Home » Posts tagged 'gouvernance'

Tag Archives: gouvernance

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

RGPD/GDPR : appuyez-vous sur COBIT

Dans notre précédent article intitulé RGPD/GDPR ; Les changements au 25 Mai 2018, nous vous avons proposé 10 axes clés pour devenir conforme au RGPD. La mise en conformité est, par définition, un projet transversal relevant de la gouvernance de l’Entreprise. Or, dès lors qu’on parle de Gouvernance, le référentiel susceptible de nous aider est COBIT 5. Dans quelle mesure, COBIT 5 peut-il nous aider à mettre en oeuvre le RGPD (GDPR) via ses 7 facilitateurs, en s’appuyant sur les 5 principes de la Gouvernance?

RGPD : comment COBIT peut vous aider
Crédits : Tatyana – Fotolia.com

Le RGPD (GDPR en Anglais) contient 99 articles définissant les exigences et les droits accordés aux citoyens de l’UE. Le RGPD (/GDPR) décrit également la structure de conformité et pénalités pour non-conformité. Chaque organisation a besoin de bien comprendre le RGPD (/GDPR) et de déterminer ses prochaines actions. Nous allons, pour les principaux sujets de préoccupation, décrire comment l’approche COBIT peut vous aider à y répondre.

Quel rapport en tre RGPD (GDPR) et COBIT?

Le RGPD (GDPR en Anglais) est une Règlementation Européenne destinée à la protection des renseignements et des données personnelles des citoyens de l’Union. Il s’agit donc d’une loi, applicable à toute entreprise ou organisme, public ou privé, dans l’Espace Economique Européen. Cette loi est entrée en vigueur le 4 Mai 2016 (date de publication au journal officiel de l’Union Européenne) . La Commission Européenne a accordé  deux ans de grâce aux Etats et aux organisations pour se mettre en conformité. Ce délai de grâce expire le 25 Mai 2018. Par conséquent, les sanctions prévues par loi vont s’appliquer à compter cette date. De plus, il faut reconnaître que les sanctions prévues sont dissuasives (jusqu’à 4% du chiffre d’affaires mondial annuel pour les grandes entreprises et 20 Millions d’Euros pour les TPE et PME).

Malheureusement, comme d’habitude, les organisations des pays francophones ont attendu le dernier moment pour se préoccuper de leur mise en conformité. Aussi, à un mois de l’échéance, beaucoup d’entre elles commencent seulement à se poser la question. De plus, elles pensent, de façon totalement erronée, qu’il s’agit simplement d’un projet informatique de plus.

La conformité légale et réglementaire est, par essence, un sujet de Gouvernance des Entreprises. Dans le cas précis du RGPD, il s’agit de Gouvernance du Système d’Informations. Or le référentiel de Gouvernance du Système d’Informations, reconnu dans le monde entier, n’est autre que COBIT 5. Il apparaît donc clairement que COBIT 5 peut nous aider efficacement à mettre en oeuvre des exigences du RGPD (GDPR).

Quelques exigences clés du RGPD (GDPR)

Identification des données présentant un risque élevé et analyses d’impact

Les entreprises ont désormais l’obligation effectuer des analyses d’impact sur la protection des données (DPIA) lors de l’utilisation de nouvelles technologies ou lors du lancement de nouveaux projets, pour toute donnée présentant un risque élevé pour les droits et libertés des citoyens de l’UE. Ces analyses d’impact doivent également décrire comment l’entreprise entend aborder le risque grâce à un traitement systématique et étendu ou via des activités de surveillance. Donc, cela s’apparente à une évaluation traditionnelle des risques qui analyse les risques et les mesures en place pour y remédier. Ainsi, il est simple, en nous appuyant sur la cascade d’objectifs, d’identifier les processus primaires de COBIT à considérer:

  • EDM02 Ensure Benefits Delivery ;
  • EDM04 Ensure Risk Optimization ;
  • APO11 Manage Quality ;
  • APO12 Manage Risk ;
  • APO13 Manage Security ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Protection, traitement et stockage des données personnelles

Les données personnelles de chaque personne concernée doivent être traitées de manière transparente, et uniquement pour les finalités spécifiées. L’Entreprise doit garantir un niveau « raisonnable » de protection des données et des renseignements personnels. Les données doivent être traitées en toute sécurité pour se protéger contre tout accès non autorisé, perte ou dommage. Des mesures techniques et organisationnelles appropriées doivent être mises en oeuvre. Le RGPD (GDPR) ne définit pas ce que cela signifie de façon précise. Il est cependant clair que si les données sont perdues ou volées, l’entreprise est manifestement en violation de la conformité. Les principaux processus COBIT à considérer sont donc les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO02 Manage Strategy ;
  • APO03 Manage Enterprise Architecture ;
  • APO10 Manage Suppliers ;
  • BAI01 Manage Programs and Projects ;
  • BAI02 Manage Requirements Definition ;
  • BAI03 Manage Solutions Identification and Build ;
  • BAI04 Manage Availability and Capacity ;
  • BAI06 Manage Changes ;
  • BAI07 Manage Change Acceptance and Transitioning ;
  • BAI08 Manage Knowledge ;
  • BAI09 Manage Assets ;
  • BAI10 Manage Configuration.

Consentement, portabilité, droit d’accès et droit à l’oubli

Les individus doivent donner leur consentement explicite concernant le traitement de leurs données personnelles. Rappelons que le RGPD (GDPR) considère comme traitements la collecte initialel’enregistrementl’organisationla structurationla conservationl’adaptation ou la modificationl’extractionla consultationl’utilisationla communication par transmissionla diffusion ou toute autre forme de mise à dispositionle rapprochement ou l’interconnexionla limitationl’effacement jusqu’à la destruction.

Ces personnes (« les personnes concernées ») ont le droit de savoir, sur demande, quelles données personnelles une entreprise utilise et comment ces données sont utilisées. Un citoyen de l’UE peut également obtenir, sur demande, le transfert de ses données personnelles d’une entreprise à une autre dans un format lisible par machine. De plus, les entreprises ont l’obligation  d’arrêter de traiter et / ou de supprimer des données personnelles sur un citoyen de l’UE sur sa demande. Cette exigence va plus loin: il s’agit de permettre aux citoyens de l’UE le droit d’être oublié en ayant des données personnelles supprimées sur demande. Les principaux processus COBIT à considérer sont les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO08 Manage Relationships ;
  • APO09 Manage Service Agreements ;
  • APO10 Manage Suppliers ;
  • BAI08 Manage Knowledge.

Nomination d’un délégué à la protection des données

Certaines organisations ont obligation de désigner un délégué à la protection des données (DPO). Le rôle du DPO est de superviser la stratégie de sécurité des données de l’entreprise et sa conformité au RGPD (GDPR). Alors, quelles sont les  organisations qui ont l’obligation d’avoir un DPO? L’exigence s’applique à toute organisation qui traite ou stocke de grandes quantités de données sur les citoyens de l’UE. Elle s’applique également aux organisations qui traitent ou stockent des données personnelles, surveillent régulièrement les individus. Enfin elle s’applique à toutes les autorités publiques. Pour répondre à cette exigence, les principaux processus COBIT à considérer sont :

  • EDM01 Ensure Governance Framework Setting and Maintenance ;
  • APO07 Manage Human Resources ;
  • BAI05 Manage Organizational Change Enablement.

Notification des violations de données à caractère personnel

Les entreprises (et plus particulièrement les responsables du traitement) doivent informer les autorités de contrôle dans les 72 heures suivant la découverte d’une violation de données à caractère personnel. Les sous-traitants sont généralement ceux qui découvrent en premier  une telle violation de données. Par conséquent, la loi les rend responsables d’informer sans délai le responsable du traitement. Beaucoup d’organisations ont déjà mis en place de telles procédures. Cependant,  peu d’entre elles effectuent régulièrement des tests pour s’assurer que les exigences sont bien respectées. Concernant cet axe de travail, les principaux processus COBIT à considérer sont :

  • DSS01 Manage Operations ;
  • DSS02 Manage Service Requests and Incidents ;
  • DSS03 Manage Problems ;
  • DSS04 Manage Continuity ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Assurer la conformité réglementaire

Pour assurer la conformité à la législation, les organisations ont l’obligation de s’évaluer, de surveiller et d’évaluer en permanence leurs contrôles et d’étudier les améliorations continues à mettre en oeuvre en termes de technologies et d’idées. Les organisations doivent également fournir l’assurance qu’elles suivent les obligations énoncées. Pour cette exigence du RGPD (GDPR) les principaux processus COBIT à améliorer sont les suivants :

  • APO04 Manage Innovation ;
  • APO05 Manage Portfolio ;
  • APO06 Manage Budget and Costs ;
  • MEA01 Monitor, Evaluate and Assess Performance and Conformance ;
  • MEA02 Monitor, Evaluate and Assess the System of Internal Control ;
  • MEA03 Monitor, Evaluate and Assess Compliance With External Requirements.

Quelques conseils et astuces pour réussir la mise en œuvre du RGPD

Pour faciliter le travail de mise en conformité, nous vous livrons ici une série de conseils et d’astuces basés sur COBIT 5. De plus, ces conseils et astuces proviennent des observations et recommandations issues de l’expérience d’organisations qui ont déjà entamé, et pour certaines terminé avec succès, leur marche vers la conformité au RGPD (GDPR). Ce qui suit est  donc, de fait, une liste des facteurs clés de succès à prendre en compte dans votre programme de mise en conformité.

1. Créez un sentiment d’urgence et de criticité au niveau du top management

Très logiquement, c’est la toute la première des choses à faire. Obtenir le soutien de niveau exécutif est clé. C’est ce soutien qui déclenchera les attitudes et provoquera les attentes nécessaires permettant d’adopter avec succès les bonnes pratiques de gouvernance. En effet ce sont ces pratiques qui permettront d’appliquer et de se conformer les exigences du RGPD. Pour obtenir ce soutien précieux, vous devez absolument convaincre le Comité de Direction de l’urgence et de la criticité de ce programme.

Astuce : Lisez COBIT 5 Implementation Guide pour plus de conseils et techniques permettant d’obtenir un soutien de niveau exécutif et faire reconnaître le besoin d’agir.

2. Considérez le RGPD comme une opportunité de créer davantage de valeur

Le RGPD n’est pas seulement un contrainte. C’est aussi l’opportunité d’améliorer les pratiques et créer davantage de valeur pour les parties prenantes de l’organisation. Bien que mettre en oeuvre et maintenir la conformité puisse sembler pesant, c’est clairement la bonne approche. Rappelez-vous que la raison d’être de l’entreprise est de créer de la valeur pour les parties prenantes. Et le RGPD  bien appliqué est un important contributeur à la création de valeur ajoutée.

Astuce : La cascade d’objectifs de COBIT 5 identifie les besoins des parties prenantes et les transforme en objectifs d’affaires. Ensuite ceux-ci sont déclinés en objectifs informatiques permettant de soutenir les objectifs métiers. Enfin, les objectifs informatiques permettent d’identifier les processus les plus appropriés sur lesquels se concentrer pour améliorer valeur pour les parties prenantes.

3. Inventoriez les pratiques et les référentiels utilisés actuellement

Identifiez les pratiques et les référentiels utilisés actuellement dans le cadre de la gouvernance et de management de l’entreprise, y compris le plan de protection des données existant. La plupart des entreprises ont déjà mis en place un tel  plan (souvent basé sur ITIL, COBIT ou ISO 27001 par exemple). Cependant elles devront le revoir et le mettre à jour pour s’assurer qu’il s’aligne bien avec les exigences du RGPD.

Astuce : Le RGPD est une préoccupation réglementaire qui peut être satisfaite en s’appuyant sur les meilleures pratiques existantes du marché telles que COBIT, ITIL, TOGAF (le référentiel d’architecture d’entreprise de l’Open Group), le cadre de l’Institut National Américain des normes et de la technologie (NIST), les normes ISO (ISO 27001, ISO 29100 par exemple) et bien d’autres. N’hésitez pas à vous appuyer sur ce qui existe déjà au sein de l’Organisation.

4. Considérez COBIT 5 un intégrateur des autres référentiels de bonnes pratiques

Ne vous arrêtez pas à un seul référentiel. Il s’agit là d’une extension de l’astuce précédente. Bien que COBIT soit le seul cadre d’affaires pour la GEIT (Gouvernance de l’Information d’Entreprise et des Technologies associées), COBIT n’est pas le seul référentiel susceptible de vous aider. Cependant, il est bien adapté pour servir de cadre pour aider à déterminer les composants nécessaires d’autres référentiel et fournir un vrai modèle GEIT.

Astuce : Le site web COBIT Online contient des informations supplémentaires à propos de cette approche https://cobitonline.isaca.org/about.

5. Nommez un DPO dès maintenant

Nommez dès maintenant un DPO et d’éventuels autres rôles pertinents. Même dans entreprises qui ne sont pas concernées par le RGPD, certains rôles sont indispensables. Ils doivent être identifiés et assignés. Ces rôles peuvent être remplis sous des noms différents. L’essentiel est que les responsabilités correspondantes soient bien attribuées sans qu’il n’y ait de conflit d’intérêt.

Astuce : La publication COBIT 5: Enabling Processes identifie les diagrammes RACI pour chacun des 37 processus de COBIT 5. Vous pouvez vous en inspirer pour identifier les rôles et responsabilités nécessaires au bon fonctionnement de votre organisation.

6. Menez une évaluation des risques

Une évaluation des risques d’entreprise permet d’aider à la prise de décision. Il est important de savoir quelles données personnelles l’entreprise stocke et traite sur les citoyens de l’UE, ainsi que le risque associé. Les évaluations des risques permettent d’identifier les risques, de déterminer des mesures pour réduire les risques et développer des plans d’actions pour gérer les risques. Avant chaque traitement important et au début de chaque nouveau projet, le RGPD impose qu’une analyse d’impact sur les données personnelles soit menée et que des actions soient prises en fonction des risques identifiés.

Astuce : COBIT 5 for Risk et ISO 31000 constituent d’excellents cadres de référence pour déterminer le processus approprié d’évaluation des risques et le relier aux exigences du RGPD.

7. Lancez un vaste programme de sensibilisation et de formation

Tout le personnel de l’organisation doit être familier avec les exigences du RGPD ainsi qu’avec leurs applications à chaque rôle spécifique de l’Entreprise. La formation est probablement l’une des actions les plus importantes qu’une entreprise peut lancer pour augmenter la probabilité de réussite d’un programme tel que la mise en conformité à la réglementation.

Astuce : Dans les entreprises qui s’appuient sur COBIT pour leur gouvernance et le suivi de leur conformité, le cours COBIT 5 Foundation constitue une excellente première étape. Dans tous les cas, une sensibilisation au RGPD  d’une journée est un bon point de départ pour l’ensemble des employés traitant des données personnelles.

8. Préparez et répétez les plans de réponse aux incidents

Planifiez les plans de réponse aux incidents. Et surtout n’oubliez pas de les tester, de les répéter et de les revoir régulièrement. La plupart des organisations ont déjà mis en place une forme de processus de gestion incidents. Cependant, le RGPD impose certaines exigences qui n’ont pas toujours été prises en compte dans le plan déjà en place. Notamment, les entreprises doivent signaler toute violation de données personnelles à l’Autorité de Contrôle dans les 72 heures suivant sa découverte. La façon dont les équipes d’intervention réagiront influera directement sur les risque d’amendes pour l’entreprise en cas de non respect des exigences.

Astuce : Améliorez les procédures existantes de gestion des incidents en vous appuyant, le cas échéant, sur les processus COBIT, ITIL ou ISO 27001 applicables et adaptez les pour créer un modèle spécifique intégrant les exigences du RGPD.

9. Focalisez-vous sur l’information

Quand on parle de protection des données personnelles, on fait référence à un type particulier d’information.. Rappelez-vous que l’information est un actif, une ressource qui, si elle n’est pas protégée peut devenir un passif. Comprendre les attributs, l’emplacement et le cycle de vie des données permet d’améliorer la capacité de l’entreprise à fournir les protections requises par le RGPD.

Astuce : COBIT 5: Enabling Information peut aider à la compréhension du cycle de vie et des attributs de l’information.

10. Effectuez des évaluations et des audits continus

Le maintien de la conformité nécessite un suivi et une amélioration continue. Il est important pour l’entreprise de ne pas laisser ses efforts s’estomper en passant à la prochaine initiative. Dans ce cas,  des surprises désagréables peuvent survenir. Poursuivez l’élan sans relâcher les efforts.

Astuce : Utilisez le modèle de mise en œuvre de COBIT (COBIT Implementation) ou l’approche d’amélioration continue des services d’ITIL (CSI) et veillez à ce les fonctions d’audit et d’audit interne soient pleinement impliquées dans la démarche.

Les apports de COBIT dans votre mise en conformité avec le RGPD

Les organisations qui se concentrent uniquement sur la conformité sont généralement celles qui n’ont pas mis en oeuvre de cadre de gouvernance. La conformité au RGPD n’est qu’une conformité supplémentaire à respecter. C’est une composante d’une initiative plus vaste basée sur un ratio risque / bénéfice. L’objectif doit être d’équilibrer cette conformité avec les performances de l’entreprise. Le référentiel COBIT 5 est complet dans la couverture de la gouvernance d’entreprise. Cependant il ne répond pas à tous les besoins de conformité d’une entreprise. Toutefois, il peut certainement fournir le cadre de gouvernance et de gestion permettant de déterminer l’approche la plus appropriée visant à créer de la valeur et de la confiance pour les parties prenantes. Dans ce cas, il permet de donner l’assurance que les données personnelles bénéficieront de bien de la confidentialité, de l’intégrité et de la disponibilité sur la base du RGPD (GDPR).

Une remarque? Un commentaire? Une question? N’hésitez pas à lancer la discussion. Nos experts sont à votre disposition pour vous répondre. Alors merci de nous laisser un commentaire sur ce blog.

ITIL : renaissance ou dernier soupir?

ITIL, le référentiel phare en matière de gestion des services informatiques commence à prendre de l’âge. Aucune évolution notable n’a été publiée depuis 2011. Et encore, la version 2011 n’était elle-même qu’une révision cosmétique (en anglais « refresh ») de la version ITIL V3 publiée en 2007. Cela fait donc dix ans que rien de vraiment nouveau n’a été publié. A l’occasion du salon ITSMF Fusion 2017, AXELOS a levé le voile sur l’avenir d’ITIL en 2018.

ITIL: renaissance en 2018?
Crédits: © AXELOS

On peut comprendre qu’une méthodologie n’évolue pas beaucoup. Mais justement le problème d’ITIL c’est qu’il ne s’agit aucunement d’une méthodologie. ITIL est un cadre de bonnes pratiques pour améliorer les services informatiques délivrés aux métiers. Or, durant ces dix dernières années, les Entreprises et leurs métiers ont subi une transformation radicale. Il est donc clair que leurs besoins de services informatiques ont également énormément changé. Les attentes des affaires sont très différentes aujourd’hui de ce qu’elles étaient il y a dix ans. Les risques auxquels tout service TI est exposé ont également évolué. L’environnement technologique a subi un bouleversement encore jamais vu auparavant.

L’annonce faite par AXELOS

Selon AXELOS, propriétaire du référentiel, ITIL® est «l’approche la plus largement utilisée pour la gestion des services informatiques dans le monde». La société indique qu’il existe des millions de praticiens d’ITIL dans le monde. Elle indique également que le référentiel est utilisé par la majorité des grandes organisations pour gérer leurs  opérations informatiques.

Il aurait donc été naturel que l’annonce d’une mise à jour d’ITIL suscite de nombreux commentaires. Cependant, comme vous l’avez sûrement constaté, tant la presse que les réseaux sociaux ne s’y sont guère intéressés.

La raison de ce manque d’intérêt est la raison même pour laquelle AXELOS veut faire cette mise à jour. ITIL a désormais atteint un point de non pertinence dans un monde économique dynamique et agile. L’environnement économique est aujourd’hui très différent de celui dans lequel ITIL a été développé.

De nouveaux modèles d’architecture, de nouvelles approches de management et, plus généralement, la transformation numérique des organisations ont relégué ITIL au stade de relique du passé.

Pourtant, des investissements substantiels ont été réalisés par nombre d’organisations dans le monde. Il s’agit notamment de la certification de leurs collaborateurs. Le grand nombre de fournisseurs de technologie qui ont vu le jour autour de ce framework et le vaste réseau de consultants et de sociétés de formation qui ont bâti leurs offres autour d’ITIL suggèrent que ce référentiel ne disparaîtra pas tranquillement du jour au lendemain.

Mais cette mise à jour annoncée sera-t-elle suffisante pour une renaissance d’ITIL en 2018? Ou marquera-t-elle son dernier soupir?

ITIL est-il en core pertinent dans un monde qui change?

Lors de l’annonce faite à ITSMF Fusion 2017, Margo Leach, Chef de produit chez AXELOS a admis la nécessité de faire évoluer ITIL pour pouvoir s’aligner sur un monde en pleine évolution tout en revendiquant sa pertinence au jour d’aujourd’hui.


« Les principes fondamentaux d’ITIL sont valables et restent essentiels pour permettre aux entreprises de se transformer et d’évoluer », a déclaré M. Leach. « Mais nous devons ajouter un élément supplémentaire au cœur d’TIL: la rapidité de mise sur le marché et l’agilité, c’est-à-dire la capacité d’une entreprise à répondre aux menaces commerciales, aux demandes et aux opportunités du marché. »


AXELOS a également reconnu que d’autres approches, (DevOps, …) traitent déjà de ces problèmes. « Le nouvel ITIL doit inclure des conseils pratiques et explicites sur la façon d’intégrer les principes des nouvelles méthodes de travail contemporaines« , a déclaré Margo Leach.

L’évolution rapide des technologies basées sur le cloud, les nouvelles approches telles que DevOps et l’enracinement des méthodologies agiles ont remis en question bon nombre de méthodes, apparemment rigides et bureaucratiques, souvent associées à ITIL.

En conséquence, et en dépit de leurs investissements importants dans le référentiel sous la forme de formation et d’outils, de nombreuses Organisations mettent maintenant l’accent sur la nécessité d’investissement futur sur de nouveaux cadres plus pertinents.

Alors n’est-il pas trop tard pour un nouvel ITIL?

La mise à jour d’ITIL ne devrait donc pas surprendre. Même si l’éditeur a affirmé il y a plusieurs années qu’il n’y aurait plus d’autres mises à jour. Néanmoins, le manque de pertinence perçu s’est également traduit par la perte de position dominante comme en témoigne l’arrivée d’une approche de gestion de service et d’un programme de certification concurrents, appelé VeriSM.

VeriSM prétend également représenter une approche moderne de «Gestion des services pour l’ère numérique». Le nombre de leaders de l’industrie et d’organisations qui le soutiennent est éloquent. A tout le moins, c’est la reconnaissance évidente par l’industrie que le domaine traditionnel de la gestion des services est en train de perdre son sens original et risque de ne plus être pertinent.

La transformation digitale entraîne un changement d’orientation

Ce que je crains, c’est que la prochaine mise à jour ITIL et la nouvelle approche VeriSM passent à côté de ce qui se passe réellement. A mon sens, la transformation numérique ne concerne pas vraiment la technologie ni son utilisation particulière. Il s’agit de la transformation des modèles d’affaires et d’opérations. Cela se traduit par un transfert fondamental de pouvoir de l’Entreprise vers le Client. En d’autres termes il ne s’agit pas d’une transformation technologique. Il s’agit plutôt d’une transformation de la société.

En tant que tel, le paradigme organisationnel de l’organisation doit passer de l’optimisation et de l’efficacité à l’expérience client et à facilitation pour l’utilisateur tout au long de son parcours. Le problème est que l’accent principal, tant pour ITIL que pour la gestion des services au sein des organisations, est entièrement basé sur l’efficacité et l’optimisation des opérations (informatiques ou autres).

De plus, les adoptions de la gestion des services TI sont largement basées sur des processus linéaires. A l’opposé, le monde libre-service et centré sur le client crée une abondance d’interactions client asynchrones et asymétriques avec l’organisation et la technologie qui doit les supporter.

Le résultat net est un cadre de bonnes pratiques de plus en plus déconnecté des besoins réels des Entreprises qu’il soutient. C’est d’ailleurs aussi le cas pour un secteur industriel tout entier.

Y a-t-il un avenir pour ITIL?

Je rencontre quotidiennement des dirigeants d’entreprises et des DSI. Nous discutons des défis auxquels ils sont confrontés et des stratégies qu’ils utilisent pour y répondre. L’accent est alors systématiquement mis sur l’efficacité et l’optimisation. Ce sont là les facteurs de valeur traditionnels de la gestion des services informatiques (ITSM).

Mais la priorité est aujourd’hui ailleurs. C’est l’agilité, l’adaptabilité et l’amélioration de l’expérience client qui sont la clé des affaires en 2018. L’objectif pour toute Organisation est de créer un avantage compétitif sur le marché. Ce sont là des moteurs qu’AXELOS a correctement identifiés. L’efficacité demeure bien sûr une préoccupation quotidienne. Pour ce faire, les entreprises se tournent de plus en plus vers les services et l’automatisation basés sur le cloud pour optimiser leurs opérations.

ITIL, VeriSM ou tout autre cadre ou approche de gestion de service souhaite reste pertinent? Alors leur objectif doit être la prise en compte des nouvelles priorités des Organisations. Leur axe principal doit donc être de réorienter les organisations vers l’expérience client et de les éloigner des modèles centrés sur les systèmes ou centrés sur le service.

Les praticiens de la gestion des services IT vous diront que cela a toujours été l’objectif principal. Je ne les contredis pas. Mais il est temps de reconnaître que, dans la pratique, ce n’est pas ce qui s’est passé. Si ITIL doit rester pertinent en 2018, cela doit changer radicalement. Il n’y aura d’avenir pour ITIL qu’à cette condition.

Vous avez sûrement un avis. N’hésitez pas à nous laisser votre commentaire…

7 raisons de suivre une formation COBIT

Formation COBIT : Pour qui et pourquoi?

Au moment d’adopter COBIT® 5 en tant que cadre pour la Gouvernance et le Management de l’Information, de nombreuses questions se posent. Tout d’abord, l’entreprise comprend-elle parfaitement ce que signifie la gouvernance et la gestion l’Information d’Entreprise et de la Technologie Associée (GEIT)? Les professionnels de la gouvernance de l’entreprise savent-ils comment évaluer efficacement l’état actuel du système d’information de l’entreprise dans le but de déterminer quels aspects de COBIT® 5 mettre en œuvre? L’entreprise est-elle en mesure de réaliser une évaluation pour déterminer l’aptitude d’un processus défini?

7 raisons de suive une formation COBIT

Pourquoi une formation COBIT?

La formation COBIT® 5 constitue, bien évidemment, un aspect important pour pouvoir s’assurer que les professionnels de la Gouvernance du SI ont les réponses à leurs questions et deviennent des professionnels compétents sur COBIT®.

Bien que de nombreux concepts puissent sembler familiers aux personnels du domaine informatique, cette version évolutive intègre les dernières réflexions sur les techniques de Gouvernance et de Gestion de l’Information des Entreprises et fournit des principes, des pratiques, des outils analytiques et des modèles reconnus dans le monde entier.

COBIT 5 porte sur la Gouvernance et le Management du Système d’Information et non sur l’Informatique. L’informatique ne constitue qu’une faible partie du Système d’Information. L’information est partout dans l’Entreprise. Contrairement aux idées reçues, seule une très faible partie est gérée par la technologie. Il est donc essentiel de ne pas se limiter au domaine informatique. La réalisation d’un programme de formation approprié pour les professionnels des métiers de l’Entreprise sur ce qu’est vraiment COBIT et comment il peut être utilisé et mis en œuvre est absolument essentielle. Bien sûr les technologies de l’information sont également concernées mais à moindre titre.

Une formation COBIT pour qui?

La formation COBIT est d’abord destinée aux membres des conseils d’administration et des comités de direction ainsi qu’aux directions métiers. Les auditeurs IT / IS, les auditeurs internes, la sécurité de l’information sont également ciblés. Les consultants et les membres de la direction du SI et des TI, qui ont besoin de connaître la GEIT, en tireront également un grand bénéfice.

7 bénéfices clés d’une formation COBIT

Une formation sur le référentiel COBIT profitera tout autant à l’organisation qu’aux personnes qui auront la chance d’y participer. Examinons 7 de ces bénéfices, en gardant à l’esprit qu’il en existe bien d’autres.

1 – Amélioration de l’efficacité et de la productivité

Une formation COBIT 5 fournit les outils et les connaissances indispensables à l’utilisation de COBIT. Les professionnels comprendront mieux ce que signifie la GEIT et comment ce concept peut être appliqué à leur entreprise. Chaque individu en tirera une appréciation plus pratique de la façon d’appliquer COBIT 5 à des problèmes spécifiques d’entreprise, des points de douleur, des événements déclencheurs et des scénarios de risque. Les rôles et les responsabilités de chacun au sein de l’organisation, en relation avec COBIT, seront clairement définis (facilitateur 3), entraînant un accroissement de productivité et d’efficacité dans l’entreprise. Cette meilleure compréhension des rôles et responsabilités permettra de mieux gérer les ressources et les risques. L’ensemble de ces concepts sont étudiés dans la formation COBIT Foundation qui sert de point d’entrée dans le cursus.

2 – Renforcer la confiance et la valeur créée par les systèmes d’information

Les cours de formation COBIT 5 fournissent aux participants les concepts et les principes clés leur permettant de découvrir comment évaluer l’état actuel de leur système d’information d’entreprise, dans le but de déterminer quels aspects de COBIT 5 seraient les plus prioritaires à mettre en œuvre. La confiance provient du fait que chacun connaîtra son rôle et disposera des outils et des connaissances nécessaires pour mettre en œuvre et évaluer efficacement la Gouvernance et le Management de l’Information dans son Entreprise.

3 – Positionnement spécifique

La connaissance de COBIT par le professionnel de la Gouvernance lui permettra de bien dissocier les activités de Gouvernance des activités de Management. La Gouvernance consiste à Diriger, Evaluer et Surveiller la performance. Le Management Planifie, Construit, Exploite et Contrôle. Les formations COBIT 5 confèrent aux participants une connaissance inégalée en matière de Gouvernance et de Management de l’Information dans l’Entreprise sous la forme de concepts, de principes et de processus. Cette connaissance est cruciale pour l’évaluation de la capacité de l’Entreprise à créer de la valeur. Elle est également indispensable pour mettre en oeuvre un système de Gouvernance et de Management adapté. En outre, COBIT® est évolutif. Une formation accréditée permet ainsi au professionnel d’être à la pointe des connaissances et de la pratique.

4 – Accroissement de la confiance et de la capacité

Une formation COBIT permet aux participants d’affiner leurs compétences et d’améliorer la compréhension des risques IT. Elle permet notamment d’améliorer la prise de décisions éclairées pour réduire les incidents de sécurité de l’information. Cette compréhension et la sensibilisation au risque sont essentielles pour améliorer la prévention, la détection et la résilience aux incidents. Le professionnel COBIT sera capable de fournir des outils à son Organisation pour maintenir des informations de haute qualité lui permettant de prendre les décisions commerciales avisées et de l’aider à respecter les exigences réglementaires, légales ou gouvernementales. Ces connaissances permettront de mettre en place un programme d’amélioration continue en s’appuyant sur la formation COBIT Implementation.

5 – Crédibilité

Les organismes de formation COBIT accrédités par l’ISACA qui offrent des formations et des examens de certification doivent d’abord passer un processus d’agrément méticuleux. Les formateurs accrédités sont évalués régulièrement au travers d’audits sur site de leur compétence et de leur pédagogie. Les participants à une formation auprès d’un organisme de formation accrédité sont donc certains de la qualité de la formation qu’elles reçoivent. Les entreprises peuvent vérifier que l’organisme de formation auquel ils font appel est bien accrédité par APMG ou par Peoplecert. Les examens sont rigoureux, stimulants et cohérents, et, en conséquence, les participants peuvent être fiers de leur réussite. En outre, les employeurs peuvent vérifier auprès de l’ISACA si leurs employés sont vraiment titulaires d’une certification COBIT.

6 – Alignement de la sécurité de l’information avec la stratégie de l’organisation

La cascade d’objectifs est un outil essentiel pour aligner les objectifs de l’informatique avec les objectifs de l’Entreprise. Les participants à une formation COBIT apprendront à maîtriser cet outil très puissant. Ils seront ainsi en mesure d’assurer que la sécurité de l’information est bien alignée à la stratégie de l’Entreprise. Ceci leur permettra de s’assurer que la tolérance au risque de l’Organisation est bien respectée tout en maximisant les bénéfices et en optimisant les ressources. Ainsi, il leur sera plus facile de prendre les bonnes décisions tout en économisant les ressources et les budgets. Grâce à cette connaissance, la sécurité ne sera plus un sujet exclusivement technique. Selon une étude d’IBM, 95% des attaques réussies sur les données ne proviennent pas de l’informatique. Il est donc primordial de ne pas laisser ce sujet entre les mains des informaticiens.

7 – Assurance de l’aptitude de l’organisation à créer de la valeur

Grâce à la méthode d’évaluation d’aptitude des processus basée sur la norme ISO 15504, les auditeurs internes participant à une formation COBIT apprendront à s’assurer de l’aptitude de l’Entreprise à créer de la valeur. Il s’agit là d’un élément très important. Le programme d’évaluation de COBIT 5 se focalise sur l’aptitude plutôt que sur la maturité. C’est une approche radicalement différente de la plupart des autres cadres d’audit. La maturité correspond à la façon dont une organisation travaille. Ce qui est audité c’est l’application de processus formalisés au sein de l’Organisation. A l’inverse, l’aptitude fait référence à la qualité des processus et à leur capacité à délivrer de la valeur. C’est une autre approche extrêmement importante qui sera approfondie dans la formation COBIT Assessor.

Il sera ainsi possible d’auditer l’aptitude, par exemple, du processus de gestion des ressources humaines. Cela permettra également d’évaluer la qualité du système de Management de l’Entreprise. Une autre évaluation possible pourra concerner les risques, par exemple en matière d’éthique.

En savoir plus et échanger avec nos experts

Pour en savoir plus ou échanger avec nos experts, n’hésitez pas à nous laisser un commentaire. Nous vous répondrons alors avec grand plaisir. Si vous avez suivi une formation COBIT 5 ou si vous utilisez COBIT 5 dans votre entreprise, n’hésitez pas à nous laisser votre témoignage. Nous serons heureux de le relayer.

 

La version Française du Guide de mise en oeuvre COBIT 5 est disponible

Ca y est enfin!! Le guide « COBIT 5 Mise en oeuvre » est désormais disponible en Français. De longues semaines d’investissement personnel de l’équipe de traduction auront été nécessaires. Il n’est jamais simple de traduire un guide de bonnes pratiques ou de mise en oeuvre. L’Anglais est une langue typiquement orientée « business » et donc assez rigoureuse. A l’opposé, le Français est une langue plus orientée vers la littérature ou la diplomatie et dans laquelle, soit les termes anglais n’ont pas d’équivalent ou, pire encore, sont le plus souvent traduits par des termes erronés (les fameux faux-amis sur lesquels tous les élèves ont trébuché pendant leur parcours scolaire).

COBIT 5 Mise en Oeuvre

Bon, en ce qui concerne cette publication, l’honnêteté nous impose d’admettre que ce n’est pas réellement une version Française. C’est plutôt une version Québécoise, car réalisée par l’équipe du chapitre (tiens, encore un mot qui n’a pas d’équivalent direct en Français) ISACA de Québec, avec seulement deux contributions externes, l’une d’un expert en Gouvernance de Montréal (toujours au Québec) et l’autre de votre serviteur, seul Français (encore que résident en Côte d’Ivoire) à avoir participé à la préparation de cette version Française.

Les raisons d’une absence totale de la France

Mais pourquoi donc une version Française dans laquelle aucun Français (de France) ne s’implique? La question mérite d’être posée. Les réponses sont multiples et malheureusement assez désespérantes:

  • Une incompréhension totale, en France de ce que sont la Gouvernance et le Management, et donc un intérêt très faible pour le sujet,
  • Une mauvaise interprétation de la notion de création de valeur, comprise uniquement comme une valeur financière et focalisée majoritairement sur une réduction des coûts,
  • Un contexte légal basé sur un modèle hérité à la fois de systèmes monarchiques et « communistes » qui conduit irrémédiablement à la destruction de valeur au lieu de la création, qui ne favorise pas l’adoption du cadre COBIT,
  • Des structures organisationnelles et gouvernementales ne permettant pas de séparer la gouvernance du management,
  • Une culture, une éthique et des comportements inadéquats (particulièrement visibles en France en cette période électorale),
  • Une gouvernance et une gestion anarchique de l’information conduisant à des excès et induisant des conséquences catastrophiques,
  • Une technologie mal utilisée et mal exploitée pour la création de valeur et laissée entre les mains de techniciens et d’ingénieurs,
  • Un modèle éducatif et une gestion de la formation continue déconnectés des réalités et des besoins des organisations.

Nous reviendrons plus en détail sur ces raisons avec un autre article dans les prochains jours. Cependant les lecteurs connaissant COBIT® 5 auront reconnu là des faiblesses au niveau des facilitateurs (en Anglais on les nomme « enablers » ce qui est beaucoup plus fort que  facilitateur mais n’a pas de traduction littérale) d’une bonne gouvernance et d’un management efficaces qui manquent cruellement à la France.

A cela, il faut bien rajouter, mais peut-on encore leur en vouloir après ce que nous venons de dire, une absence totale de volonté de l’AFAI (chapitre Français de l’ISACA) de s’investir de quelque façon que ce soit dans la promotion de COBIT® 5 qui n’assure pas, aujourd’hui, compte tenu du modèle économique imposé par ISACA HQ, un bénéfice suffisant pour les membres Français. Or, en France, il est d’usage que la création de valeur s’évalue au niveau personnel et non au niveau d’une organisation. En d’autres termes, si je participe à ces travaux, qu’est-ce que j’y gagne personnellement?

Le marché pour une version Française des bonnes pratiques

La Francophonie compte aujourd’hui un peu moins de 280 millions de personnes dans le monde, réparties de la façon suivante (source: organisation internationale de la Francophonie)

  • environ 8% en Amérique du Nord (majoritairement au Canada)
  • 37% en Europe (majoritairement en France)
  • près de 54% en Afrique (où la culture et les institutions sont calquées sur la France, héritage de la colonisation)
  • autour de 1% dans le reste du monde.

Qu’est-ce qui fait la différence entre le Canada (ou plus précisément le Québec) et les pays francophones européens et africains? J’apporterai deux réponses:

  • La culture nord-américaine fortement ancrée au Canada, intégrant les bonnes pratiques de Gouvernance et de Management largement répandues dans cette partie du monde,
  • Des lois imposant l’usage de modèles intégralement francisés dans les organisations Québécoises, ce qui n’est pas le cas en Europe, ni en Afrique francophone.

Il est donc clair que l’environnement légal favorise l’adoption des bonnes pratiques décrites par COBIT 5 au Canada et qu’au contraire l’environnement local défavorise et décourage les bonnes pratiques basées sur COBIT 5 en Europe et en Afrique Francophones.

Il apparaît ainsi clairement que le marché pour une traduction Française du cadre COBIT 5 et de son guide de mise en oeuvre se situe majoritairement en Amérique du Nord. C’est donc fort logiquement que ce sont les Québécois qui font l’effort. Malheureusement, cela décourage encore un peu plus les Français d’adopter COBIT 5 et de s’appuyer sur le guide de mise en oeuvre pour lancer des initiatives d’amélioration de la Gouvernance et du Management car ils voient ces pratiques comme étant issues de la culture Américaine. De plus ils considèrent que le Québécois n’est pas le Français tel qu’il est parlé en Europe et en Afrique. Et ce n’est pas faux…

 COBIT 5 Mise en Oeuvre – Juste une référence indispensable

La publication de la version française du guide de mise en oeuvre vient complèter le référentiel et le modèle de référence des processus COBIT 5 déjà traduits par la même équipe qu’il convient de féliciter pour leur excellent travail.

Toutefois, il faut bien rappeler que ce guide ne décrit pas la mise en oeuvre du cadre de gouvernance et de management COBIT 5 mais la mise en oeuvre des sept facilitateurs soutenant la gouvernance et management de l’information dans l’Entreprise. Il s’agit en fait de la méthodologie extrêmement efficace et efficiente de gestion d’un programme de mise en oeuvre ou d’amélioration continue, décrite par COBIT et basée sur trois composants hérités des normes et bonnes pratiques du marché :

  1. l’amélioration continue en sept étapes (similaire à ITIL)
  2. la facilitation du changement (héritée des bonnes pratiques de Change Management)
  3. la gestion de programme et de projets (issue de PRINCE2, PMBok et M_o_P)

Gageons que la version Française du guide de mise en oeuvre sera une aide efficace pour les utilisateurs francophones et sera un réel succès.

CISA 12 trucs utiles pour l’examen

Les 12 astuces pour réussir votre CISA

Ca y est vous vous êtes décidé à passer l’examen pour obtenir la certification CISA? Vous savez pourtant que le taux de réussite à l’examen n’est pas très haut alors que le tarif, lui, est plutôt élevé. Malgré cela, l’attrait de cette certification qui figure parmi les plus recherchées par les Entreprises et parmi les 6 certifications les plus rémunératrices vous a convaincu. Bienvenue au club!!! Maintenant vous voilà pris au piège. De plus vous êtes condamné à réussir l’examen pour ne pas perdre vos frais d’inscription. Nous allons essayer de vous aider avec quelques conseils pratiques.

12 trucs pour passer le CISA
Crédits © STUDIO GRAND OUEST

Pourquoi tenter le CISA?

Le monde de l’audit des systèmes d’information s’est développé à une vitesse vertigineuse ces dernières années. Par conséquent la demande pour les auditeurs des SI et des professionnels de la sécurité a explosé. Récemment, le champ d’application pour les professionnels certifiés CISA s’est élargi, encourageant un plus grand nombre de professionnels de la sécurité à passer l’examen CISA. Il en résulte donc une demande en forte hausse pour les détenteurs de certification CISA.

La plupart des Banques Centrales et des instituts financiers à travers le monde ont commencé à embaucher des professionnels certifiés CISA pour réaliser des audits de sécurité efficaces. Cela s’accompagne d’une hausse des salaires correspondant. Les salaires des titulaires du CISA se situent parmi les plus élevés dans le domaine de la sécurité. C’est également vrai sur l’ensemble du secteur de l’informatique en général.

Aujourd’hui, plus de 125.000 professionnels dans le monde ont réussi cette certification. Parmi eux, près de 3.000 sont membres d’un comité de direction (DG, DAF ou équivalent). Le CISA est exigé comme pré-requis pour être embauché par les plus grands cabinets d’audit internationaux. Peut-être sont-ce ces raisons qui ont influencé votre décision? Par contre, inutile de vous leurrer, votre probabilité de réussite à l’examen, sans préparation préalable, reste extrêmement faible.

CISA, une certification difficile à obtenir

L’examen CISA est connu pour être difficile. De ce fait, il présente un taux de réussite assez faible. L’ISACA, organisme qui administre l’examen, a cessé de publier des informations sur les taux de réussite au cours des dernières années. Toutefois, les retours des candidats, après réception de leurs résultats, laissent apparaître un taux global de réussite d’environ 40 à 50%. Ce taux dépend également des régions du monde.

Qu’est-ce qui rend l’examen et la certification si difficiles?

La question revient souvent : pourquoi l’examen du CISA est-il aussi coriace? Voici quelques éléments de réponse:

  1. Le CISA est désormais un examen au format électronique. Il comporte 150 questions, souvent basées sur un mini-scénario. Contrairement à la plupart des examens de certification spécifiques d’autres fournisseurs (ITIL, PRINCE2, DEVOPS, ISO 27001, etc.) la nature même du CISA fait que les candidats avec peu ou pas d’expérience sont rapidement mis en difficulté.
  2. Aucun pré-requis explicite n’est exigé par l’ISACA pour passer l’examen. Cela signifie que de nombreux candidats « occasionnels » issus d’une grande variété de milieux (informaticiens, comptables, auditeurs, professionnels de la sécurité et bien d’autres encore) s’inscrivent à l’examen, créant de ce fait une concurrence artificielle.
  3. La formulation des questions est souvent ambiguë et subjective. De nombreux candidats se plaignent des exemples de questions proposés par ISACA. Ils les trouvent trop vagues et pas toujours pertinents comparativement à l’examen écrit réel. C’est là une caractéristique de l’ISACA. Il faut se mettre dans le mode de raisonnement des auteurs de l’examen.
  4. L’accent est souvent mis sur l’apprentissage par cœur et la mémorisation. Une remarque récurrente des candidats porte sur ce point. Les questions d’examen CISA requièrent la connaissance parfaite du vocabulaire spécifique en matière de sécurité du SI.

Pourquoi un taux d’échec aussi important?

L’examen est bien moins difficile que cela n’est habituellement perçu. Pourtant des milliers de candidats échouent à leur première tentative. Les experts identifient tout un ensemble de raisons.

  • Les candidats ayant une formation technique ou technologique se heurtent souvent aux concepts de gouvernance et d’audit. Bien que le savoir-faire technique soit important, la capacité à auditer et gérer les processus de sécurité est absolument fondamentale pour le CISA.
  • A l’opposé, les candidats issus du monde de l’audit et de la comptabilité ont du mal avec les aspects techniques de l’examen. Les étudiants issus de ces domaines devraient mieux comprendre les concepts et les objectifs de base du programme d’étude.
  • Beaucoup de candidats expérimentés s’obstinent à utiliser leur propre approche pour aborder les questions et les scénarios difficiles de l’examen, refusant l’approche standard prescrite par l’ISACA.

Alors, comment se prépare-t-on à l’examen CISA?

Passons maintenant aux conseils pratiques. Voici les points les plus importants à garder à l’esprit avant de commencer votre préparation à l’examen CISA.

1. Etudier religieusement le CISA Review Manual

Manuel de préparation au CISAISACA propose le CISA Review Manual (CRM) qui sert de guide unique et complet pour l’examen. C’est l’ouvrage de référence conçu pour guider les candidats au CISA, Il fournit tous les détails relatifs à l’examen ainsi que la définition des rôles et des responsabilités d’un auditeur des systèmes d’information. Globalement, ce manuel est le meilleur guide d’auto-apprentissage pour les aspirants CISA. Il est recommandé de le lire de façon exhaustive au moins deux fois avant de se présenter à l’examen. A noter toutefois sa taille (plus de 500 pages) et sa présentation pour le moins austère. Si vous êtes un amateur de bandes dessinées, vous vous êtes clairement trompé de rayon! Ce manuel existe dans plusieurs langues dont l’Anglais et le Français.

2. Pratiquer intensivement les question de la base de données de préparation

Pratiquer les questions de révision est absolument obligatoire si vous voulez réussir l’examen. La base de données des questions d’examen proposée par ISACA est une ressource en ligne interactive et complète de 1000 questions pratiques avec les réponses et les explications. L’accès pendant 12 mois à la base de données est disponible au prix de 185 $ (pour les membres) et 225 $ (pour les non-membres). Attention cependant, il n’existe pas de version en Français.

Les futurs candidats peuvent utiliser les questions et les réponses de l’échantillon pour mieux comprendre les concepts et les sujets difficiles afin d’améliorer le niveau de leur préparation. Ces questions et réponses d’examen sont conçus pour offrir une vue d’ensemble de l’examen CISA. La base de données  de questions et réponses est mise à jour en alignement avec l’évolution du monde de l’audit de sécurité.

 3. Pensez comme le ferait un auditeur ou un comptable

La nature même de l’examen exige que vous pensiez comme un auditeur informatique ou même un comptable. Ne réfléchissez pas comme un candidat à un examen. La raison? Parce que l’accent est mis sur les applications du monde réel, vous devez mettre en avant vos aptitudes à prendre les bonnes décisions sur la base de scénarios. Face à des problèmes hypothétiques, vous devez apprendre à gérer, évaluer et prioriser des tâches multiples en vue de créer un bénéfice.

4. Utilisez au mieux les ressources gratuites de l’ISACA

Le site Web de l’ISACA offre une diversité de ressources libres de droit, utiles pour préparer le passage de l’examen. En voici quelques unes avec les liens pour y accéder.

5. Mettez les blogs et articles relatifs au CISA sur votre liste de lectures

Les candidats peuvent également tirer profit d’autres blogs et d’un grand nombre d’articles disponibles en ligne. Ils peuvent aider les candidats à mieux aborder les questions des domaines de connaissances récemment mises à jour. Certains blogs tenus par des contributeurs réguliers constituent également un ensemble de ressources à ne pas négliger. Parmi ceux-ci citons les blogs de l’ISACA et celui de Risk3sixty.

Si vous trouvez un site particulièrement intéressant pour les candidats, vous pouvez le partager en nous adressant un commentaire que nous publierons avec grand plaisir.

6. Une expérience pratique de l’audit est importante

Pour réussir votre certification CISA, une expérience pratique dans le domaine de la Sécurité IT est un plus extrêmement utile. Bien que similaires à des audits financiers ou des actifs, les audits IT ont une portée très différente. Ils traitent principalement des informations. Un candidat au CISA doit avoir une idée précise des processus business. Il doit, de plus, être familier avec la définition du périmètre, la planification de la vérification et les rapports d’audit.

Une simple expérience des processus de Sécurité de l’Information sera une aide importante. Dans la mesure du possible, rapprochez-vous des professionnels de l’audit informatique ou du département sécurité de l’information dans votre organisation actuelle. Profitez-en pour vous familiariser avec les rôles, les responsabilités et les activités quotidiennes concernées par le CISA. N’oubliez pas également de vous informer sur les autres activités en matière de sécurité.

7. Planifiez sérieusement votre préparation

La gestion de votre temps d’apprentissage et une bonne répartition du temps par domaine sont essentielles pour réussir l’examen. Vous êtes un professionnel du domaine? Alors prévoyez de démarrer votre préparation 3 à 5 mois avant l’examen. Prévoyez de consacrer au moins 1 à 2 heures d’étude sur une base régulière (quotidiennement ou 3 fois par semaine).

En outre, nous vous recommandons d’adapter votre préparation en fonction de votre parcours professionnel et de votre niveau d’expérience:

  •  Auditeur IT avec beaucoup d’expérience : 30 à 45 jours de préparation en vous appuyant sur le manuel de préparation au CISA et les questions d’examen avec réponses et explications. Prévoyez de revoir la totalité des domaines.
  • Professionnel de l’audit avec un peu d’expérience : prévoyez au moins 90 jours de préparation en vous appuyant sur le manuel de préparation au CISA et les questions d’examen avec réponses et explications. Mettez l’accent sur les domaines relatifs à la technologie.
  • Candidat sans réelle expérience des domaines couverts par le CISA : prévoyez au minimum 180 jours de préparation en vous appuyant sur l’ensemble des ressources disponibles. Ne négligez aucun des domaines.

Nos formateurs expérimentés sur le CISA vous conseillent de décomposer votre temps de préparation de la façon suivante :

  • 35 à 45% sur le manuel,
  • 15 à 20% sur le coaching,
  • et enfin 35 à 40% sur les examens de simulation et des tests pratiques.

8. Soyez adaptable, gardez l’esprit ouvert

Dans le cadre du CISA, si je devais vous donner un seul conseil, ce serait de désapprendre ce que vous avez appris. C’est presque aussi important que l’apprentissage du contenu même des concepts à retenir pour l’examen. L’industrie informatique est dynamique et en constante évolution. Par conséquent, il en va de même des principes et des techniques d’audit des systèmes d’information.

Lors de la préparation et lors du passage de l’examen, il est vital de garder un esprit ouvert, réceptif aux idées nouvelles et novatrices, et une position neutre sur des développements qui semblent aller à l’encontre de la norme établie. Le manuel CISA est maintenu à jour avec tous ces changements. Par conséquent, l’étude approfondie du manuel constitue une première étape incontournable de votre préparation.

9. Apprenez à gérer votre temps à l’examen

Comme dans le cas des autres examens, la réussite au CISA est également dépendante de la façon et de l’efficacité à gérer votre temps. Un commentaire courant  des candidats ayant échoué à l’examen porte un manque de temps pour terminer l’ensemble des questions. Cela traduit une mauvaise gestion du temps pour répondre à toutes les questions.. En examinant les documents de questions des années précédentes et les examens blancs, vous devez concevoir une stratégie de passage avec des estimations sur la quantité de temps à passer par question et par domaine, de façon à pouvoir répondre à la totalité des questions.

Après tout, ce qu’on attend d’un certifié CISA c’est bien d’être capable de prendre des décisions rapides, pragmatiques et efficaces. La gestion de votre temps à l’examen pour maximiser votre score constitue la première pierre de l’édifice.

CISA - Astuce pro

 10. Participez à des groupes de discussion et des forums

Les candidats peuvent se joindre à des groupes de discussion et des forums pour interagir avec d’autres candidats et certifiés. Il existe plusieurs forums de discussion sur la certification CISA sur le web. Ces plates-formes peuvent vous apporter des connaissances à la fois théoriques et pratiques sur l’audit du SI. Elles contribuent à améliorer la compréhension des concepts et leur application dans le monde réel.

11. Suivez un atelier de préparation à l’examen CISA

Un certain nombre d’organismes de formation accrédités proposent des ateliers de préparation au CISA sous forme de sessions en présentiel ou de cours en ligne. L’inscription et la participation à un cours de formation bien structuré et complet est fortement recommandée. Une session de formation se compose de présentations par des experts et de discussions en classe. L’interaction avec des professionnels de la sécurité expérimentés, venant de diverses parties du monde, constitue un atout exceptionnel pour vous mener à la réussite.

Leader de la formation professionnelle certifiante dans les domaines de la Gouvernance, du Management et de la  Sécurité en Afrique, AB Consulting vous propose des sessions de préparation au CISA en présentiel, alignées avec les exigences de l’examen. Elles sont toujours animées par des professionnels internationalement reconnus. Pour en savoir plus, visitez la page CISA – Atelier de préparation sur le site de AB Consulting.

L’ISACA propose également des cours de révision pour les candidats qui se sont inscrits à l’examen. Si vous trouvez l’apprentissage individuel difficile compte tenu de vos contraintes professionnelles et personnelles, vous pouvez participer à une session de révision proposée par un des chapitres de l’ISACA. Pour plus d’informations, visitez le site web de l’ISACA.

 12. Adaptez votre raisonnement au mode de pensée de l’ISACA

En particulier pour les candidats qui passent l’examen CISA dans une langue autre que leur langue maternelle, certaines questions peuvent être déroutantes. Les QCM à composition non limitée et l’étude de cas présentent généralement des choix subjectifs. Ils font souvent appel à un raisonnement verbal pour en déduire les attentes et arriver aux bonnes réponses. Vous sentez que vos compétences en raisonnement verbal ne sont pas tout à fait à la hauteur? Alors vous gagnerez sans aucun doute à suivre un atelier de préparation à l’examen.

CISA - Astuce Pro

En conclusion

Il s’agit clairement d’un examen difficile. Mais, grâce à une bonne planification, un travail acharné et de bons conseils, la réussite à la première tentative est tout à fait possible. Si vous suivez les conseils présentés dans cet article et concevez un plan de préparation adapté à vos propres besoins spécifiques, l’examen est à votre portée.

Et vous, comment avez-vous préparé votre examen? Avez-vous éprouvé des difficultés? Quels conseils donneriez-vous aux nouveaux candidats? Comment jugez-vous cette certification? Merci de nous donner votre avis en commentaire. Cela aidera sûrement beaucoup de candidats à mieux se préparer.

Vous avez réussi votre CISA? N’hésitez pas à partager la bonne nouvelle sur ce blog. Vous serez peut-être alors sollicité(e) pour partager votre expérience avec les autres candidats…

CISA : le booster de votre carrière

CISA, pourquoi il est si important

A l’heure où CISM et CISSP apparaissent comme les qualifications indispensables pour atteindre un niveau de senior management dans la sécurité de l’information, beaucoup de participants à nos formations nous posent la question: Où CISA se positionne-t-il dans mon plan de carrière? Ou bien: Est-ce que la qualification CISA est uniquement destinée aux auditeurs informatiques?

 CISA en quelques chiffres

Les chiffres parlent d’eux-mêmes et répondent aux interrogations.

Introduite en 1978, la qualification Certified Information Systems Auditor (CISA) est la doyenne des certifications de l’ISACA. Elle est actuellement détenue par plus de 125.000 professionnels de l’informatique dans le monde entier. Elle est mondialement reconnue comme une preuve de compétence et d’expérience en matière d’assurance que les actifs critiques de l’Entreprise sont sécurisés et disponibles.

Les membres du Conseil d’Administration des grandes Entreprises souhaitent s’assurer que leur Organisation est protégée contre les risques de cybercriminalité. En un mot, ils comptent sur leurs Managers qualifiés CISA pour cela. CISA reste, en 2016, l’une des six certifications les mieux rémunérées pour la deuxième année consécutive, selon l’enquête sur les compétences et les salaires IT de Global Knowledge.

Les cinq domaines du CISA

Il ne s’agit pas là d’une qualification de niveau initial telles qu’elles existent dans d’autres domaines tels que ITIL, COBIT, PRINCE2, etc. Les qualifications de niveau initial, généralement appelées Foundation permettent uniquement de valider la connaissance de concepts généraux et d’un vocabulaire. C’est donc uniquement une preuve de connaissance d’une documentation et en aucun cas une preuve de compétence. Par contre, c’est clairement un pré-requis pour avancer dans l’apprentissage, mais en aucun cas un visa pour la mise en oeuvre. Combien de projets ont échoué car confiés à des incompétents pourtant titulaires d’une certification de niveau Foundation… La compétence s’appuie certes sur la connaissance mais aussi et surtout sur l’expérience. C’est d’ailleurs l’un des 7 facilitateurs de COBIT 5 pour une bonne gouvernance et un management performant des Entreprises.

COBIT 5, également publié par l’ISACA, constitue le socle de la certification CISA. Il n’y a donc rien de surprenant à ce que celle-ci soutienne le facilitateur « People, Skills et Competencies » de COBIT. La qualification CISA est attribuée aux candidats ayant réussi un examen écrit rigoureux et faisant, de plus, la preuve d’au moins cinq ans d’expérience pertinente sur les cinq domaines de connaissance suivants:

  1. Le processus d’audit des systèmes d’information
  2. Gouvernance et Gestion des information et des technologies associées
  3. Systèmes d’information – Acquisition, développement et mise en œuvre
  4. Exploitation, maintenance et support des Systèmes d’Information
  5. Protection des actifs informationnels

A qui s’adresse la certification CISA?

L’ISACA met principalement l’accent, dans le cadre du CISA, sur trois rôles particulièrement critiques pour la réussite d’une Entreprise.

Les auditeurs du Système d’Information

CISA vous permet d’être reconnu(e), non seulement au niveau local ou national, mais aussi au niveau international, en tant que professionnel avec les connaissances, les compétences et la crédibilité pour vérifier tous les domaines liés aux systèmes d’information et délivrer des recommandations et des solutions. Le rôle d’auditeur ne se limite pas à la réalisation d’une vérification et à la fourniture des résultats. Une partie, peut-être la plus importante, consiste à donner des recommandations et à faire le suivi de leur mise en oeuvre. C’est là un point souvent incompris.

Les professionnels de Gouvernance du SI

CISA assure les parties prenantes de vos capacités à identifier les problèmes critiques pour l’Entreprise. Il rassure également sur vos compétences à recommander des pratiques personnalisées spécifiques à l’Entreprise pour soutenir et garantir la Gouvernance de l’Information et des technologies associées.

Les professionnels de la Sécurité de l’Information

CISA démontre votre expérience pour aider les entreprises dans un contexte légal et réglementaire complexe et en constante évolution. Il confirme aussi votre parfaite connaissance et votre expertise en matière de normes internationales. Enfin la qualification CISA confirme votre aptitude à réduire la complexité et les délais de gestion des vulnérabilités, à mesurer la sécurité et assurer la conformité. CISA est conçu pour être complémentaire à la qualification ISACA Certified Management Information Security (CISM).

Comment réussir la certification CISA?

La prochaine session d’examen CISA en 2016 se tiendra le 10 décembre 2016. Il ne vous reste que quelques jours pour vous inscrire avant la date limite d’inscription finale fixée au 21 Octobre. Pour vous préparer à l’examen, vous aurez certainement besoin d’acheter et de lire les manuels CISA Review, 26e édition et CISA Review Questions, Manuel des questions et d’explications, 11e édition.

Je vous recommande également, compte tenu de la difficulté de l’examen et du taux d’échec élevé d’envisager d’assister à notre Atelier de Préparation à l’examen CISA. Nous vous proposons deux ateliers, à Abidjan du 7 au 11 Novembre et Paris du 28 Novembre au 2 Décembre. Cet atelier a une durée de cinq jours (un jour par domaine). Il vous préparera efficacement à une meilleure compréhension du vocabulaire, des concepts et surtout à la compréhension des questions d’examen. A noter que les manuels mentionnés ci-dessus sont offerts dans le cadre de notre atelier de préparation à l’examen.

Vous avez des questions? Vous doutez toujours de l’intérêt pour votre cas personnel? N’hésitez pas à nous laisser votre commentaire et nous nous ferons un plaisir de vous répondre.

Nouveau: DevOps débarque en Afrique!

Une évolution nommée DevOps

Apparu depuis quelque temps, un nouveau mouvement professionnel et culturel visant à améliorer le flux entre les développeurs de logiciels et les équipes opérationnelles commence à faire ses preuves. Encore peu répandu sur le continent Africain où, pourtant, de nombreuses organisations réalisent leurs propres développements de logiciel en interne avant de les exploiter, DevOps répond clairement à un besoin croissant d’agilité des organisations dans un contexte de plus en plus mondialisé. Certains en ont peut-être déjà entendu parler sur des blogs ou via des offres d’emploi.

Dans un premier temps, DevOps peut être vu comme un outil d’amélioration des performances opérationnelles fonctionnant de manière intelligente. La stratégie DevOps aura un impact sur l’ensemble des réseaux de distribution. A la clé figurent des avantages non négligeables:

  • réduction du temps de commercialisation,
  • diminution des problèmes liés aux nouvelles publications,
  • réduction des délais de mise à disposition de correctifs
  • et accélération des temps de reprise après sinistre.

L’évolution constante des entreprises vers le numérique pousse désormais les développeurs à revoir sérieusement les modes de création d’applications.

DevOps-Evolution

Il n’est désormais plus tolérable d’attendre 6 mois, voire 1an avant de livrer les services demandés par les entités business. Les systèmes d’information doivent s’aligner sur la sortie des produits et services métiers. Le marketing ne peut plus attendre, surtout que les projets futurs deviennent de plus en plus complexes notamment en matière informatique. Le tout se retrouve dans un contexte économique pesant sur les budgets. Dans le cadre de ce développement, DevOps répond parfaitement à ce défi digital et les entreprises en ont maintenant pris conscience.

Qu’est-ce que DevOps?

DevOps est l’abréviation de « Développement » et « Opérations » dans le domaine informatique. Ce n’est pas un outil, un processus ou une méthodologie. DevOps a débuté comme étant, et continue d’être, une convergence d’idées en vue de combler le fossé qui sépare les équipes de développement et d’exploitation dans les Directions Informatiques. L’idée maitresse est de rationaliser le développement de logiciels et de faciliter leur exploitation et leur maintenance. Le terme DevOps identifie un mouvement déclenché par la frustration des professionnels de l’informatique, vers 2010, résultant des dysfonctionnements et de l’incapacité d’y remédier du fait d’outils et de processus inadaptés. Ces professionnels IT frustrés ont partagé leur vision du fait que le développement de logiciels et les opérations peuvent, et doivent être plus efficaces et moins douloureux.

Aujourd’hui, la définition originale de DevOps comme étant l’intégration du « développement » et des « opérations » est devenue trop limitée et inexacte. DevOps implique plus d’acteurs que les seuls développeurs et les techniciens d’exploitation. Le cycle de développement de logiciel  implique également de nombreux autres rôles qui constituent des contributeurs essentiels. Parmi ceux-ci, citons la gouvernance, l’assurance qualité (QA), les tests, la sécurité et la gestion des versions. DevOps est donc une combinaison de personnes, de culture, de processus, d’outils et de méthodes  réduisant les risques et les coûts, et permettant à la technologie d’évoluer à la vitesse de l’entreprise, et d’améliorer la qualité globale.

Pourquoi une nouvelle approche?

L’approche traditionnelle repose sur un ensemble de facteurs qui la fragilisent et l’alourdissent. DevOps représente une prise de conscience que l’approche traditionnelle n’est plus en mesure de satisfaire le besoin d’agilité nécessaire à l’Entreprise pour rester concurrentielle. Un exemple typique serait le cas du web qui gère des applications dans le Cloud. DevOps est une démarche innovante qui s’apparente à une philosophie destinée à des personnes à la recherche d’efficacité.

Pour la réalisation des grands projets informatiques, différentes équipes aux rôles bien définis sont impliquées. Il s’agit d’une part de l’équipe de développement et d’autre part de celle chargée de l’exploitation. Habituellement, les équipes de développement tentent de répondre à des spécifications fonctionnelles issues du métier ou du client. Elles travaillent généralement dans leur propre environnement, avec leurs outils destinés aux développements. Elles ne se soucient guère de l’impact que peut avoir leur code sur la phase d’exploitation qui exécutera l’application sur un environnement de production. Les équipes chargées de l’exploitation, quant à elles, tentent de répondre à des impératifs de performance ou de stabilité du système. Et c’est pourquoi, elles sont très attentives à minimiser les impacts des modifications afin de préserver ces performances. Hélas, cela risque de générer un goulot d’étranglement pour l’ajout de nouvelles fonctionnalités aux applications.

Quelle que soit l’équipe, il est toujours compliqué d’être au courant de comment une autre équipe gère ses tâches. Cela rend difficile l’optimisation des deux côtés. C’est à ce niveau qu’intervient DevOps dont le rôle est, en quelque sorte, de réaliser l’intégration des différentes équipes pour faciliter la communication et diffuser l’information. Les autres fonctions de DevOps incluent l’amélioration de la coordination durant les phases de livraison et de déploiement afin de limiter les erreurs.

Les résultats sont-ils probants?

Les résultats sont probants et donnent un bon aperçu des avantages de DevOps. Selon un sondage récent 66% des entreprises dans le monde utilisent déjà une stratégie DevOps ou envisagent d’en mettre une en œuvre. Plus de 90% d’entre elles ont observé ou s’attendent à un gain substantiel grâce à leurs initiatives DevOps. Les résultats de DevOps sont réels et quantifiables car cette approche génère des améliorations, augmentations ou réductions, à deux chiffres (de 17 à 23%).

Infographie DevOps

Les résultats concernant la France sont inférieurs aux chiffres résultants du sondage mondial mais sont néanmoins significatifs.

Quels sont les enjeux?

L’arrivé de DevOps met la pression aux développeurs car ils doivent produire davantage dans un temps réduit et réaliser des tests supplémentaires tout en respectant les contraintes budgétaires imposées. Parmi les enjeux majeurs apparaissent la réactivité commerciale et les délais de commercialisation qui bien souvent affectent l’expérience du client. Cela dit, DevOps impose un niveau de collaboration, d’agilité, de visibilité de développement et de rapidité de distribution qui relève le défi des projets à long terme dont la lenteur est à bannir compte-tenu des contraintes du monde de l’entreprise.

La stratégie DevOps est moins adaptée aux mainframes car il est généralement compliqué de faire évoluer des processus traditionnels bien ancrés et de développer la collaboration autour de technologies solidement établies. La majorité des schémas organisationnels sont en réalité inadaptés ou insuffisants pour permettre aux équipes de développement d’atteindre leurs objectifs et le niveau de productivité qu’exige leur entreprise.

DevOps, pour quels bénéfices

Le slogan pré-Devops était « Vite vite on met en production ! ». Mais attention, il ne faut pas confondre vitesse et précipitation. La production c’est du sérieux ! En effet, les développeurs produisent du code à partir d’un cahier des charges précis. Ils se préoccupent peu des impacts que peut avoir leur code sur la production. De la même façon, les équipes de production sont quant à elles obnubilées par la stabilité de l’infrastructure, garante de la création de valeur pour les métiers. Elles freinent donc les mises en production et blâment le code du développeur si le résultat voulu par l’utilisateur n’est pas satisfaisant. La vision DevOps tente de pallier à ce problème en favorisant une répartition des responsabilités et l’implication de l’ensemble des acteurs de la chaine. Le développeur devient ainsi testeur de son code.

Les intérêts d’adoption d’une démarche Devops sont multiples :

  • Réduire le cycle et le coût de mise en production,
  • Avoir une approche plus fragmentée (petites évolutions),
  • Faire que les mises à jour deviennent transparentes,
  • Mise en commun des responsabilités (tout le monde dans le même bateau!)
  • Une amélioration continue du produit,
  • Répondre plus rapidement aux besoins des clients.

NETFLIX, Amazon, Singapore Power ont été conquis par DevOps

Eh oui, même les plus grands ont adopté Devops ! Des entreprises telles que Netflix ou Amazon ont bâti une bonne partie de leur succès en s’appuyant DevOps.

Cycle de vie DevOpsChez Netflix, par exemple, le déploiement est totalement automatisé, depuis le packaging du nouveau code jusqu’à la mise en production. Cela passe par la mise en oeuvre de l’infrastructure virtuelle et les tests fonctionnels. Une nouvelle version d’application sera promue automatiquement dans une nouvelle infrastructure virtuelle. Elle est mise en service en lui redirigeant un sous-ensemble du trafic utilisateur. Après une phase pilote avec monitoring automatisé, si le comportement s’avère satisfaisant, la totalité du trafic est redirigé. L’ancienne instance de l’application et son infrastructure sont alors automatiquement décommissionées.

Vous souhaitez en savoir plus sur DevOps?

DevOps est désormais accessible en Afrique. Laissez vous tenter par cette révolution. Faites partie des premiers à satisfaire enfin le besoin d’agilité tant attendue par le Business. Grâce à DevOps vos équipes informatiques pourront concevoir et déployer des applications plus rapidement. Elles travailleront de manière efficace et efficiente, s’adapteront facilement au changement, développeront de meilleurs logiciels. Dernier avantage non négligeable, DevOps vous permettra d’optimiser les coûts. Une mise en œuvre parfaite de DevOps est essentielle et nécessite des professionnels expérimentés dans le domaine. C’est pourquoi AB Consulting, seul organisme officiellement accrédité en Afrique, vous aide à comprendre et à mettre en œuvre DevOps dans votre Organisation. Nous vous accompagnons également dans la conduite du changement culturel au sein de vos équipes. Pour plus d’informations sur nos prochaines formations DevOps Foundation, consultez notre site.

N’hésitez pas à nous adresser vos commentaires et vos questions qui seront les bienvenues pour que s’instaure un dialogue fructueux autour de la révolution DevOps.

Culture et éthique au coeur de l’Entreprise

Pas de création de valeur sans culture et éthique

Ardent défenseur de la bonne gouvernance pour promouvoir les comportements adéquats, en matière de business, je défends depuis longtemps l’idée que les Entreprises doivent comprendre et pratiquer un capitalisme responsable. En ce moment même se déroule un G20 en Chine. C’est le cadre dans lequel deux des plus grands pollueurs de la planète, à savoir les USA et la Chine viennent enfin de ratifier l’accord de la COP21. Cet accord vise à réduire l’émission de gaz à effets de serre. Ces gaz menacent directement la survie même de l’humanité et plus globalement de la Terre. Il est donc désormais clair que le capitalisme responsable est plus que jamais une nécessité vitale. Cela s’appuie, de toute évidence, sur une culture et une éthique d’Entreprise plus exigeantes.

Corporate Culture of a Company and Responsibility

Qu’est-ce que le capitalisme responsable?

Il se trouve que ce concept a été soulevé, il y a quelques semaines par l’Institute of Business Ethics (IBE). L’IBE est une organisation Britannique non gouvernementale créée en 1986. Sa mission consiste à encourager l’adoption de normes de haut niveau en matière de comportement d’affaires au sein des Entreprises. Pour ce faire il est indispensable de s’appuyer sur des valeurs éthiques fortes. Or chacun sait que les Entreprises, par la voix de leur Conseil d’Administration réagissent majoritairement dans deux cas seulement. Elles doivent y être contraintes soit par des obligations légales ou réglementaires, soit par un scandale financier affectant leurs actionnaires. Dans les deux cas, elles réagissent sous la contrainte et sont malheureusement rarement pro-actives.

En juillet, l’IBE a présidé un excellent colloque sur ce que le «capitalisme responsable» signifie aujourd’hui. Cela conforte ce que je préconise depuis longtemps, m’appuyant sur COBIT 5, à mes clients et partenaires. Il est devenu indispensable de créer une culture d’entreprise permettant aux humains d’exploiter les opportunités, et pas l’inverse. Cet objectif se réalise, bien sûr, en encourageant la liberté de produire, de vendre et d’acheter des biens et services afin de créer de la valeur pour la Société, pour le plus grand profit de ses parties prenantes. Mais cela nécessite impérativement d’agir dans un cadre bien défini en matière de comportement d’affaires. C’est un pré-requis à la bonne gouvernance selon COBIT qui propose 6 autres facilitateurs pour la création de Valeur. 

Le rôle du Conseil d’Administration

Il est donc important que les Organisations définissent les comportements business qui sont et ne sont pas autorisés. Il est également vital de définir dans quelle mesure la culture de l’Organisation soutient ou contredit sa position éthique officielle.

Pour illustrer ce propos, prenons, par exemple, le cas de la FIFA (Fédération Internationale du Football Amateur). D’un point de vue éthique, la FIFA a pour mission de promouvoir les opportunités dans le monde du football. Son site Web met en exergue cette orientation. « La mission de la FIFA consiste à développer le football partout et pour tous, à toucher le monde à travers des tournois passionnants et à construire un avenir meilleur grâce au pouvoir du beau jeu ». Or nous avons tous en mémoire les récents scandales affectant la Direction de la FIFA et démontrant la corruption culturelle de cette Organisation. Ceci révèle une énorme différence entre la parole («ce que je dis») et les actes («ce que je fais»). Et cela conduit inévitablement à une faillite complète de l’Organisation et à la destruction de Valeur.

FIFA culture eroded ethics

Les scandales du LIBOR, du FOREX et des assurances emprunteurs PPI dans le secteur financier, la tricherie de Volkswagen sur les émissions de particules et les manipulations financières de Tesco destinées à dissimuler un trou au niveau comptable, sont autant d’exemples où la culture d’entreprise a violé l’éthique. Les Conseils d’Administration se réunissent et prennent note de ces violations. Hélas cela se passe seulement une fois que l’éthique a été violée. En effet, c’est seulement à postériori que les impacts au niveau de l’Entreprise se font sentir. Et c’est donc seulement après coup que le Conseil d’Administration se trouve contraint d’agir. A ce moment là, il est le plus souvent trop tard pour agir.

La création de valeur

Toutes ces Organisations étaient pourtant bien établies. Elles inspiraient suffisamment de confiance en terme de création de valeur. Malheureusement elles ont toutes fini par violer les règles fondamentales de l’éthique. C’est comme si la signification de la valeur avait été déformée. La valeur est la conjonction du profit, de l’optimisation des risques et de l’optimisation des ressources. Aujourd’hui, de nombreuses Entreprises évaluent uniquement la valeur d’un point de vue financier. Valeur devient synonyme de gros profits, gros dividendes et valeur marchande élevée. Elles font souvent fi de l’optimisation des risques liés à un comportement non éthique. De même elles se préoccupent  peu de l’utilisation efficiente des ressources.

Alors même qu’augmente la pression sur les ressources de la planète, et que la législation et la réglementation se concentrent maintenant sur la façon de faire les choses, les entreprises doivent désormais se focaliser sur leur façon de fonctionner, de produire et de servir. Le changement de la façon de faire des affaires favorise une approche éthique. la culture au sein des Organisations et des chaînes d’approvisionnement doit donc également se transformer pour permettre le  passage de la simple «création de richesse» à la notion de «création de bien-être».

Peut-être est-ce là la différence entre une entreprise bâtie sur le «capitalisme» (d’aucuns parlent de capitalisme sauvage) et une entreprise construite sur le «capitalisme responsable». Celui-ci intègre d’autres éléments dans sa définition de la «valeur», tels que les bénéfices sociaux et environnementaux. Le capitalisme responsable prolonge ainsi la «richesse» jusqu’au «bien-être». En d’autres termes, dans ce contexte, la valeur ajoutée est la somme de la richesse (s’appuyant sur le profit, pas seulement financier d’ailleurs) et du bien-être (résultant de l’optimisation des risques et des ressources). Cette création de valeur sera soutenue par l’éthique (objectif à atteindre), et la culture (moyen de la produire).

Peut-on auditer la culture d’une Organisation ?

Maintenant, il est nécessaire de mesurer tout cela. La culture est partout et nulle part dans les entreprises. Elle est partout dans le sens où elle est façonnée et déterminée par toutes les caractéristiques de l’entreprise – son personnel, son organisation, la façon de récompenser les gens, etc; – et nulle part, parce que la culture n’est pas tangible. Ce n’est pas un produit qu’on peut mettre sur une étagère, puis modifier et faire évoluer à volonté. Il est cependant nécessaire d’évaluer l’aptitude de la culture d’une entreprise à créer de la valeur pour l’Entreprise.

Avec quelque chose d’aussi intangible que la culture, où et comment peut-on commencer cette évaluation? Une bonne façon de démarrer une telle évaluation consiste à identifier la  « pression d’entreprise» sur son personnel. C’est cette pression qui va révéler les changements culturels et leur impact sur l’éthique. Cela soulèvera immanquablement des «feux rouges» indiquant que l’Organisation présente un risque important. Ce risque pourra se traduire notamment par un scandale affectant l’image de l’Organisation.

Les indicateurs de risque

Quels sont ces feux rouges? On peu en identifier cinq essentiels :

  • l’existence d’accords salariaux controversés, tels q’une rémunération anormalement élevée des dirigeants favorisant la prise de risques et encourageant uniquement des objectifs à court terme;
  • des structure juridique complexe rendant difficile la transparence, pour les Conseils d’Administration et le Management, sur ce qui se passe à l’intérieur de l’entreprise;
  • une mauvaise réalisation de Fusions / acquisitions conduisant à un mélange de cultures au sein de l’entreprise, avec des «poches» de mauvais comportement qui se développent hors du contrôle du Conseil d’Administration;
  • une discipline financière laxiste (par exemple Northern Rock et RBS avaient un endettement excessif qui a conduit à leurs problèmes) pouvant déclencher une crise;
  • des dirigeants « autocratiques » que le personnel craint de fâcher par crainte de représailles, ce qui signifie que des informations vitales sur les problèmes potentiels risquent de ne jamais atteindre la haute direction et les Conseil d’Administration.

COBIT 5 comme cadre d’évaluation

L’étape suivante consiste en la définition d’une approche pour examiner et évaluer la culture et l’éthique, en s’appuyant par exemple sur COBIT 5.

facilittaeurs de la création de valeur

Nous pouvons appliquer la publication COBIT 5 for Assurance, pages 139 – 141, à chacun des « feux rouges » identifiés ci-dessus. COBIT 5 examine l’influence sur le comportement par le Leadership selon trois axes, « à travers la communication, l’application et les règles », « au travers des incitations et des récompenses» et «par les actions de sensibilisation». Tous les trois portent sur les questions relatives à la pression de l’Entreprise.

La communication, les règles et leur application influencent les comportements

Cette perspective permettra de découvrir si l’entreprise « prend des raccourcis » ou fait preuve d’une discipline financière laxiste. Elle permettra également de découvrir si le conseil d’administration se concentre sur les mesures à court terme. On s’attachera notamment à ce niveau à étudier l’existence et le contenu des politiques et du système de management.

Les incitations et récompenses soutiennent les comportements souhaités:

Cet axe d’évaluation va révéler comment la rémunération et les récompense réelles correspondent aux schémas officiels de récompenses/pénalités en vérifiant si le personnel s’affranchit des limites, si les managers et le conseil d’administration tolèrent les petites infractions aux politiques et si les pénalités au niveau du salaire sont bien appliquées et encouragent la prise de risque – pour atteindre des objectifs à court terme.

La sensibilisation conditionne les comportements attendus

Cette perspective permet d’identifier si des structures juridiques complexes existent. C’est alors difficile, pour le conseil et la direction, de comprendre ce qui se passe à l’intérieur de l’entreprise. Par exemple, une complexité des structures peut résulter de prises de contrôle, conduisant à un choc de cultures. Cela générera des zones de mauvais comportement allant au-delà de la capacité de supervision du Conseil d’Administration.

En résumé, une évaluation globale basée sur COBIT 5 nous aidera à évaluer si le conseil change de direction s’écartant des pratiques validées sans officiellement modifier ou communiquer sa nouvelle approche.

A quoi sert vraiment COBIT ?

Mais COBIT 5 peut faire encore beaucoup plus pour nous. Il peut, de manière transparente, identifier la fourniture et l’utilisation des développements technologiques, tels que les objets connectés par Internet et le Big Data, et évaluer la réponse d’Entreprise en matière de confidentialité des données et de pratiques de cyber-sécurité. A mesure que les progrès technologiques se combinent de façon plus évidente, imbriquant chaque jour davantage vie professionnelle et vie privée, de nouvelles questions éthiques se posent. C’est l’évaluation continue de la culture et de l’éthique qui soutiendra toutes les opérations et l’obtention des résultats attendus.

Vous voulez découvrir comment COBIT peut vous aider?

AB Consulting, seul organisme de formation accrédité par APMG/ISACA sur l’ensemble des certifications COBIT 5 en Afrique de l’Ouest et du Nord, mais également certifié en matière d’audits sur la base de COBIT 5 vous propose de découvrir comment ce cadre de Gouvernance et de Management qui couvre la totalité de l’Entreprise, bien au delà du département informatique, peut vous aider à créer de la valeur au sein de votre organisation. N’hésitez pas à consulter notre site web pour en savoir davantage ou pour vous inscrire à l’une de nos formations certifiantes.

Des commentaires à faire sur cet article? Un témoignage à nous apporter? Des questions à poser? Surtout n’hésitez pas à poster ci-dessous vos commentaires. Nous vous répondrons avec grand plaisir.

Si vous pensez que ce post peut intéresser d’autres personnes, n’hésitez pas à le partager sur les réseaux sociaux.

La création de valeur pour les nuls

Avis à tous ceux qui croient que rester assis à un bureau, à regarder un écran et à chauffer son fauteuil, ou que marcher autour du bureau toute la journée avec une tasse de café à la main en bavardant et participer à des réunions stériles est synonyme de CRÉATION DE VALEUR et que répartir son temps entre LinkedIn et Facebook correspond à un EQUILIBRE ENTRE TRAVAIL ET VIE SOCIALE, la lecture de l’article suivant risque de paraître un peu douloureuse ……….

création de valeur

Les entreprises existent pour créer de la valeur pour leurs actionnaires et par conséquent, le terme « création de valeur » n’est pas qu’un concept fumeux comme certains l’imaginent. Il y a d’innombrables mesures pro-actives qu’on peut prendre pour y parvenir, parmi lesquelles :

  1. améliorer la qualité et la rapidité des décisions prises
  2. tirer un avantage business des investissements en informatique
  3. améliorer sensiblement l’efficacité opérationnelle
  4. contrôler et améliorer la performance du personnel
  5. réduire les risques métiers, et bien plus encore……..

Quoi qu’il en soit, la réalité c’est que la plupart des DSIs passent l’essentiel de leur temps à essayer vainement de satisfaire les attentes des métiers et seraient bien inspirés de s’attaquer activement à certains points sur lesquels le Business est très impacté tels que

  1. des initiatives ratées de l’informatique et la perception d’une valeur délivrée très faible par rapport aux investissements consentis,
  2. une augmentation exponentielle des dépenses informatiques et une complexité totalement inutile de l’infrastructure,
  3. des problèmes récurrents de fourniture des services IT avec un nombre relativement important d’incidents et des changements fréquemment en échec,
  4. des résultats d’audit interne mettant en évidence des performances médiocres et des services de mauvaise qualité,
  5. une incapacité récurrente à satisfaire aux exigences réglementaires et / ou contractuelles.

Six étapes vers la création de valeur

1. Travailler pour assurer une disponibilité garantie

La première étape, la plus simple, consiste à assurer un temps de fonctionnement maximal de l’infrastructure informatique et à prévenir toute interruption des flux d’information. C’est ce qui permet aux métiers de travailler, au niveau opérationnel, et de créer de la valeur pour l’entreprise. Il faut bien réaliser que la différence entre 99,9% et 99,8% de disponibilité des systèmes critiques et des ressources réseau sur une année représente de 8 heures 45 minutes. C’est suffisant pour générer la perte de dizaines, voire de centaines de milliers d’Euros par le Business, en fonction de la nature de votre entreprise. C’est en gardant cela à l’esprit et en assurant une continuité absolue des services IT que vous apparaîtrez comme un bon fournisseur de services IT au Business.

Toutefois, tant que le département informatique sera considéré seulement comme un fournisseur de services, il demeurera un centre de coûts, une fonction de soutien pur qui rendra des comptes à tout le monde sauf au Comité de Direction et au Conseil d’Administration.

L’objectif du département informatique doit être faire évoluer son rôle de la simple fourniture de services de soutien pour les métiers vers celui de facilitation pour les métiers, puis d’innovation stratégique guidant la transformation du Business grâce à l’acquisition d’un bon niveau d’aptitude pour chacun des « facilitateurs » (« enablers »)  de la création de valeur pour l’Entreprise. Le tableau ci-dessous, bien que non exhaustif, résume les caractéristiques de chacun de ces statuts :

rôle de l'IT dans la création de valeur

2. Améliorer la réactivité de l’IT pour faire face aux demandes du Business

Une fois que le premier objectif est atteint, la seconde étape vers la création de valeur, du point de vue de la production informatique est de bâtir « la réactivité». Quel est notre niveau de réactivité pour satisfaire tous les besoins Business, que ce soit au travers de la Gestion de la demande ou des opérations quotidiennes? Pour commencer son chemin sur la voie de l’amélioration de la réactivité, le département informatique doit se concentrer sur sa transformation organisationnelle vers une structure horizontale permettant l’accélération de la prise de décision, c’est à dire passer d’une organisation centralisée à une organisation fédérale basée sur l’octroi de privilèges d’accès suffisants pour tous les niveaux afin de mieux répartir les responsabilités et de fonctionner plus efficacement. Le côté négatif c’est que ce type de structure est principalement axé sur le «contrôle» plutôt que sur «l’efficacité».

Améliorer la réactivité, c’est d’abord répondre efficacement aux problèmes concernant les stations de travail, les applicatifs, les imprimantes et tous les autres incidents auxquels fait face quotidiennement l’utilisateur final et qui freinent la productivité de l’entreprise. Améliorer globalement les niveaux de service grâce à la mise en oeuvre d’OLAs (Accords de Niveau Opérationnel), de SLAs (Accord sur les Niveaux de Service) ainsi que d’indicateurs clés de performance (KPIs) pour l’équipe IT doit être notre principal objectif.

3. Se focaliser sur la création de valeur grâce aux projets

Le passage du statut de gestionnaire des opérations informatiques à celui de réalisateur d’initiatives innovantes se mesure à la façon dont les projets du département IT réussissent et permettent aux métiers de l’Entreprise d’atteindre leurs objectifs, contribuant, de ce fait, à créer de la valeur. L’échec des initiatives informatiques peut être dû à une mauvaise définition des besoins, au non respect des délais correspondant au «time to market», à des critères mal définis de validation de la solution livrée par les utilisateurs et à bien d’autres raisons encore. Le but ici est de décrire ce que nous réalisons avec nos investissements informatiques et un bon point de départ serait d’avoir un processus permettant de mieux sélectionner les projets s’appuyant sur la mise en place d’un Comité Stratégique incluant à la fois le Business et le management informatique et capable d’examiner les avantages et les inconvénients de chaque initiative en prenant en compte le calcul du ROI et du TCO notamment.

Tous le monde s’accorde sur la nécessité pour l’informatique de changer son approche en évitant de se focaliser sur la technique et les coûts pour mettre en avant la valeur créée par ses initiatives.

Pour parvenir à cela, il existe des techniques de gestion de budget informatique parmi lesquelles :

  • le benchmarking des dépenses informatiques avec des entreprises similaires, du même secteur d’activité, afin d’en tirer une évaluation raisonnable de ce que devraient être le revenu brut et les charges d’exploitation de l’informatique
  • la décomposition le budget en trois parts : support, croissance et transformation.

4. Etre prudent vis à vis des nouveautés technologiques

En l’absence de véritable innovation, le département informatique peut créer de la valeur en réalisant une analyse complète des tendances technologiques actuelles, des possibilités offertes pour résoudre des problèmes Business ou pour améliorer les processus et participer à l’adoption rapide de ces solutions pour faire que, grâce à la technologie, les métiers acquièrent un avantage concurrentiel sur leur marché. Dans cet objectif, il est vital que les DSIs restent en phase avec les innovations technologiques au travers de la lecture de publications et de bulletins importants, qu’ils assistent régulièrement à des conférences / séminaires et rencontrent d’autres dirigeants d’Entreprises.

Une maxime Anglaise qui s’applique parfaitement à l’évolution rapide de la technologie dit que « l’oiseau qui arrive le premier attrape le ver, mais la souris qui arrive juste après mangera le fromage ». Ceci se vérifie complètement dans le cas de l’adoption précoce d’une nouvelle technologie qui va se traduire par un risque relativement élevé et c’est la raison pour laquelle certains préfèrent choisir d’attendre et de voir.

Mettre en avant la création de valeur, en vue de résoudre des problèmatiques métiers, nécessite une compréhension en profondeur des processus business et du flux d’information associé. Afin d’atteindre cet objectif, le management informatique et les membres de leurs équipes vont devoir entreprendre leur «retour sur terre » et aller « sur le terrain » pour comprendre les véritables défis business auxquels les employés et les clients de l’Entreprise font face. Cet exercice aidera le personnel informatique à obtenir, non seulement une pause bienvenue de son travail quotidien, mais aussi l’aidera à réaliser l’importance vitale de sa contribution au Business.

Certains dirigeants considèrent que c’est le fait d’exhiber un classeur rempli de politiques et procédures qui constitue « une bonne gouvernance » et « crée de la valeur », mais dans la réalité, cela ne fera, au mieux, que soutenir ce qui existe déjà.

5. Gérer la performance du département informatique

La gestion de la performance est un composant clé de la gouvernance. C’est une exigence de vérification dans la plupart des organisations où il faut effectuer régulièrement des auto-évaluations et des rapports de performance basés sur des KPIs. Toutes les activités liées à la performance doivent être rapportées et revues sur une base annuelle. La transparence est clé pour une bonne gouvernance.

6. Rester à l’écoute des métiers. Ce n’est jamais l’informatique qui décide

Dernier point mais non le moindre, être à l’écoute du Business et / ou du feedback des clients et agir en conséquence, c’est cela qui crée réellement de la valeur. Nous avons trop tendance à penser que c’est notre point de vue qui est juste. C’est ce que Microsoft a fait avec Windows 8, puis « foiré » encore davantage avec Windows 8.1, avant de corriger le tir (ou presque) avec Windows 10.

En quoi consistent les « facilitateurs » de la création de valeur?

Les facilitateurs sont des facteurs qui, individuellement ou collectivement, influencent la réussite d’une activité, dans le cas présent, la gouvernance et le management du SI de l’entreprise, en vue de créer de valeur. Les facilitateurs sont influencés par la cascade d’objectifs, c’est à dire que des objectifs de plus haut niveau liés au SI définissent ce que les différents facilitateurs devraient permettre d’atteindre.

facilittaeurs de la création de valeur

Le schéma ci-dessus, extrait du référentiel COBIT® 5 montre qu’il y a sept facilitateurs à implémenter et à améliorer en permanence pour créer de la valeur pour l’Entreprise :

  • Les principes, les politiques et les systèmes de management représentent le mécanisme, sous forme de chaîne, permettant de traduire les exigences des actionnaires en orientations pratiques pour la gestion quotidienne.
  • Les processus décrivent un ensemble organisé de pratiques et d’activités requises pour atteindre des objectifs et pour produire un ensemble de résultats permettant la réalisation des objectifs globaux. Les processus constituent la mise en oeuvre pratique des politiques.
  • Les structures organisationnelles sont les principales entités de décision dans l’entreprise. Ce sont elles qui décident d’implémenter les processus.
  • La culture, l’éthique et le comportement des individus et de l’entreprise sont très souvent sous-estimés en tant que facteurs de réussite dans les activités de gouvernance et de gestion. Ce sont les personnes qui composent les structures organisationnelles et qui implémentent et exécutent les processus.
  • L’information est omniprésente dans toute organisation. Elle comprend toute l’information produite et utilisée par l’entreprise. L’information est nécessaire pour prendre les décisions stratégiques et maintenir l’organisation fonctionnelle et bien gouvernée, mais au niveau opérationnel, elle est souvent le produit phare de l’entreprise elle-même.
  • Les services, l’infrastructure et les applications comprennent l’infrastructure, la technologie et les applications qui fournissent à l’entreprise les traitements et les services en matière de technologies de l’information. Il s’agit bien sûr de l’informatique et des télécommunications qui stockent, traitent et communiquent les informations.
  • Le personnel, les aptitudes et les compétences sont liés aux individus et sont nécessaires pour la réussite de toutes les activités ainsi que pour la prise de décisions éclairées et de mesures correctives. Il est vital, pour pouvoir créer de la valeur, de disposer du nombre approprié de ressources humaines possédant des aptitudes de savoir-être et de savoir-faire correspondant à ce qui est décrit dans les 6 autres facilitateurs.

Y a-t-il des référentiels sur ce sujet?

COBIT® 5, le référentiel de Gouvernance et de Management du SI, publié par l’ISACA en 2012 définit la création de valeur comme étant l’objectif de la Gouvernance et décrit les mécanismes à mettre en oeuvre pour y arriver.

Si vous souhaitez aller plus loin, AB Consulting, seul Organisme de Formation officiellement accrédité par ISACA et APMG en Afrique de l’Ouest et seul habilité à délivrer les formations correspondantes et à organiser les examens de certification, vous propose les formations suivantes :

COBIT® Foundation sur 3 jours

COBIT® 5 Implementation sur 3 jours

COBIT® 5 Assessor sur 3 jours

sans oublier nos « bootcamps » :

COBIT® 5 Implémentation Boot Camp (Foundation + Implementation) sur 5 jours

COBIT® 5 Assessor Boot Camp (Foundation + Assessor) sur 5 jours

Pour plus d’information ou pour vous abonner à notre Newsletter, merci de compléter le formulaire de contact :

 

 

De l’importance d’une stratégie informatique

Pour poursuivre sur le sujet de l’importance de la gouvernance du SI dans les grandes entreprises et afin d’encourager son adoption par les petites et moyennes entreprises, je voudrais présenter ici une approche pragmatique d’élaboration d’une stratégie informatique.

Elaboration de la stratégie informatique

Je m’aperçois souvent lorsque je pose, durant mes formations, la question de la définition de ce qu’est une stratégie, que la plupart de mes étudiants ne comprennent pas vraiment de quoi il s’agit.

La Stratégie informatique, de quoi s’agit-il?

Alors, quel est le but d’une stratégie informatique? S’agit-il de partir de l’état actuel de l’informatique et de planifier son évolution future? Ou bien s’agit-il de fournir au business la vision technologique du département informatique dont l’objectif n’est pas uniquement de répondre au besoins exprimés par les métiers? Ou bien encore, s’agit-il d’élaborer conjointement avec les autres entités business de l’Entreprise des solutions qui permettront de satisfaire les besoins exprimés par les parties prenantes au travers du Conseil d’Administration?

C’est un peu tout cela à la fois et ce que nous allons essayer d’expliquer au travers de cet article.

Une stratégie peut généralement couvrir des aspects aussi divers que la complexité de votre infrastructure informatique et les exigences de votre entreprise et devrait permettre d’atteindre entre autres résultats:

  1. Capacité à faire plus… avec moins…
  2. Améliorer la capacité du Business à créer de la valeur pour l’Entreprise en leur permettant de se connecter et d’accéder aux informations de partout et à tout moment
  3. Trouver un juste équilibre entre la prévisibilité et l’innovation du modèle opérationnel
  4. Fournir des données de meilleure qualité pour permettre à l’Enterprise de prendre de meilleures décisions
  5. Externaliser la gestion des systèmes de back-office et réaffecter les ressources sur le support aux besoins clés du Business
  6. Faire du sourcing stratégique tel que migrer vers une solution de cloud hybride, faire appel temporairement à des compétences externes,
  7. Et beaucoup plus encore…

La définition de la stratégie informatique n’est donc pas un exercice solitaire réalisé par le DSI, mais fait partie d’un travail de groupe réalisé par l’ensemble des membres du Comité de Direction qui, sur la base de l’orientation donnée par le Conseil d’Administration vont avoir à proposer à ce dernier un plan permettant de réaliser les objectifs spécifiés par les parties prenantes (actionnaires ou propriétaires, état pour la conformité légale, organisations externes pour les réglementations, etc.). Chaque membre du Comité de Direction (Business Executives, DAF, DRH, Directeur des Opérations, DSI, … etc.) va donc avoir à proposer le plan correspondant à son propre domaine. La stratégie globale de l’Organisation consistera, par conséquent, en une consolidation de l’ensemble des ces plans stratégiques élaborés par chaque entité. Le département informatique aura, bien entendu, son rôle à jouer pour supporter les autres entités dans l’atteinte des objectifs de l’Entreprise. La stratégie de l’Entreprise sera présentée par le CEO (Directeur Général) et approuvée par le Conseil d’Administration. Chaque Exécutif deviendra dès lors responsable de l’atteinte des objectifs de sa propre stratégie et contribuera donc à l’atteinte des objectifs de l’Entreprise.

Qu’implique la définition d’une bonne stratégie?

Strategy IT sur une page
Template fourni par CEB

Un coup d’œil sur les stratégies IT des grandes entreprises vous donnera une idée sur leur contenu et leur forme. La taille moyenne d’un document de stratégie informatique est de l’ordre de 35 pages rédigées dans un langage simple et compréhensible par tous. L’illustration visuelle de la stratégie, généralement présentée dans le résumé, correspond à ce que j’appellerai une feuille de route dont le but est de donner un aperçu des résultats attendus de l’organisation l’informatique sur les prochaines années.

La stratégie informatique est destinée au Conseil d’Administration et au Comité de Direction. Ces deux instances sont composées de personnes ayant une vision business de l’Entreprise et en aucun cas une vison technique. Il est donc indispensable que la présentation de votre stratégie IT soit adaptée à votre auditoire et demeure concise et non technique. N’oubliez pas qu’il s’agit de dire ce qu’on va entreprendre et non comment on va s’y prendre. C’est là que, le plus souvent, les DSI vont échouer car le profil-type d’un DSi doit donc être celui d’un Exécutif Business dont les compétences sont adaptées à cet exercice et en aucun cas celui d’un « informaticien » en fin de carrière le plus souvent. Hélas, en l’absence de stratégie informatique claire, le département informatique ne sera pas en mesure de soutenir les objectifs de l’Entreprise et l’innovation nécessaire pour lui permettre de créer de la valeur pour ses parties-prenantes. L’informatique deviendra donc, de facto, un centre de coûts, dans un contexte économique où on cherche en permanence à éliminer les coûts superflus. Il est donc indispensable que la stratégie informatique soit alignée sur les besoins de l’Entreprise et qu’elle soit entre les mains de personnes possédant les compétences adéquates.

Il est nécessaire pour les petites entreprises d’avoir une stratégie informatique qui peut être résumée sur une simple page.

L’alignement stratégique est clé

Cascade d'objectifs COBIT 5Comme nous l’avons indiqué précédemment,  l’ensemble des stratégies des entités de l’Entreprise doivent être alignées pour créer de la valeur pour ses parties prenantes. Dès que le département informatique a identifié ses besoins urgents et les possibilités d’amélioration de son efficacité et de son efficience, et placé le tout dans un plan stratégique, il doit alors s’assurer que sa stratégie est bien alignée avec la plupart, sinon la totalité, des objectifs business dans le but de satisfaire ensemble la direction fixée par le CA. La cascade d »objectifs, décrite par COBIT 5, permet de réaliser l’alignement et l’outil généralement utilisé par les instances de Gouvernance et de Management pour contrôler les progrès au niveau de l’entreprise sera un tableau de bord équilibré (Balance ScoreCard).

Quelques questions / réponses sur la stratégie IT

  1. Qui est responsable et qui participe à la définition de la stratégie IT?

RACI gestion de la stratégieLà encore, COBIT 5 nous aide, grâce au RACI du processus APO02 : Gestion de la stratégie.

2. Quel est le périmètre d’une stratégie IT? Est-ce pour une Business Unit, un pays ou la totalité de l’organisation à travers le monde?

La meilleure réponse est que cela dépend de chaque Organisation, et est fonction de sa taille et de ses besoins. Ce qui est clair ici c’est que la stratégie de chaque Business Unit doit être alignée avec la stratégie d’entreprise ce qui rendra l’alignement de l’informatique avec chacune d’entre elles plus facile.

3. Comment fixe-t-on la stratégie? A quelle fréquence doit-elle être revue?

Une durée acceptable pour un plan stratégique pourrait aller jusqu’à 3 ou 4 ans compte tenu de l’évolution permanente du business et de la technologie dans le contexte de mondialisation actuel. Ce plan stratégique devrait ensuite être décomposé en plusieurs plans tactiques dont la durée optimale serait de l’ordre de six mois et ne devrait jamais excéder une année. Il faut bien garder en mémoire que plus la durée d’un projet est longue et moins il est susceptible d’être couronné de succès. Par conséquent, il est préférable de décomposer les grands projets en portions digestibles qui peuvent entrer dans vos plans tactiques.

Comment se familiariser avec ces concepts?

Le référentiel COBIT® 5 publié par l’ISACA en 2012 est un modèle très intéressant à adopter pour la Gouvernance et le Management du SI, dans la mesure où il couvre la totalité de l’Entreprise et assure l’alignement de l’IT avec les autres fonctions en partant du besoin des parties prenantes pour réaliser la cascade des objectifs en s’appuyant sur 7 facilitateurs :

COBIT 5 - Les 7 facilitateurs

  1. Principes, politiques et référentiel
  2. Processus
  3. Structures organisationnelles
  4. Culture, éthique et comportement
  5. Les informations
  6. Services, applications et infrastructures
  7. Personnels, compétences et aptitudes

Pour en savoir plus et vous familiariser avec ces concepts, AB Consulting organise régulièrement des sessions sur-mesure, en Français et en Anglais, de sensibilisation destinées au membres des Conseils d’Administration et des Comités de Direction ainsi que des formations certifiantes pour les managers : COBIT® 5 Foundation et COBIT® 5 Implémentation. Nous proposons aussi l’évaluation de l’aptitude de vos processus IT afin de vous assurer de leur alignement avec les politiques et la stratégie d’entreprise, basée sur COBIT® 5.

Pour plus d’informations ou pour vous abonner à notre newsletter, merci de remplir le formulaire de contact :

COBIT® is a trademark of ISACA® registered in the United States and other countries.
ITIL® is a registered trade mark of AXELOS Limited.
PRINCE2® is a registered trade mark of AXELOS Limited.

Catégories

Archives

Calendrier

juin 2018
L M M J V S D
« Avr    
 123
45678910
11121314151617
18192021222324
252627282930  
%d blogueurs aiment cette page :