traces doivent permettre la vérification au travers d’audits.

4. Les modifications apportées aux règles d’obtention du consentement valide

Un document de consentement au traitement des données personnelles doit être exprimé en termes simples et non ambigus. Le consentement ne se présume pas. Le silence ou l’absence de réponse ne constitue pas un consentement. Un consentement clair et positif au traitement des données privées doit être fourni, de façon formelle et auditable.

Imaginons que vous utilisez le mailing internet pour contacter vos clients. Chacun d’eux doit avoir fourni un consentement clair et positif à être présent dans votre liste d’adresses. Cela signifie que citoyen d’un état Européen qui recevrait un email provenant d’une société, en Afrique par exemple, et qui n’aurait pas donné explicitement son consentement pour être contacté par mail serait en droit de poursuivre ladite Société, laquelle serait du coup passible d’une lourde amende pour non respect de la GDPR.

5. La nomination d’un Directeur de la Protection des Données (DPO) est obligatoire pour certaines entreprises

L’article 35 de la GDPR stipule que des Directeurs de la Protection des Données (DPO – Data Protection Officer) doivent être nommés dans toutes les administrations. En outre, un DPO sera nécessaire lorsque les activités de base de l’Organisation impliquent « un suivi régulier et systématique de grandes quantités de données personnelles » ou lorsque l’entité effectue le traitement à grande échelle de « catégories particulières de données à caractère personnel ». Cela fait donc référence aux sociétés de service informatique qui opèrent le système d’information de leurs clients.

Les entreprises dont l’activité principale n’est pas le traitement de données sont exemptées de cette obligation.

La GDPR ne précise pas les diplômes et certifications professionnelles requis pour les Directeurs de  la Protection des Données, mais stipulent néanmoins qu’ils doivent avoir  «une connaissance approfondie du droit et des pratiques de protection des données. »

6. Evaluations obligatoires d’impacts des risques sur la protection des données

Une approche basée sur les risques doit être adoptée avant d’entreprendre des activités de traitement de données sensibles. Des rôles de vérificateurs de données seront nécessaires pour effectuer des évaluations d’impact, analyser et minimiser ces risques pour les personnes concernées dès lors que des risques de violation de la vie privée sont élevés.

Ce sera notamment le cas lorsqu’une Entreprise Européenne entrera en relation d’affaires avec une Entreprise d’un pays dont la législation est plus tolérante.

7. Exigences nouvelles en matière de notification de violations des données

Les vérificateurs de données seront tenus de signaler les violations de confidentialité constatées à leur autorité de protection des données, à moins que celles-ci ne représentent qu’un risque faible pour les droits et libertés des personnes concernées. L’information doit être transmise dans les 72 heures suivant la constatation de la violation de confidentialité par les vérificateurs. Des dérogations pourront exister en cas de circonstances exceptionnelles, qui devront être justifiées.

Lorsque le risque pour les individus est élevé, les personnes concernées doivent être informées. Toutefois, aucun délai n’est spécifié par la règlementation.

Des audits réguliers de la chaîne d’information et des vérifications seront requis pour assurer que le nouveau régime de sécurité est bien adapté à l’usage.

8. Le droit à l’oubli

Tout individu a le « droit à l’oubli ». La GDPR prévoit des lignes directrices claires sur les circonstances dans lesquelles le droit peut être exercé.

9. Le transfert international de données

Étant donné que la règlementation est également applicable aux Entreprises qui utilisent et transforment les données, les organisations doivent être conscientes du risque de transfert de données vers des pays ne faisant pas partie de l’UE.

10. Responsabilités en matière de traitement de données

Les Entreprise exploitant des données auront des obligations et des responsabilités juridiques directes. Cela signifie que les exploitants peuvent être tenus responsables des violations de données. Les arrangements contractuels devront donc être mis à jour en précisant les responsabilités et les obligations de chacune des parties. Il s’agit là d’une exigence impérative dans les futurs accords.

Les Parties devront documenter leurs responsabilités sur les données encore plus clairement, et les niveaux de risque accrus peuvent clairement influer sur le coût des services.

11. La portabilité des données

La portabilité des données permettra à un utilisateur de demander une copie de ses données personnelles dans un format utilisable et par voie électronique transmissible à un autre système de traitement.

12. Protection par la conception

La GDPR exige que les systèmes et les processus prennent en compte le respect des principes de protection des données. L’essence de la protection par la conception est que la vie privée dans un service ou un produit est pris en compte non seulement au moment de la livraison, mais aussi dès l’origines de la création du concept de produit.

Il y a aussi une exigence que les vérificateurs ne doivent recueillir que les données strictement nécessaires à la réalisation de leurs objectifs spécifiques et les détruire  dès qu’elle ne sont plus nécessaires.

13. Un guichet unique

Un nouveau guichet unique Européen est créé pour les entreprises. Cela signifie que les entreprises ne devront faire face à une autorité de surveillance unique pour l’ensemble de l’Europe et non pas au sein de chaque état. Ceci rend plus simple et moins coûteux pour les entreprises de faire des affaires dans l’UE. Cela aura également un impact positif pour les fournisseurs de services Internet ayant des bureaux dans plusieurs pays de l’UE.

Et pour se mettre en conformité, comment fait-on?

Dans notre prochain article, nous verrons comment nous appuyer sur COBIT 5 et ISO 27001 pour implémenter l’ensemble des mesures nécessaires à la conformité requise par la GDPR.

Vous avez des questions sur le contenu de la réglementation, son interprétation ou ses conséquences pratiques? N’hésitez pas à nous poster un commentaire et un de nos experts en protection des données personnelles vous répondra.

GDPR et protection des données en Afrique

Les exigences et les conséquences du GDPR

La règlementation générale sur la protection des données (GDPR: General Data Protection Régulation) est applicable à partir du 25 mai 2018. Elle deviendra donc, de fait, une loi applicable dans chacun des pays de la Communauté Européenne à cette date. Encore une réglementation européenne de plus, pensez-vous? Non, pas exactement. Il s’agit là d’une réglementation majeure qui va impacter profondément les économies des pays Européens. Mais elle va également impacter celles des pays qui ont des liens commerciaux forts avec l’Europe. Les pays d’Afrique sont au premier plan des pays qui vont subir de plein fouet cette nouvelle réglementation. Alors de quoi s’agit-il? Faut-il s’inquiéter? Comment s’y préparer pour réduire les risques pour nos économies? Nous allons essayer de vous apporter quelques ébauches de réponses.

COBIT, GDPR et la protection des données

 GDPR – Ca veut dire quoi?

GDPR signifie Réglementation Générale sur la Protection des Données. Il s’agit d’une réglementation Européenne (99 articles décrits sur 88 pages) qui entrera en vigueur le 25 Mai 2018. A compter de cette date, elle s’impose à toutes les Entreprises de l’ensemble des états de la Communauté Européenne. L’objectif de cette réglementation est d’assurer la protection des données personnelles de l’ensemble des citoyens, notamment face aux risques de cybersécurité qui augmentent chaque jour.

La négligence, l’imprudence ou la simple malchance ne constitueront pas une excuse en vertu de la loi renforcée. Les entreprises qui seront en violation avec la loi devront faire face à une augmentation des peines importantes. A moins, bien sûr, qu’elles ne puissent démontrer que la protection des données qu’elles utilisent – la confidentialité et la sécurité – était manifestement au niveau de qualité exigé par le GDPR. Ceci a notamment pour objectif de nous assurer que nous, en tant qu’individus, disposons de privilèges plus étendus sur nos données personnelles, y compris le droit à l’oubli.

Quels sont les enjeux?

Le GDPR est fondamentalement une excellente chose. Il est moralement juste et chacun d’entre nous devrait y adhérer sans réserve. Il y a de bonnes raisons commerciales également à le respecter :

  • le respect du GDPR signifie que nous sommes alignés avec la réglementation Européenne en la matière et que nous pouvons donc avoir des activités commerciales avec des Entreprises dans tous les pays Européens,
  • c’est l’occasion de mieux protéger nos données contre les risques en matière de cybersécurité,
  • c’est aussi la meilleure façon d’assurer que nous sommes alignés avec la réglementation en vigueur en Amérique du Nord et que les risques de cybersécurité ne seront pas un frein à nos échanges avec les USA et le Canada.

Mais, malheureusement, il y a aussi des coûts associés :

  • la mise en oeuvre des obligations prévues par la réglementation,
  • les problèmes de réputation et les aspects stratégiques,
  • les coûts opérationnels et les coûts de conformité,
  • et enfin la mise à niveau, en termes de formation et de sensibilisation, de l’ensemble du personnel des Entreprises, depuis le Président du Conseil d’Administration jusqu’au gardien, car les individus sont les premiers remparts en matière de sécurité des données.

Tous ces coûts risquent fort d’être extrêmement importants. Et ce surtout en Afrique où le sujet n’intéresse, pour l’instant, pas grand monde et où le niveau de sécurité de l’information dans les Entreprises est proche de zéro. Combien d’Entreprises, par exemple, sont aujourd’hui, en Afrique, certifiées sur la base de la norme ISO 27001? L’étude annuelle réalisée début 2016 par l’ISO montre seulement 129 entreprises certifiées ISO 27001 en Afrique. Parmi celles-ci, seulement 2 sont en Afrique Francophone subsaharienne (1 en Côte d’Ivoire et 1 au Sénégal). Ce chiffre est à comparer avec les plus de 12.000 organisations certifiées en Asie…

Les exigences du GDPR en matière de protection des données

L’ICO (Information Commissioner’s Office), organisation indépendante créée au Royaume Uni en vue  superviser les droits sur l’information dans l’intérêt public, donne une explication détaillée et compréhensible des principaux aspects de cette règlementation.

Quelques points clés issus du contenu de la réglementation sont particulièrement importants pour les économies Africaines :

Fournisseurs et partenaires d’affaires sont inclus dans le périmètre

Les fournisseurs et les partenaires d’affaires doivent être inclus dans le périmètre de la gestion de la protection des données. Cela signifie qu’une Entreprise Européenne ne pourra transmettre des données (bancaires ou commerciales par exemple) à un fournisseur ou un partenaire d’affaires situé sur le continent Africain que si et seulement si ce fournisseur ou ce partenaire d’affaires peut apporter la preuve (au travers d’un audit ou d’une certification par exemple) qu’il sécurise ses informations à un niveau au minimum égal à ce qu’exige la réglementation Européenne.

Compréhension des vulnérabilité et menaces

Comprendre les vulnérabilités, les menaces et l’efficacité de votre maintenance corrective sont essentiels. Cela signifie, en clair, qu’il est indispensable que toutes les menaces, toutes les vulnérabilités et la maintenance corrective des logiciels que vous utilisez soient connues, comprises, évaluées et contrôlées. En Afrique, les Entreprises sont majoritairement des PMEs. Les budgets et les compétences nécessaires vont bien au-delà de leurs moyens. Par contre, cela rentre typiquement dans le périmètre des obligations d’un éditeur de logiciel. Cela signifie donc, entre autres, qu’il ne sera pas possible, sauf à démontrer que l’obligation est bien respectée grâce à des certifications internationales ou des audits, de s’appuyer sur des applications spécifiques, développées en interne par les Entreprises. Impossible également de s’appuyer sur du logiciel libre, largement répandu dans les Entreprises Africaines. Dans ce cas, il sera impossible d’apporter la preuve du respect de l’exigence dans le cadre d’un audit.

Sécurisation adéquate des données des clients

Les données des clients doivent être considérées parmi les « biens » les plus précieux de l’Entreprise. Elles doivent donc être protégées comme telles et  bénéficier d’un niveau de sécurité maximum. Des audits et/ou des certifications d’entreprises sur des normes internationales devront permettre de démontrer que le niveau adéquat de protection est bien appliqué aux données des clients (informations personnelles, informations bancaires, informations médicales par exemple), y compris lorsqu’elles transitent ou sont manipulées au sein d’une Entreprise Africaine, partenaire d’affaires, client ou fournisseur d’une Entreprise Européenne.

Protection efficace contre les faiblesses humaines

Une protection efficace est exigée contre des fuites de données involontaires, provoquées par l’entreprise et son personnel, notamment via les médias sociaux. Cela implique une formation de l’ensemble du personnel des Entreprises Africaines, allant du Président au gardien, sur la sécurité de l’information et la mise en oeuvre de moyens de contrôle, notamment sur la fuite d’informations via les réseaux sociaux. Cela risque de s’avérer quasi-impossible dans des pays où le moyen privilégié de communication est Facebook. Facebook constitue généralement, dans les pays d’Afrique subsaharienne, le support institutionnel pour la communication d’Entreprise.

De plus les législations locales des pays Africains n’autorisent pas ces pratiques de contrôle pour les Entreprises. Cela nécessite donc des changements culturels et législatifs qui prendront beaucoup de temps. Or le temps est compté puisque la réglementation s’applique à compter du 25 Mai 2018. De plus ces évolutions risquent fort de rencontrer une opposition farouche des populations. Elles considèreront cela, sans aucun doute, comme une entrave à leurs libertés.

Et si une Entreprise n’est pas conforme au GDPR?

L’article 83 du GDPR stipule que toute Entreprise Européenne non conforme à la réglementation sera soumise à une amende égale à la plus élevée des deux montants : 20.000.000 Euros ou 4% de son chiffre d’affaire annuel.

Il est clair qu’aucune organisation en Europe n’acceptera de courir un tel risque avec un partenaire d’affaires ou un fournisseur qui ne serait pas aligné sur les exigences de cette réglementation.

GDPR - Impacts

Les conséquences pour les économies des pays Africains

Les conséquences pour les économies Africaines sont donc claires. Elles doivent s’adapter pour permettre à leurs Entreprises de faire du business avec l’Europe, qui constitue un de leurs plus gros marchés. A défaut, elles seront dans de très grandes difficultés. Le temps presse car cette réglementation entre en vigueur le 25 Mai 2018. Inutile d’envisager de rediriger les marchés vers l’Asie ou l’Amérique du Nord. Des réglementations similaires, tout aussi contraignantes, y sont déjà appliquées ou en voie de l’être. Il faut donc transformer, dans un délai de 18 mois, les Entreprises pour les rendre conformes aux obligations réglementaires.

Dans notre prochain article, nous vous donnerons quelques pistes pour réussir cette transformation dans les délais en vous appuyant sur des référentiels de Gouvernance et de Management de la Sécurité de l’Information tels que COBIT ou ISO 27001 en vue d’une meilleure protection des données.

N’hésitez pas à nous communiquer vos commentaires et vos questions. Nos experts se feront un plaisir de vous répondre.

Nouveau: DevOps débarque en Afrique!

Une évolution nommée DevOps

Apparu depuis quelque temps, un nouveau mouvement professionnel et culturel visant à améliorer le flux entre les développeurs de logiciels et les équipes opérationnelles commence à faire ses preuves. Encore peu répandu sur le continent Africain où, pourtant, de nombreuses organisations réalisent leurs propres développements de logiciel en interne avant de les exploiter, DevOps répond clairement à un besoin croissant d’agilité des organisations dans un contexte de plus en plus mondialisé. Certains en ont peut-être déjà entendu parler sur des blogs ou via des offres d’emploi.

Dans un premier temps, DevOps peut être vu comme un outil d’amélioration des performances opérationnelles fonctionnant de manière intelligente. La stratégie DevOps aura un impact sur l’ensemble des réseaux de distribution. A la clé figurent des avantages non négligeables:

  • réduction du temps de commercialisation,
  • diminution des problèmes liés aux nouvelles publications,
  • réduction des délais de mise à disposition de correctifs
  • et accélération des temps de reprise après sinistre.

L’évolution constante des entreprises vers le numérique pousse désormais les développeurs à revoir sérieusement les modes de création d’applications.

DevOps-Evolution

Il n’est désormais plus tolérable d’attendre 6 mois, voire 1an avant de livrer les services demandés par les entités business. Les systèmes d’information doivent s’aligner sur la sortie des produits et services métiers. Le marketing ne peut plus attendre, surtout que les projets futurs deviennent de plus en plus complexes notamment en matière informatique. Le tout se retrouve dans un contexte économique pesant sur les budgets. Dans le cadre de ce développement, DevOps répond parfaitement à ce défi digital et les entreprises en ont maintenant pris conscience.

Qu’est-ce que DevOps?

DevOps est l’abréviation de « Développement » et « Opérations » dans le domaine informatique. Ce n’est pas un outil, un processus ou une méthodologie. DevOps a débuté comme étant, et continue d’être, une convergence d’idées en vue de combler le fossé qui sépare les équipes de développement et d’exploitation dans les Directions Informatiques. L’idée maitresse est de rationaliser le développement de logiciels et de faciliter leur exploitation et leur maintenance. Le terme DevOps identifie un mouvement déclenché par la frustration des professionnels de l’informatique, vers 2010, résultant des dysfonctionnements et de l’incapacité d’y remédier du fait d’outils et de processus inadaptés. Ces professionnels IT frustrés ont partagé leur vision du fait que le développement de logiciels et les opérations peuvent, et doivent être plus efficaces et moins douloureux.

Aujourd’hui, la définition originale de DevOps comme étant l’intégration du « développement » et des « opérations » est devenue trop limitée et inexacte. DevOps implique plus d’acteurs que les seuls développeurs et les techniciens d’exploitation. Le cycle de développement de logiciel  implique également de nombreux autres rôles qui constituent des contributeurs essentiels. Parmi ceux-ci, citons la gouvernance, l’assurance qualité (QA), les tests, la sécurité et la gestion des versions. DevOps est donc une combinaison de personnes, de culture, de processus, d’outils et de méthodes  réduisant les risques et les coûts, et permettant à la technologie d’évoluer à la vitesse de l’entreprise, et d’améliorer la qualité globale.

Pourquoi une nouvelle approche?

L’approche traditionnelle repose sur un ensemble de facteurs qui la fragilisent et l’alourdissent. DevOps représente une prise de conscience que l’approche traditionnelle n’est plus en mesure de satisfaire le besoin d’agilité nécessaire à l’Entreprise pour rester concurrentielle. Un exemple typique serait le cas du web qui gère des applications dans le Cloud. DevOps est une démarche innovante qui s’apparente à une philosophie destinée à des personnes à la recherche d’efficacité.

Pour la réalisation des grands projets informatiques, différentes équipes aux rôles bien définis sont impliquées. Il s’agit d’une part de l’équipe de développement et d’autre part de celle chargée de l’exploitation. Habituellement, les équipes de développement tentent de répondre à des spécifications fonctionnelles issues du métier ou du client. Elles travaillent généralement dans leur propre environnement, avec leurs outils destinés aux développements. Elles ne se soucient guère de l’impact que peut avoir leur code sur la phase d’exploitation qui exécutera l’application sur un environnement de production. Les équipes chargées de l’exploitation, quant à elles, tentent de répondre à des impératifs de performance ou de stabilité du système. Et c’est pourquoi, elles sont très attentives à minimiser les impacts des modifications afin de préserver ces performances. Hélas, cela risque de générer un goulot d’étranglement pour l’ajout de nouvelles fonctionnalités aux applications.

Quelle que soit l’équipe, il est toujours compliqué d’être au courant de comment une autre équipe gère ses tâches. Cela rend difficile l’optimisation des deux côtés. C’est à ce niveau qu’intervient DevOps dont le rôle est, en quelque sorte, de réaliser l’intégration des différentes équipes pour faciliter la communication et diffuser l’information. Les autres fonctions de DevOps incluent l’amélioration de la coordination durant les phases de livraison et de déploiement afin de limiter les erreurs.

Les résultats sont-ils probants?

Les résultats sont probants et donnent un bon aperçu des avantages de DevOps. Selon un sondage récent 66% des entreprises dans le monde utilisent déjà une stratégie DevOps ou envisagent d’en mettre une en œuvre. Plus de 90% d’entre elles ont observé ou s’attendent à un gain substantiel grâce à leurs initiatives DevOps. Les résultats de DevOps sont réels et quantifiables car cette approche génère des améliorations, augmentations ou réductions, à deux chiffres (de 17 à 23%).

Infographie DevOps

Les résultats concernant la France sont inférieurs aux chiffres résultants du sondage mondial mais sont néanmoins significatifs.

Quels sont les enjeux?

L’arrivé de DevOps met la pression aux développeurs car ils doivent produire davantage dans un temps réduit et réaliser des tests supplémentaires tout en respectant les contraintes budgétaires imposées. Parmi les enjeux majeurs apparaissent la réactivité commerciale et les délais de commercialisation qui bien souvent affectent l’expérience du client. Cela dit, DevOps impose un niveau de collaboration, d’agilité, de visibilité de développement et de rapidité de distribution qui relève le défi des projets à long terme dont la lenteur est à bannir compte-tenu des contraintes du monde de l’entreprise.

La stratégie DevOps est moins adaptée aux mainframes car il est généralement compliqué de faire évoluer des processus traditionnels bien ancrés et de développer la collaboration autour de technologies solidement établies. La majorité des schémas organisationnels sont en réalité inadaptés ou insuffisants pour permettre aux équipes de développement d’atteindre leurs objectifs et le niveau de productivité qu’exige leur entreprise.

DevOps, pour quels bénéfices

Le slogan pré-Devops était « Vite vite on met en production ! ». Mais attention, il ne faut pas confondre vitesse et précipitation. La production c’est du sérieux ! En effet, les développeurs produisent du code à partir d’un cahier des charges précis. Ils se préoccupent peu des impacts que peut avoir leur code sur la production. De la même façon, les équipes de production sont quant à elles obnubilées par la stabilité de l’infrastructure, garante de la création de valeur pour les métiers. Elles freinent donc les mises en production et blâment le code du développeur si le résultat voulu par l’utilisateur n’est pas satisfaisant. La vision DevOps tente de pallier à ce problème en favorisant une répartition des responsabilités et l’implication de l’ensemble des acteurs de la chaine. Le développeur devient ainsi testeur de son code.

Les intérêts d’adoption d’une démarche Devops sont multiples :

  • Réduire le cycle et le coût de mise en production,
  • Avoir une approche plus fragmentée (petites évolutions),
  • Faire que les mises à jour deviennent transparentes,
  • Mise en commun des responsabilités (tout le monde dans le même bateau!)
  • Une amélioration continue du produit,
  • Répondre plus rapidement aux besoins des clients.

NETFLIX, Amazon, Singapore Power ont été conquis par DevOps

Eh oui, même les plus grands ont adopté Devops ! Des entreprises telles que Netflix ou Amazon ont bâti une bonne partie de leur succès en s’appuyant DevOps.

Cycle de vie DevOpsChez Netflix, par exemple, le déploiement est totalement automatisé, depuis le packaging du nouveau code jusqu’à la mise en production. Cela passe par la mise en oeuvre de l’infrastructure virtuelle et les tests fonctionnels. Une nouvelle version d’application sera promue automatiquement dans une nouvelle infrastructure virtuelle. Elle est mise en service en lui redirigeant un sous-ensemble du trafic utilisateur. Après une phase pilote avec monitoring automatisé, si le comportement s’avère satisfaisant, la totalité du trafic est redirigé. L’ancienne instance de l’application et son infrastructure sont alors automatiquement décommissionées.

Vous souhaitez en savoir plus sur DevOps?

DevOps est désormais accessible en Afrique. Laissez vous tenter par cette révolution. Faites partie des premiers à satisfaire enfin le besoin d’agilité tant attendue par le Business. Grâce à DevOps vos équipes informatiques pourront concevoir et déployer des applications plus rapidement. Elles travailleront de manière efficace et efficiente, s’adapteront facilement au changement, développeront de meilleurs logiciels. Dernier avantage non négligeable, DevOps vous permettra d’optimiser les coûts. Une mise en œuvre parfaite de DevOps est essentielle et nécessite des professionnels expérimentés dans le domaine. C’est pourquoi AB Consulting, seul organisme officiellement accrédité en Afrique, vous aide à comprendre et à mettre en œuvre DevOps dans votre Organisation. Nous vous accompagnons également dans la conduite du changement culturel au sein de vos équipes. Pour plus d’informations sur nos prochaines formations DevOps Foundation, consultez notre site.

N’hésitez pas à nous adresser vos commentaires et vos questions qui seront les bienvenues pour que s’instaure un dialogue fructueux autour de la révolution DevOps.

Culture et éthique au coeur de l’Entreprise

Pas de création de valeur sans culture et éthique

Ardent défenseur de la bonne gouvernance pour promouvoir les comportements adéquats, en matière de business, je défends depuis longtemps l’idée que les Entreprises doivent comprendre et pratiquer un capitalisme responsable. En ce moment même se déroule un G20 en Chine. C’est le cadre dans lequel deux des plus grands pollueurs de la planète, à savoir les USA et la Chine viennent enfin de ratifier l’accord de la COP21. Cet accord vise à réduire l’émission de gaz à effets de serre. Ces gaz menacent directement la survie même de l’humanité et plus globalement de la Terre. Il est donc désormais clair que le capitalisme responsable est plus que jamais une nécessité vitale. Cela s’appuie, de toute évidence, sur une culture et une éthique d’Entreprise plus exigeantes.

Corporate Culture of a Company and Responsibility

Qu’est-ce que le capitalisme responsable?

Il se trouve que ce concept a été soulevé, il y a quelques semaines par l’Institute of Business Ethics (IBE). L’IBE est une organisation Britannique non gouvernementale créée en 1986. Sa mission consiste à encourager l’adoption de normes de haut niveau en matière de comportement d’affaires au sein des Entreprises. Pour ce faire il est indispensable de s’appuyer sur des valeurs éthiques fortes. Or chacun sait que les Entreprises, par la voix de leur Conseil d’Administration réagissent majoritairement dans deux cas seulement. Elles doivent y être contraintes soit par des obligations légales ou réglementaires, soit par un scandale financier affectant leurs actionnaires. Dans les deux cas, elles réagissent sous la contrainte et sont malheureusement rarement pro-actives.

En juillet, l’IBE a présidé un excellent colloque sur ce que le «capitalisme responsable» signifie aujourd’hui. Cela conforte ce que je préconise depuis longtemps, m’appuyant sur COBIT 5, à mes clients et partenaires. Il est devenu indispensable de créer une culture d’entreprise permettant aux humains d’exploiter les opportunités, et pas l’inverse. Cet objectif se réalise, bien sûr, en encourageant la liberté de produire, de vendre et d’acheter des biens et services afin de créer de la valeur pour la Société, pour le plus grand profit de ses parties prenantes. Mais cela nécessite impérativement d’agir dans un cadre bien défini en matière de comportement d’affaires. C’est un pré-requis à la bonne gouvernance selon COBIT qui propose 6 autres facilitateurs pour la création de Valeur. 

Le rôle du Conseil d’Administration

Il est donc important que les Organisations définissent les comportements business qui sont et ne sont pas autorisés. Il est également vital de définir dans quelle mesure la culture de l’Organisation soutient ou contredit sa position éthique officielle.

Pour illustrer ce propos, prenons, par exemple, le cas de la FIFA (Fédération Internationale du Football Amateur). D’un point de vue éthique, la FIFA a pour mission de promouvoir les opportunités dans le monde du football. Son site Web met en exergue cette orientation. « La mission de la FIFA consiste à développer le football partout et pour tous, à toucher le monde à travers des tournois passionnants et à construire un avenir meilleur grâce au pouvoir du beau jeu ». Or nous avons tous en mémoire les récents scandales affectant la Direction de la FIFA et démontrant la corruption culturelle de cette Organisation. Ceci révèle une énorme différence entre la parole («ce que je dis») et les actes («ce que je fais»). Et cela conduit inévitablement à une faillite complète de l’Organisation et à la destruction de Valeur.

FIFA culture eroded ethics

Les scandales du LIBOR, du FOREX et des assurances emprunteurs PPI dans le secteur financier, la tricherie de Volkswagen sur les émissions de particules et les manipulations financières de Tesco destinées à dissimuler un trou au niveau comptable, sont autant d’exemples où la culture d’entreprise a violé l’éthique. Les Conseils d’Administration se réunissent et prennent note de ces violations. Hélas cela se passe seulement une fois que l’éthique a été violée. En effet, c’est seulement à postériori que les impacts au niveau de l’Entreprise se font sentir. Et c’est donc seulement après coup que le Conseil d’Administration se trouve contraint d’agir. A ce moment là, il est le plus souvent trop tard pour agir.

La création de valeur

Toutes ces Organisations étaient pourtant bien établies. Elles inspiraient suffisamment de confiance en terme de création de valeur. Malheureusement elles ont toutes fini par violer les règles fondamentales de l’éthique. C’est comme si la signification de la valeur avait été déformée. La valeur est la conjonction du profit, de l’optimisation des risques et de l’optimisation des ressources. Aujourd’hui, de nombreuses Entreprises évaluent uniquement la valeur d’un point de vue financier. Valeur devient synonyme de gros profits, gros dividendes et valeur marchande élevée. Elles font souvent fi de l’optimisation des risques liés à un comportement non éthique. De même elles se préoccupent  peu de l’utilisation efficiente des ressources.

Alors même qu’augmente la pression sur les ressources de la planète, et que la législation et la réglementation se concentrent maintenant sur la façon de faire les choses, les entreprises doivent désormais se focaliser sur leur façon de fonctionner, de produire et de servir. Le changement de la façon de faire des affaires favorise une approche éthique. la culture au sein des Organisations et des chaînes d’approvisionnement doit donc également se transformer pour permettre le  passage de la simple «création de richesse» à la notion de «création de bien-être».

Peut-être est-ce là la différence entre une entreprise bâtie sur le «capitalisme» (d’aucuns parlent de capitalisme sauvage) et une entreprise construite sur le «capitalisme responsable». Celui-ci intègre d’autres éléments dans sa définition de la «valeur», tels que les bénéfices sociaux et environnementaux. Le capitalisme responsable prolonge ainsi la «richesse» jusqu’au «bien-être». En d’autres termes, dans ce contexte, la valeur ajoutée est la somme de la richesse (s’appuyant sur le profit, pas seulement financier d’ailleurs) et du bien-être (résultant de l’optimisation des risques et des ressources). Cette création de valeur sera soutenue par l’éthique (objectif à atteindre), et la culture (moyen de la produire).

Peut-on auditer la culture d’une Organisation ?

Maintenant, il est nécessaire de mesurer tout cela. La culture est partout et nulle part dans les entreprises. Elle est partout dans le sens où elle est façonnée et déterminée par toutes les caractéristiques de l’entreprise – son personnel, son organisation, la façon de récompenser les gens, etc; – et nulle part, parce que la culture n’est pas tangible. Ce n’est pas un produit qu’on peut mettre sur une étagère, puis modifier et faire évoluer à volonté. Il est cependant nécessaire d’évaluer l’aptitude de la culture d’une entreprise à créer de la valeur pour l’Entreprise.

Avec quelque chose d’aussi intangible que la culture, où et comment peut-on commencer cette évaluation? Une bonne façon de démarrer une telle évaluation consiste à identifier la  « pression d’entreprise» sur son personnel. C’est cette pression qui va révéler les changements culturels et leur impact sur l’éthique. Cela soulèvera immanquablement des «feux rouges» indiquant que l’Organisation présente un risque important. Ce risque pourra se traduire notamment par un scandale affectant l’image de l’Organisation.

Les indicateurs de risque

Quels sont ces feux rouges? On peu en identifier cinq essentiels :

  • l’existence d’accords salariaux controversés, tels q’une rémunération anormalement élevée des dirigeants favorisant la prise de risques et encourageant uniquement des objectifs à court terme;
  • des structure juridique complexe rendant difficile la transparence, pour les Conseils d’Administration et le Management, sur ce qui se passe à l’intérieur de l’entreprise;
  • une mauvaise réalisation de Fusions / acquisitions conduisant à un mélange de cultures au sein de l’entreprise, avec des «poches» de mauvais comportement qui se développent hors du contrôle du Conseil d’Administration;
  • une discipline financière laxiste (par exemple Northern Rock et RBS avaient un endettement excessif qui a conduit à leurs problèmes) pouvant déclencher une crise;
  • des dirigeants « autocratiques » que le personnel craint de fâcher par crainte de représailles, ce qui signifie que des informations vitales sur les problèmes potentiels risquent de ne jamais atteindre la haute direction et les Conseil d’Administration.

COBIT 5 comme cadre d’évaluation

L’étape suivante consiste en la définition d’une approche pour examiner et évaluer la culture et l’éthique, en s’appuyant par exemple sur COBIT 5.

facilittaeurs de la création de valeur

Nous pouvons appliquer la publication COBIT 5 for Assurance, pages 139 – 141, à chacun des « feux rouges » identifiés ci-dessus. COBIT 5 examine l’influence sur le comportement par le Leadership selon trois axes, « à travers la communication, l’application et les règles », « au travers des incitations et des récompenses» et «par les actions de sensibilisation». Tous les trois portent sur les questions relatives à la pression de l’Entreprise.

La communication, les règles et leur application influencent les comportements

Cette perspective permettra de découvrir si l’entreprise « prend des raccourcis » ou fait preuve d’une discipline financière laxiste. Elle permettra également de découvrir si le conseil d’administration se concentre sur les mesures à court terme. On s’attachera notamment à ce niveau à étudier l’existence et le contenu des politiques et du système de management.

Les incitations et récompenses soutiennent les comportements souhaités:

Cet axe d’évaluation va révéler comment la rémunération et les récompense réelles correspondent aux schémas officiels de récompenses/pénalités en vérifiant si le personnel s’affranchit des limites, si les managers et le conseil d’administration tolèrent les petites infractions aux politiques et si les pénalités au niveau du salaire sont bien appliquées et encouragent la prise de risque – pour atteindre des objectifs à court terme.

La sensibilisation conditionne les comportements attendus

Cette perspective permet d’identifier si des structures juridiques complexes existent. C’est alors difficile, pour le conseil et la direction, de comprendre ce qui se passe à l’intérieur de l’entreprise. Par exemple, une complexité des structures peut résulter de prises de contrôle, conduisant à un choc de cultures. Cela générera des zones de mauvais comportement allant au-delà de la capacité de supervision du Conseil d’Administration.

En résumé, une évaluation globale basée sur COBIT 5 nous aidera à évaluer si le conseil change de direction s’écartant des pratiques validées sans officiellement modifier ou communiquer sa nouvelle approche.

A quoi sert vraiment COBIT ?

Mais COBIT 5 peut faire encore beaucoup plus pour nous. Il peut, de manière transparente, identifier la fourniture et l’utilisation des développements technologiques, tels que les objets connectés par Internet et le Big Data, et évaluer la réponse d’Entreprise en matière de confidentialité des données et de pratiques de cyber-sécurité. A mesure que les progrès technologiques se combinent de façon plus évidente, imbriquant chaque jour davantage vie professionnelle et vie privée, de nouvelles questions éthiques se posent. C’est l’évaluation continue de la culture et de l’éthique qui soutiendra toutes les opérations et l’obtention des résultats attendus.

Vous voulez découvrir comment COBIT peut vous aider?

AB Consulting, seul organisme de formation accrédité par APMG/ISACA sur l’ensemble des certifications COBIT 5 en Afrique de l’Ouest et du Nord, mais également certifié en matière d’audits sur la base de COBIT 5 vous propose de découvrir comment ce cadre de Gouvernance et de Management qui couvre la totalité de l’Entreprise, bien au delà du département informatique, peut vous aider à créer de la valeur au sein de votre organisation. N’hésitez pas à consulter notre site web pour en savoir davantage ou pour vous inscrire à l’une de nos formations certifiantes.

Des commentaires à faire sur cet article? Un témoignage à nous apporter? Des questions à poser? Surtout n’hésitez pas à poster ci-dessous vos commentaires. Nous vous répondrons avec grand plaisir.

Si vous pensez que ce post peut intéresser d’autres personnes, n’hésitez pas à le partager sur les réseaux sociaux.

Catégories

Archives

Calendrier

avril 2018
L M M J V S D
« Déc    
 1
2345678
9101112131415
16171819202122
23242526272829
30  
%d blogueurs aiment cette page :