Home » Posts tagged 'informatique'

Tag Archives: informatique

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

ITIL : renaissance ou dernier soupir?

ITIL, le référentiel phare en matière de gestion des services informatiques commence à prendre de l’âge. Aucune évolution notable n’a été publiée depuis 2011. Et encore, la version 2011 n’était elle-même qu’une révision cosmétique (en anglais « refresh ») de la version ITIL V3 publiée en 2007. Cela fait donc dix ans que rien de vraiment nouveau n’a été publié. A l’occasion du salon ITSMF Fusion 2017, AXELOS a levé le voile sur l’avenir d’ITIL en 2018.

ITIL: renaissance en 2018?
Crédits: © AXELOS

On peut comprendre qu’une méthodologie n’évolue pas beaucoup. Mais justement le problème d’ITIL c’est qu’il ne s’agit aucunement d’une méthodologie. ITIL est un cadre de bonnes pratiques pour améliorer les services informatiques délivrés aux métiers. Or, durant ces dix dernières années, les Entreprises et leurs métiers ont subi une transformation radicale. Il est donc clair que leurs besoins de services informatiques ont également énormément changé. Les attentes des affaires sont très différentes aujourd’hui de ce qu’elles étaient il y a dix ans. Les risques auxquels tout service TI est exposé ont également évolué. L’environnement technologique a subi un bouleversement encore jamais vu auparavant.

L’annonce faite par AXELOS

Selon AXELOS, propriétaire du référentiel, ITIL® est «l’approche la plus largement utilisée pour la gestion des services informatiques dans le monde». La société indique qu’il existe des millions de praticiens d’ITIL dans le monde. Elle indique également que le référentiel est utilisé par la majorité des grandes organisations pour gérer leurs  opérations informatiques.

Il aurait donc été naturel que l’annonce d’une mise à jour d’ITIL suscite de nombreux commentaires. Cependant, comme vous l’avez sûrement constaté, tant la presse que les réseaux sociaux ne s’y sont guère intéressés.

La raison de ce manque d’intérêt est la raison même pour laquelle AXELOS veut faire cette mise à jour. ITIL a désormais atteint un point de non pertinence dans un monde économique dynamique et agile. L’environnement économique est aujourd’hui très différent de celui dans lequel ITIL a été développé.

De nouveaux modèles d’architecture, de nouvelles approches de management et, plus généralement, la transformation numérique des organisations ont relégué ITIL au stade de relique du passé.

Pourtant, des investissements substantiels ont été réalisés par nombre d’organisations dans le monde. Il s’agit notamment de la certification de leurs collaborateurs. Le grand nombre de fournisseurs de technologie qui ont vu le jour autour de ce framework et le vaste réseau de consultants et de sociétés de formation qui ont bâti leurs offres autour d’ITIL suggèrent que ce référentiel ne disparaîtra pas tranquillement du jour au lendemain.

Mais cette mise à jour annoncée sera-t-elle suffisante pour une renaissance d’ITIL en 2018? Ou marquera-t-elle son dernier soupir?

ITIL est-il en core pertinent dans un monde qui change?

Lors de l’annonce faite à ITSMF Fusion 2017, Margo Leach, Chef de produit chez AXELOS a admis la nécessité de faire évoluer ITIL pour pouvoir s’aligner sur un monde en pleine évolution tout en revendiquant sa pertinence au jour d’aujourd’hui.


« Les principes fondamentaux d’ITIL sont valables et restent essentiels pour permettre aux entreprises de se transformer et d’évoluer », a déclaré M. Leach. « Mais nous devons ajouter un élément supplémentaire au cœur d’TIL: la rapidité de mise sur le marché et l’agilité, c’est-à-dire la capacité d’une entreprise à répondre aux menaces commerciales, aux demandes et aux opportunités du marché. »


AXELOS a également reconnu que d’autres approches, (DevOps, …) traitent déjà de ces problèmes. « Le nouvel ITIL doit inclure des conseils pratiques et explicites sur la façon d’intégrer les principes des nouvelles méthodes de travail contemporaines« , a déclaré Margo Leach.

L’évolution rapide des technologies basées sur le cloud, les nouvelles approches telles que DevOps et l’enracinement des méthodologies agiles ont remis en question bon nombre de méthodes, apparemment rigides et bureaucratiques, souvent associées à ITIL.

En conséquence, et en dépit de leurs investissements importants dans le référentiel sous la forme de formation et d’outils, de nombreuses Organisations mettent maintenant l’accent sur la nécessité d’investissement futur sur de nouveaux cadres plus pertinents.

Alors n’est-il pas trop tard pour un nouvel ITIL?

La mise à jour d’ITIL ne devrait donc pas surprendre. Même si l’éditeur a affirmé il y a plusieurs années qu’il n’y aurait plus d’autres mises à jour. Néanmoins, le manque de pertinence perçu s’est également traduit par la perte de position dominante comme en témoigne l’arrivée d’une approche de gestion de service et d’un programme de certification concurrents, appelé VeriSM.

VeriSM prétend également représenter une approche moderne de «Gestion des services pour l’ère numérique». Le nombre de leaders de l’industrie et d’organisations qui le soutiennent est éloquent. A tout le moins, c’est la reconnaissance évidente par l’industrie que le domaine traditionnel de la gestion des services est en train de perdre son sens original et risque de ne plus être pertinent.

La transformation digitale entraîne un changement d’orientation

Ce que je crains, c’est que la prochaine mise à jour ITIL et la nouvelle approche VeriSM passent à côté de ce qui se passe réellement. A mon sens, la transformation numérique ne concerne pas vraiment la technologie ni son utilisation particulière. Il s’agit de la transformation des modèles d’affaires et d’opérations. Cela se traduit par un transfert fondamental de pouvoir de l’Entreprise vers le Client. En d’autres termes il ne s’agit pas d’une transformation technologique. Il s’agit plutôt d’une transformation de la société.

En tant que tel, le paradigme organisationnel de l’organisation doit passer de l’optimisation et de l’efficacité à l’expérience client et à facilitation pour l’utilisateur tout au long de son parcours. Le problème est que l’accent principal, tant pour ITIL que pour la gestion des services au sein des organisations, est entièrement basé sur l’efficacité et l’optimisation des opérations (informatiques ou autres).

De plus, les adoptions de la gestion des services TI sont largement basées sur des processus linéaires. A l’opposé, le monde libre-service et centré sur le client crée une abondance d’interactions client asynchrones et asymétriques avec l’organisation et la technologie qui doit les supporter.

Le résultat net est un cadre de bonnes pratiques de plus en plus déconnecté des besoins réels des Entreprises qu’il soutient. C’est d’ailleurs aussi le cas pour un secteur industriel tout entier.

Y a-t-il un avenir pour ITIL?

Je rencontre quotidiennement des dirigeants d’entreprises et des DSI. Nous discutons des défis auxquels ils sont confrontés et des stratégies qu’ils utilisent pour y répondre. L’accent est alors systématiquement mis sur l’efficacité et l’optimisation. Ce sont là les facteurs de valeur traditionnels de la gestion des services informatiques (ITSM).

Mais la priorité est aujourd’hui ailleurs. C’est l’agilité, l’adaptabilité et l’amélioration de l’expérience client qui sont la clé des affaires en 2018. L’objectif pour toute Organisation est de créer un avantage compétitif sur le marché. Ce sont là des moteurs qu’AXELOS a correctement identifiés. L’efficacité demeure bien sûr une préoccupation quotidienne. Pour ce faire, les entreprises se tournent de plus en plus vers les services et l’automatisation basés sur le cloud pour optimiser leurs opérations.

ITIL, VeriSM ou tout autre cadre ou approche de gestion de service souhaite reste pertinent? Alors leur objectif doit être la prise en compte des nouvelles priorités des Organisations. Leur axe principal doit donc être de réorienter les organisations vers l’expérience client et de les éloigner des modèles centrés sur les systèmes ou centrés sur le service.

Les praticiens de la gestion des services IT vous diront que cela a toujours été l’objectif principal. Je ne les contredis pas. Mais il est temps de reconnaître que, dans la pratique, ce n’est pas ce qui s’est passé. Si ITIL doit rester pertinent en 2018, cela doit changer radicalement. Il n’y aura d’avenir pour ITIL qu’à cette condition.

Vous avez sûrement un avis. N’hésitez pas à nous laisser votre commentaire…

Mois de la cybersécurité 2017 à Abidjan

Mois de la cybersécurité 2017

Le Mois de la cybersécurité (CSM) s’appuie sur le fait qu’Internet est une ressource partagée et que la sécurité des communications sur internet est une responsabilité partagée.

Mois de la cybersécurité 2017

Le Mois de la cybersécurité est une campagne internationale de sensibilisation. Elle a lieu chaque année en Europe, Asie, Amérique du Nord et Australie au mois d’octobre. L’objectif de cette campagne est de sensibiliser le public sur l’importance de la sécurité de l’information. Elle vise à informer les citoyens sur la sécurité lors de l’utilisation d’Internet et sur quelques bonne pratiques simples à suivre pour se protéger en ligne, ainsi que pour protéger leur famille, leur milieu de travail et leurs appareils.

Les thèmes du mois de la cybersécurité 2017

Le mois est divisé en thèmes (un thème par semaine) qui soulignent les différents aspects de la cybersécurité. Cette année, la campagne débutera le 2 octobre pour s’achever le 31 Octobre et sera organisée de la façon suivante :

  • 1ère Thème : du 2 au 6 octobre : Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne
  • 2ème Thème : du 9 au 13 octobre : Soyez vigilants – Protection des renseignements personnels et des données privées
  • 3ème Thème : du 16 au 20 octobre : Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous
  • 4ème Thème : du 23 au 27 octobre : Le citoyen numérique dans un monde de plus en plus numérique

Les évènements planifiés à Abidjan

Afin de soutenir cette campagne internationale de sensibilisation, AB Consulting CI s’associe cette année encore à l’initiative collective. Chaque semaine, des évènements gratuits seront proposés. Mais, cette année, outre les évènements (wébinaires, rencontres), des ressources documentaires seront mises à disposition de tous. Il s’agira de livres blancs, de posters à partager, d’infographies, d’articles sur notre blog et même d’outils de sensibilisation.

Le programme des évènements est d’ores et déjà fixé et nous vous invitons à vous inscrire nombreux et nombreuses pour y assister. C’est évènements sont entièrement gratuits mais le nombre de places est limité. Alors n’attendez pas pour vous inscrire en suivant les liens ci-dessous :

Pensez cybersécurité – Prenez des mesures simples pour assurer votre sécurité en ligne

Nous vous proposons de nous suivre le 25 Octobre 2017 à 11h GMT pour un wébinaire d’une heure, présenté par Alain Bonneaud sur le thème « 10 moyens simples de vous protéger en ligne« . Les participants se verront remettre gratuitement un livre blanc reprenant les 10 conseils pour assurer leur sécurité en ligne. Inscrivez-vous ici.

Soyez vigilants – Protection des renseignements personnels et des données privées

Le 11 Octobre 2017 à 11h GMT, David Henrard, président du Chapitre ISACA de Québec et expert de la protection des renseignements personnels, présentera un wébinaire d’une heure sur le thème « Cybersécurité : La protection des renseignements personnels« . A l’heure où le GDPR entrera bientôt dans sa phase obligatoire, cette présentation fera le point sur les aspects réglementaires pour les entreprises mais aussi sur les précautions à prendre par tout utilisateur d’internet en matière de protection de ses informations personnelles. Inscrivez-vous ici.

Nous sommes tous concernés – La cybersécurité au travail est l’affaire de tous

Le 18 Octobre 2017 à 11h GMT, Alain Bonneaud, expert en cybersécurité et en gouvernance des Entreprises présentera un wébinaire d’une heure sur la nécessité, au sein des Entreprises, de sensibiliser l’ensemble du personnel à une obligation de respecter des règles de bases en matière de sécurité. Contrairement à une idée reçue, la sécurité n’est pas l’apanage des informaticiens. Savez-vous que 95% des attaques informatiques réussies passent par des personnels non informaticiens? Que vous soyez chef d’Entreprise ou salarié ou même consultant, cette présentation intitulée « La cybersécurité au travail est l’affaire de tous. Pas seulement des informaticiens! » vous concerne. Insrcivez-vous ici.

Le citoyen numérique dans un monde de plus en plus numérique

Le 27 Octobre 2017, à Abidjan, AB Consulting CI organisera une petit déjeuner pour les directions des Entreprises afin d’échanger avec les Directeurs et Managers sur leurs responsabilités en matière de gestion des risques de cybersécurité et les manières de se protéger dans un monde toujours plus numérique. Cette rencontre sera l’occasion d’échanger avec nos experts sur l’ensemble des aspects relatifs à ces problématiques de plus en plus sensibles. Cette matinée est accessible uniquement sur invitation, le nombre de places étant très limité. N’hésitez pas à nous laisser vos coordonnées si vous souhaitez y participer.

Et bien sûr, n’hésitez pas à nous adresser vos commentaires et à partager d’autres initiatives utiles à tous dans le cadre de cette campagne internationale.

CISM vs CISSP : quelle certification choisir?

La technologie constitue une réponse courante aux risques de cybersécurité. Cependant,aujourd’hui, envisager de se protéger des risques de sécurité uniquement grâce à la technologie est un leurre. Selon une enquête publiée par IBM, 95% des cyber-attaques réussies ont ciblé un domaine non informatique. Il est donc vital de renforcer les compétences en sécurité dans les entreprises. Or la pénurie de professionnels qualifiés en sécurité informatique représente aujourd’hui un défi majeur pour les organisations de toutes tailles. Selon (ISC)2, le déficit passera à 1,5 million d’ici 2020. L’écart de compétences est un obstacle majeur pour de nombreuses organisations. Mais c’est aussi une opportunité pour les informaticiens. Les enquêtes auprès des responsables informatiques montrent que les certifications en sécurité sont de plus en plus importantes. Les deux certifications en sécurité les plus recherchées sont CISM et CISSP. A l’heure du choix : CISM vs CISSP quelle certification vous convient le mieux?

CISM vs CISSP
Crédits : © Blacksalmon

CISM vs CISSP : l’heure du choix

Les professionnels des Systèmes d’Information possédant certains types de certifications particulièrement recherchés. Ils peuvent donc espérer une meilleure rémunération. CISM et CISSP sont  certifications professionnelles les plus  reconnues dans le domaine de la sécurité de l’information ainsi que le montre le classement 2017 des certifications qui paient le mieux. CISM (Certified Information Security Manager) est une certification de l’ISACA. CISSP (Certified Information Systems Security Professional) est une certification de la fondation (ISC)2. Les deux nécessitent un investissement important en temps et en coût. Alors, laquelle  correspond le mieux à votre profil et à vos compétences?

La différence majeure entre ces deux certifications réside dans leur contenu et le public qu’elles ciblent. CISM se concentre sur le management et la stratégie, et couvre superficiellement les sujets techniques. Elle est, par conséquent, extrêmement prisée pour des Managers (RSSI, CISO,…). A l’inverse, CISSP se focalise principalement sur les aspects tactiques des opérations de sécurité. CISSP concerne donc d’avantage les ingénieurs et techniciens impliqués dans les opérations.

CISM : la certification des managers

CISM (Certified Information Security Manager) est une certification professionnelle délivrée par l’ISACA et détenue par plus de 32.000 professionnels dans le monde parmi lesquels plus de 7.500 ont des responsabilités de CISO ou de RSSI, tandis que plus de 3.500 occupent un rôle de DSI ou de Directeur Informatique. Elle cible spécifiquement les managers en sécurité de l’information. Elle fait partie en 2017, comme en 2016 des trois certifications les mieux rémunérées.

CISM couvre 4 domaines d’expérience dans les quels vous devrez réussir un examen et, ensuite, faire la preuve de votre expérience :

CISM
Crédits : © ISACA
  1. Gouvernance de la sécurité de l’information (24%)
  2. Gestion des risques informationnels (30%)
  3. Développement et gestion d’un programme de sécurité de l’information (27%)
  4. Gestion des incidents de sécurité de l’information (19%)

L’examen, désormais électronique, se compose de 150 questions multi-choix et dure 4 heures. Le score minimum pour réussir l’examen est de 450 points. Cela semble correspondre plus ou moins à 60-70% des réponses correctes. Il est en effet à noter que toutes les questions n’ont pas le même poids. De plus, environ 25 questions ne sont pas notées et figurent dans l’examen uniquement à des fins d’évaluation.

Le syllabus du CISM s’appuie très largement sur COBIT® 5. Aussi une formation COBIT sera une bonne base pour bien comprendre les aspects de gouvernance et de gestion des risques couvrant la première moitié du contenu.

CISM : une certification professionnelle

CISM, à l’instar de CISSP ou PMP, est une certification professionnelle. Cela signifie que la réussite à l’examen n’est que la première étape. Vous devrez ensuite postuler, auprès de l’ISACA, à l’obtention de la certification CISM. Pour cela vous devrez prouver, de façon très documentée votre expérience en management de la sécurité de l’information sur 5 années. Vous devrez également donner des références pouvant confirmer cette expérience de façon détaillée. Les références seront ensuite interrogées par des membres de l’ISACA aux fins de vérification. Après un délai de l’orde de 4 à 8 semaines, vous recevrez alors votre certificat ou un mail vous indiquant les raisons du rejet de votre demande.


La certification CISM m’a aidée à progresser du niveau de support IT au service desk à celui de vice-président. La connaissance que j’ai acquise est applicable dans le monde entier, dans tous les pays. (L.D. CISM, IT Security Manager, 3M Company) (Source : site web ISACA)


CISM : une revalidation continue exigée

CISM (Certified Information Systems Security Professional) vise à garantir, non seulement des connaissances, mais aussi votre expérience. C’est ce qui explique le succès de cette certification auprès des Entreprises. Elles sont ainsi assurées de la compétence des titulaires. De plus, vous devrez, chaque année, fournir à l’ISACA des preuves de votre engagement dans un processus d’amélioration continue. A défaut votre certification vous sera purement et simplement retirée de façon définitive.

CISSP : une certification plus technique

CISSP (Certified Information Security Professional) est une certification professionnelle délivrée par la fondation (ISC)2. Elle est détenue par plus de 100.000 professionnels de la sécurité de l’information dans le monde, dont 75% aux seuls Etats-Unis. Le deuxième pays comptant le plus de CISSP est le Royaume Uni.

En Afrique de l’Ouest, on compte 1 certifié au Burkina Faso, 1 au Sénégal, 4 en Côte d’Ivoire, contre 29 au Ghana et 153 au Nigéria. Avec 922 certifiés, la France se classe au 13ème rang mondial. Les certifiés CISSP occupent pour la plupart des responsabilités tactiques et opérationnelles en sécurité du SI (RSSI, responsable réseau, Information Security Manager, architectes IT). Le CISSP se positionne à la 4ème place des certifications les mieux rémunérées.

CISSP couvre huit domaines de compétence dans lesquels vous devrez apporter la preuve de votre expérience avant de pouvoir vous présenter à l’examen :

CISSP
Crédits : © (ISC)2
  1. Gestion des risques et de la sécurité (16%)
  2. Sécurité des actifs (10%)
  3. Ingénierie de la sécurité (12%)
  4. Sécurité des communication et du réseau (12%)
  5. Gestion de l’identité et des accès (13%)
  6. Evaluation et tests de sécurité (11%)
  7. Opération de la sécurité (16%)
  8. Sécurité des développements logiciels (10%)

L’examen, au format électronique, se passe uniquement dans des centres d’examen Pearson VUE. Il comporte 250 questions et dure jusqu’à 6 heures. Le score minimum pour réussir l’examen est de 700 points (sur un total de 1000).

CISSP est une certification recherchée mais difficile à réussir. Pour la préparer et la réussir dès le premier essai, nous vous conseillons de bien vous préparer. Pour ce faire, nous vous conseillons de suivre la formation Réussir la certification CISSP® sur 5 jours. AB Consulting propose cette session dans différentes villes dont Paris et Abidjan.

CISSP : une certification professionnelle également

CISSP est également une certification professionnelle mais, à l’inverse du CISM, la preuve de l’expérience préalable dans le domaine doit être fournie en amont de l’examen. Ce n’est que lorsque (ISC)2 aura validé cette expérience d’au moins cinq années à temps complet dans un minimum de deux des 8 domaines de compétence couverts que vous pourrez vous présenter à l’examen. Aucune équivalence n’est admise. Là encore, l’objectif est de s’assurer de la compétence des candidats sur la base de l’expérience.

CISM : comment conserver votre certification

CISSP est une certification qui vise à garantir le maintien de votre compétence dans le temps. Vous devrez donc chaque année fournir à (ISC)2 la preuve que vous avez accumulé des CPEs grâce à des formations ou la participation à certaines conférences. Vous devrez en outre payer un montant annuel de 85$ à (ISC)2 et accumuler un total de 120 CPEs par cycle de 3 ans. A défaut d’apporter la preuve de vos CPEs, votre certification sera annulée. Vous pourrez cependant la récupérer ultérieurement en payant les redevances pour l’intégralité des années de retard et en repassant et  réussissant de nouveau l’examen.

L’intérêt d’une certification

Selon la dernière enquête annuelle réalisée par Certification Magazine les professionnels confirment l’intérêt d’une certification CISM ou CISSP.

Pour beaucoup de professionnels, la valeur de ces certifications réside d’abord dans une meilleure compréhension des concepts clés de leur domaine. Cela semble plus important que l’augmentation espérée de salaire liée à la certification.

Pour les employeurs, elles permettent d’identifier les candidats à fort potentiel dans le domaine de la sécurité du SI. Ces deux certifications démontrent l’expertise approfondie d’un candidat et augmentent la crédibilité et le calibre de son potentiel. C’est une façon de mesurer la qualité d’un candidat. Attention cependant à ne pas trop compter sur les certifications seules au lieu d’évaluer l’adéquation d’une personne à la culture et à la mission de l’entreprise. En soi, une certification ne constitue pas une garantie qu’un praticien réussira dans une organisation particulière.

Alors, CISM vs CISSP? Qu’en pensez-vous?

Si vous hésitez toujours, merci de nous laisser vos remarques et vos questions en commentaire. Nos experts se tiennent à votre disposition pour vous apporter une réponse. Si vous détenez déjà l’une de ces deux certifications, votre commentaire est aussi le bienvenu.

Pour en savoir plus, vous pouvez aussi nous suivre sur les réseaux sociaux et vous abonner sans engagement à notre blog.

Etes-vous plutôt agile ou classique?

AGILE ou traditionnelle, quelle approche choisir?

L’approche agile vous semble peut-être nouvelle ou au contraire, peut-être êtes vous un ou une adepte des méthodes agiles? Quoi qu’il en soit, il est important de partir sur de bonnes bases. Déjà quand nous parlons d’agile à quoi faisons-nous référence? Ce blog étant spécialisé dans la gouvernance, le management et la sécurité, vous comprenez bien sûr que nous faisons référence à l’agilité dans la gestion de projets. Avant de démarrer il faut comprendre que le terme « Méthode » est trop limitatif pour aborder ce mode de gestion de projet. Le terme approprié serait plutôt « Approche Agile » car il s’agit plus d’une philosophie que d’une méthodologie.

Approche agile

Cette approche, donc, est devenue au cours de ces dernières années, très populaire dans les entreprises. Elle est conçue de sorte à apporter de nombreux avantages mais requiert une discipline stricte pour produire la valeur promise. Chaque étape est importante et indispensable. Nous allons vous montrer, au travers de cet article, les avantages de cette approche déjà très populaire. Il vous appartient ensuite de décider si elle est pertinente pour vous.

Agile, de quoi s’agit-il?

Né aux Etats-Unis, le mouvement agile est apparu en 2001, lorsque 17 experts se sont alliés pour mettre au point une nouvelle façon de développer des logiciels, visant à réduire le taux d’échec important des projets informatiques. C’est d’ailleurs à cette occasion que le terme Agile est apparu pour  qualifier cette nouvelle approche. Ce rassemblement a donné naissance à un manifeste définissant quatre axes de valorisation pour les projets :

  • Les individus et leurs interactions avant les processus et les outils
  • Des fonctionnalités opérationnelles avant la documentation
  • Collaboration avec le client plutôt que contractualisation des relations
  • Acceptation du changement plutôt que conformité aux plans

L’approche agile est une approche de gestion de projet défiant les approches classiques. La notion même de « Gestion de projet » est remplacée au profit de « Gestion de produit » de façon à mieux se focaliser sur le produit plutôt que sur le projet. L’objectif de tout projet est de livrer un produit. Dans une approche dite « classique », on attend généralement du client une expression détaillée et validée du besoin. Cette expression de besoin validée en début de réalisation laisse peu place au changement. La réalisation prend le temps qu’il faut et rendez-vous est repris avec le client pour la recette. Cet effet tunnel peut être mauvais et très conflictuel.

On remarque fréquemment un déphasage entre le besoin initial et l’application réalisée. On se rapporte alors aux spécifications validées et au contrat. La majorité des projets se terminent très mal au risque d’affecter la relation avec le client. De plus, il peut arriver que certaines fonctionnalités demandées soient inutiles à l’usage. D’autres, découvertes en cours de route, auraient pu donner plus de valeur au produit.

En quoi consiste réellement l’approche agile?

En 1994, une enquête réalisée par le «  Standish Group » a démontré que 31% des projets informatiques sont stoppé en cours d’exécution, 52% n’aboutisse pas et ne respectent pas les délais et le budget imposés proposant souvent moins de fonctionnalités qui étaient prévus. Et pour finir, seuls 16% des projets sont synonyme de réussite. La même enquête de nouveau menée en 2008 indique un taux de réussite de 35%. Cela représente une nette progression mais reste insuffisant.

Parmi les principales causes d’échec relevées on peut citer :

  • Manque d’implication des utilisateurs finaux : 12,8 %.
  • Changements de spécifications en cours de projet : 11,8 %.

L’approche Agile propose de réduire complètement les conséquences de cet effet tunnel en donnant davantage de visibilité, en impliquant le client du début à la fin du projet et en adoptant un processus itératif et incrémental. Elle considère que le besoin ne peut être figé et propose au contraire de s’adapter aux changements de ce dernier. Mais cela ne peut pas se faire sans un minimum de règles.

Comment est-ce que cela fonctionne?

Le principe de base des méthodes « Classiques » est qu’il peut être contre-productif. C’est-à-dire qu’avant de développer un produit, il faut le planifier et en spécifier les moindres détails. En effet, prévoir tous les aspects de la production entraîne dans la plupart des cas des frustrations et pertes de temps car les imprévus surviennent très souvent pendant la réalisation. C’est cette approche prédictive et séquentielle de type waterfall ou cycle en V que les tenants des méthodes « Agile » veulent casser.

Ainsi, le mieux serait de procéder par étapes c’est-à-dire se fixer des objectifs à court terme et commencer le développement sans perdre de temps. Une fois l’objectif atteint, on passe à la phase suivante et ainsi de suite jusqu’à atteindre le but recherché. Concernant le niveau de développement de logiciel, il appartient au client de transmettre à l’équipe de développeurs sa vision du produit avec les fonctionnalités qui l’accompagnent. Cela permet ainsi d’avoir un échange direct avec l’équipe et et de définir ensemble le coût de chacune des fonctionnalités pour aboutir à un budget final approximatif. L’équipe devra choisir ensuite une partie des exigences du client à exécuter dans un court délai appelé « itération ».

Itération agile

Le principe des itérations

Dans chaque itération se trouvent les travaux de conception, les techniques de développement et les spécifications fonctionnelles. Au terme de chaque itération, le produit semi-fini mais utilisable, est montré au client. Il peut donc se rendre compte par lui-même du travail réalisé dans un temps très court. Quant à l’utilisateur final, il peut déjà se projeter dans l’usage du produit. Cela lui permet de transmettre des feedbacks importants pour les prochaines itérations. Cette transparence est un grand avantage pour solidifier la relation de confiance et de collaboration entre le client et le fournisseur. Cela permet ainsi d’économiser son budget et de récolter rapidement un premier retour sur investissement. Le client a aussi la possibilité de changer en cours de route la priorité des fonctionnalités qui n’ont pas encore été développés (prochaines itérations).

Cette souplesse ainsi offerte est donc un véritable atout pour le client. Encore une fois, on pense plus « Produit » que « Projet » d’où le terme approprié ici est « gestion de produit » remplaçant celui de « gestion de projet ».

Les différentes méthodes agiles

Il existe plusieurs types de méthodes Agiles, se différenciant par leur capacité d’adaptabilité à certains projets. Parmi ces méthodes nous retrouvons la méthode RAD qui implique par exemple la présence d’une tierce personne pour résoudre les problèmes et les incompréhensions. La méthode SCRUM, la méthode FDD et la méthode DSDM sont quant à elles basée sur l’organisation de plusieurs mais courtes réunions permettant de d’approuver chaque étape, contrôler les avancées et développer une bonne relation de confiance entre les intervenants en la rendant plus interactive.

Loin d’être une simple méthodologie, l’approche Agile définit un état d’esprit impactant l’ensemble des entreprises souhaitant s’y conformer. Cette démarche, à la fois longue et difficile à mettre en œuvre, en vaut largement la peine. Elle permet, en effet, d’obtenir des résultats très satisfaisants. Il est donc primordial d’en maitriser chaque partie afin de faire accepter ce changement tant au sein de l’entreprise qu’auprès du client.

Les évolutions récentes

La plupart des méthodes « agile » de gestion de projet sont ciblées sur les projets de développement de logiciel. Est-ce à dire qu’on ne peut utiliser Agile que pour l’informatique? A l’heure où la mondialisation exige des Entreprises qu’elles soient toujours plus agiles pour se repositionner sur le marché grâce à des innovations constantes, ne pourrait-on pas imaginer créer des produits non logiciels de façon agile?

La réponse est bien sûr positive. Les méthodes de gestion de projet traditionnelles se sont récemment enrichies d’une version agile. L’agilité n’entame en rien la nécessité d’utiliser une méthode éprouvée. Aussi, récemment les principaux éditeurs ont publié des versions « agile » de leur méthode traditionnelle :

  • AXELOS, éditeur de PRINCE2, vient de publier PRINCE2 Agile qui à donné naissance à la certification PRINCE2 Agile Practitioner,
  • PMI a créé récemment la certification PMP-ACP (PMP Agile Certified Practitioner).

Alors au final vous êtes plutôt Agile ou Classique?

Les méthodes Agiles pourront être utilisées pour de gros projets car elles proposent une adaptabilité, une meilleure visibilité et gestion des risques. Elles pourraient tout aussi bien être utilisées pour les projets où il n’y pas de documentation détaillée. Le client peut alors suivre la progression du projet et l’adapter au fur et à mesure selon ses besoins.

.Par contre, les méthodes Traditionnelles seront plus adaptées si vous avez une idée précise de votre projet avec un cahier des charges et planning très détaillé où vous avez anticipé tous les risques envisageables. Nous essaierons prochainement de vous orienter entre l’approche Traditionnelle ou l’approche Agile selon les types de projets. Notre prochain article proposera une étude comparative des approches et méthodes « agile » pour vous aider à faire un choix raisonné.

Bien sûr, nous vous invitons à réagir et à nous communiquer vos commentaires.

CISA : le booster de votre carrière

CISA, pourquoi il est si important

A l’heure où CISM et CISSP apparaissent comme les qualifications indispensables pour atteindre un niveau de senior management dans la sécurité de l’information, beaucoup de participants à nos formations nous posent la question: Où CISA se positionne-t-il dans mon plan de carrière? Ou bien: Est-ce que la qualification CISA est uniquement destinée aux auditeurs informatiques?

 CISA en quelques chiffres

Les chiffres parlent d’eux-mêmes et répondent aux interrogations.

Introduite en 1978, la qualification Certified Information Systems Auditor (CISA) est la doyenne des certifications de l’ISACA. Elle est actuellement détenue par plus de 125.000 professionnels de l’informatique dans le monde entier. Elle est mondialement reconnue comme une preuve de compétence et d’expérience en matière d’assurance que les actifs critiques de l’Entreprise sont sécurisés et disponibles.

Les membres du Conseil d’Administration des grandes Entreprises souhaitent s’assurer que leur Organisation est protégée contre les risques de cybercriminalité. En un mot, ils comptent sur leurs Managers qualifiés CISA pour cela. CISA reste, en 2016, l’une des six certifications les mieux rémunérées pour la deuxième année consécutive, selon l’enquête sur les compétences et les salaires IT de Global Knowledge.

Les cinq domaines du CISA

Il ne s’agit pas là d’une qualification de niveau initial telles qu’elles existent dans d’autres domaines tels que ITIL, COBIT, PRINCE2, etc. Les qualifications de niveau initial, généralement appelées Foundation permettent uniquement de valider la connaissance de concepts généraux et d’un vocabulaire. C’est donc uniquement une preuve de connaissance d’une documentation et en aucun cas une preuve de compétence. Par contre, c’est clairement un pré-requis pour avancer dans l’apprentissage, mais en aucun cas un visa pour la mise en oeuvre. Combien de projets ont échoué car confiés à des incompétents pourtant titulaires d’une certification de niveau Foundation… La compétence s’appuie certes sur la connaissance mais aussi et surtout sur l’expérience. C’est d’ailleurs l’un des 7 facilitateurs de COBIT 5 pour une bonne gouvernance et un management performant des Entreprises.

COBIT 5, également publié par l’ISACA, constitue le socle de la certification CISA. Il n’y a donc rien de surprenant à ce que celle-ci soutienne le facilitateur « People, Skills et Competencies » de COBIT. La qualification CISA est attribuée aux candidats ayant réussi un examen écrit rigoureux et faisant, de plus, la preuve d’au moins cinq ans d’expérience pertinente sur les cinq domaines de connaissance suivants:

  1. Le processus d’audit des systèmes d’information
  2. Gouvernance et Gestion des information et des technologies associées
  3. Systèmes d’information – Acquisition, développement et mise en œuvre
  4. Exploitation, maintenance et support des Systèmes d’Information
  5. Protection des actifs informationnels

A qui s’adresse la certification CISA?

L’ISACA met principalement l’accent, dans le cadre du CISA, sur trois rôles particulièrement critiques pour la réussite d’une Entreprise.

Les auditeurs du Système d’Information

CISA vous permet d’être reconnu(e), non seulement au niveau local ou national, mais aussi au niveau international, en tant que professionnel avec les connaissances, les compétences et la crédibilité pour vérifier tous les domaines liés aux systèmes d’information et délivrer des recommandations et des solutions. Le rôle d’auditeur ne se limite pas à la réalisation d’une vérification et à la fourniture des résultats. Une partie, peut-être la plus importante, consiste à donner des recommandations et à faire le suivi de leur mise en oeuvre. C’est là un point souvent incompris.

Les professionnels de Gouvernance du SI

CISA assure les parties prenantes de vos capacités à identifier les problèmes critiques pour l’Entreprise. Il rassure également sur vos compétences à recommander des pratiques personnalisées spécifiques à l’Entreprise pour soutenir et garantir la Gouvernance de l’Information et des technologies associées.

Les professionnels de la Sécurité de l’Information

CISA démontre votre expérience pour aider les entreprises dans un contexte légal et réglementaire complexe et en constante évolution. Il confirme aussi votre parfaite connaissance et votre expertise en matière de normes internationales. Enfin la qualification CISA confirme votre aptitude à réduire la complexité et les délais de gestion des vulnérabilités, à mesurer la sécurité et assurer la conformité. CISA est conçu pour être complémentaire à la qualification ISACA Certified Management Information Security (CISM).

Comment réussir la certification CISA?

La prochaine session d’examen CISA en 2016 se tiendra le 10 décembre 2016. Il ne vous reste que quelques jours pour vous inscrire avant la date limite d’inscription finale fixée au 21 Octobre. Pour vous préparer à l’examen, vous aurez certainement besoin d’acheter et de lire les manuels CISA Review, 26e édition et CISA Review Questions, Manuel des questions et d’explications, 11e édition.

Je vous recommande également, compte tenu de la difficulté de l’examen et du taux d’échec élevé d’envisager d’assister à notre Atelier de Préparation à l’examen CISA. Nous vous proposons deux ateliers, à Abidjan du 7 au 11 Novembre et Paris du 28 Novembre au 2 Décembre. Cet atelier a une durée de cinq jours (un jour par domaine). Il vous préparera efficacement à une meilleure compréhension du vocabulaire, des concepts et surtout à la compréhension des questions d’examen. A noter que les manuels mentionnés ci-dessus sont offerts dans le cadre de notre atelier de préparation à l’examen.

Vous avez des questions? Vous doutez toujours de l’intérêt pour votre cas personnel? N’hésitez pas à nous laisser votre commentaire et nous nous ferons un plaisir de vous répondre.

ITIL Practitioner, une certification UTILE?

Au moment où la nouvelle certification ITIL Practitioner d’AXELOS arrive sur le marché, nous nous sommes posé la question de son utilité alors que le cursus ITIL est déjà bien fourni et que la grande majorité des informaticiens se contentent de la formation et de la certification ITIL Foundation. Alors était-ce vraiment utile de rajouter encore un niveau supplémentaire?

ITIL Practitioner

ITIL Practitioner, le chaînon manquant

La nouvelle certification introduite sur le marché par AXELOS début février 2016 vient compléter le cursus existant basé sur les niveaux Foundation, Intermediate, Expert et Master qui existent depuis la publication d’ITIL V3 en 2007, en y ajoutant un niveau se situant immédiatement au dessus de la certification ITIL Foundation. En gros ITIL Practitioner c’est en quelque sorte le chaînon manquant dans le parcours de certification d’AXELOS. Nous avons essayé, dans notre précédent article ITIL Foundation, Guide de survie, de clarifier quelque peu le schéma global hérité de celui défini par APMG il y a maintenant bientôt 10 ans. Le diagramme suivant illustre la structure du nouveau parcours de certification:

ITIL Practitioner dans le schema de certification

ITIL Practitioner, c’est quoi?

Il manquait donc, dans ce parcours de certification « historique », un niveau pratique destiné à certifier les aptitudes des praticiens et des consultants dont la tâche quotidienne est de travailler sur des projets d’implémentation ou d’amélioration des bonnes pratiques de gestion des services IT dans les Organisations. C’est bien là l’objectif de cette formation et de la certification ITIL Practitioner. A priori, c’est une excellente nouvelle pour tous les certifiés Foundation qui vont pouvoir maintenant apprendre comment mettre en oeuvre leurs connaissances dans la pratique. La mauvaise nouvelle c’est que le format de la formation préparant à cette qualification tel qu’il est été défini par AXELOS n’est pas vraiment adapté. En effet, cette session est prévue sur une durée de seulement deux jours (examen inclus), ce qui est nettement insuffisant pour couvrir la totalité d’un contenu extrêmement riche et dense. De plus cet examen de certification se déroule à livre ouvert et la formation associée va souvent, en fonction de votre organisme de formation et de la compétence de ses formateurs, se focaliser sur la façon d’utiliser le manuel dans un cas réel plutôt que sur un retour d’expérience sur les problématiques rencontrées par les consultants dans leur expérience concrète de conseil en Entreprise. C’est bien dommage. Bien sûr on m’objectera que les personnes concernées peuvent toujours demander une formation de durée plus longue pour appréhender l’ensemble des pratiques décrites mais, franchement, quelle Entreprise acceptera de financer une session plus longue que les deux jours préconisés par AXELOS?

Le parcours existant de certification était-il suffisant?

Nous avons clairement montré dans notre article sur le parcours « historique » de certification ITIL qu’il manquait de toute évidence un niveau de certification destiné à la fois aux consultants en charge de mener des projets d’implémentation et/ou d’amélioration des bonnes pratiques ITIL ainsi qu’aux personnels internes aux organisations concernés et impliqués dans les projets d’implémentation et/ou d’amélioration. Bien sûr, on m’objectera que c’était normalement la vocation des niveaux dits « Intermediates » et du niveau MALC conduisant à la certification ITIL Expert. Hélas, sur aucun de ces niveaux ne sont abordées les problématiques clés liées spécifiquement à un projet d’implémentation telles que la gestion du changement organisationnel, la facilitation du changement culturel, la communication à mettre en oeuvre pour viser à assurer la réussite d’un tel projet ou encore la conception d’un modèle de métriques et d’indicateurs nécessaires pour s’assurer que les bénéfices attendus en termes de création de valeur pour les parties prenantes de l’organisation sont bien réalisés conformément au cas d’affaire validé en début du projet. Ces aspects ne sont traités nulle part dans le parcours de certification ITIL « historique ». Cela signifie que même un « Expert ITIL » se trouve complètement démuni face à ces problématiques qui constituent cependant le quotidien des consultants et qu’il sera souvent incapable de mener avec succès un projet d’adoption et surtout d’adaptation des pratiques ITIL dans une Entreprise. Trop de lacunes existent!! Cela explique sûrement en partie les raisons de l’échec de tant de projets d’implémentation de bonnes pratiques ou de processus sur la base d’ITIL.

Les apports du cours et de la certification ITIL Practitioner

La publication par TSO de ITIL Practitioner Guidance vient combler quelque peu les lacunes existant dans les 5 publications centrales sur lesquelles sont basée les certifications historiques depuis ITIL Foundation jusqu’à ITIL Expert. Cette nouvelle publication sert de trame à la nouvelle certification ITIL Practitioner à laquelle elle donne son nom. On retrouve donc dans le syllabus de la formation et de la certification ITIL Practitioner les éléments clés de la publication qui est d’ailleurs autorisée pour le passage de l’examen.

Concrètement, elle s’articule autour 3 grands thèmes principaux correspondant aux trois compétences clés indispensables pour réussir un projet d’implémentation ou d’amélioration des pratiques de gestion des services en adaptant les processus ITIL au contexte de l’organisation :

  1. Communication
  2. Gestion des Changements Organisationnels (OCM)
  3. Mesures et métriques

Un consultant, certifié ITIL Expert, qui ne possèderait pas ces trois compétences clés se retrouverait un peu dans la situation du joueur de tennis avec un énorme potentiel qui possède parfaitement le jeu d’échange de fond de court mais qui est incapable de réussir un service ou de monter au filet face à son adversaire. Il ne pourrait que perdre la partie, étant dans l’impossibilité de s’adapter au contexte…

Elle est complétée par les 9 principes qui doivent guider toute initiative d’implémentation ou d’amélioration, hérités d’autres cadres tels que COBIT, DevOps, Agile, Lean etc.

La gestion de changement est un facteur-clé de réussite

Les neuf principes supportant une initiative d’implémentation

L’expérience a montré que la réussite de tout projet d’implémentation basé sur une approche d’amélioration continue résulte systématiquement de neuf principes directeurs suivis par le projet et permettant de délivrer les résultats attendus. Ces neuf principes, repris par de nombreux cadres de bonnes pratiques, s’appliquent bien évidemment aux projets ITSM.

1 – Focalisation sur la valeur

Tout projet d’implémentation ou d’amélioration des services IT doit créer de la valeur pour les parties prenantes de l’Entreprise et, seules ces mêmes parties prenantes sont à même d’évaluer les bénéfices résultant du projet.

2 – Focalisation sur l’expérience utilisateur

Les services et les processus IT doivent toujours être conçus pour satisfaire les besoins des clients et des utilisateurs afin de leur fournir une expérience positive de bout-en-bout.

3 – S’appuyer sur l’existant

Il ne faut jamais repartir de zéro. Un projet ne peut réussir que si l’existant, avec ses forces et ses faiblesses est bien compris pour permettre l’adaptation des bonnes pratiques, génériques par essence, au contexte spécifique de l’Entreprise, en capitalisant sur ses forces existantes.

4 – Utiliser une approche holistique

Aucun composant ou service n’existe en isolation. Les services sont des systèmes complexes qui doivent toujours être envisagés depuis la conception jusqu’à l’exploitation et l’amélioration comme un tout.

5 – Progresser de façon itérative

Il faut résister à la tentation, souvent forte, de vouloir tout faire en même temps. Toujours découper le travail en « tranches » faciles à gérer et délivrant chacune un bénéfice mesurable sur lequel on pourra capitaliser pour conserver l’élan afin d’entamer la tranche suivante. Ce sont les petits cours d’eau qui créent les grands fleuves…

6 – Observer directement

Toujours baser ses décisions sur des informations vraies, pertinentes et incontestables. A chaque fois que c’est possible, toujours remonter à la source de l’activité et observer directement, en personne.

7 – Faire preuve de transparence

Toujours être clair et honnête sur ce qui se passe vraiment et pourquoi, dans le déroulement du projet de telle sorte que les rumeurs et bruits de couloir ne puissent pas miner la confiance des personnes concernées et que la vérité soit toujours clairement établie de telle sorte que chacun puisse toujours s’exprimer sereinement sur des bases claires et incontestables.

8 – Favoriser un approche collaborative

Toujours travailler ensemble de façon créative avec les personnes concernées par le projet dans la direction validée. Le partage des efforts et de l’engagement permettra ensuite de partager les résultats et les bénéfices.

9 – Garder les choses aussi simples que possible

Ne faire que ce qui est indispensable pour atteindre l’objectif fixé et toujours éliminer ce qui ne contribue pas directement à la création du bénéfice attendu et qui constitue, de fait, du gaspillage.

A qui s’adresse la certification ITIL Practitioner?

Cette certification, comme vous l’aurez certainement compris, s’adresse directement aux personnes impliquées dans un projet d’implémentation ou d’amélioration des services et processus IT en Entreprise, mais aussi, et de façon primordiale, aux consultants accompagnant ce type de projets chez leurs clients.

Cette certification se situe, dans le nouveau parcours de certification, au niveau immédiatement au dessus de la certification ITIL Foundation. Pourtant, il apparaît clairement que les professionnels qui en tireront le plus grand profit sont avant tout les certifiés ITIL Expert, car elle leur apportera le côté pratique qui leur manquait jusque là. Très sincèrement, après avoir passé (et réussi) cette certification, et malgré les nombreux projets de ce type que j’ai eu la chance de mener dans des Entreprises de toutes tailles et dans des régions du monde différentes, j’ai trouvé cet examen d’un niveau de difficulté tel que j’imagine que peu de candidats sans expérience et possédant seulement la certification ITIL Foundation seront capables de le réussir, surtout après une formation de deux jours.

Alors, ITIL Practitioner, UTILE ou pas?

Oui, bien sûr, ITIL Practitioner est une certification très utile pour tous les consultants, même s’ils risquent de « tomber de haut » à la lecture de leurs résultats à l’examen. Je la préconiserais plutôt à des consultants expérimentés qui y trouveront des réponses à des challenges qu’ils auront dû gérer de façon empirique dans le cadre de leurs missions. A mon sens, compte tenu du format de la formation qui tient sur deux journées, examen inclus, il est nécessaire que les participants aient déjà consacré un temps important à la lecture et à la compréhension du manuel ITIL Practitioner Guidance (Ed. TSO) qui doit impérativement faire partie du package pédagogique remis par votre organisme de formation accrédité (ATO), au minimum 3 semaines avant la session. La formation elle-même portera alors d’avantage sur les retours d’expériences délivrés par le formateur, sur un échange des bonnes pratiques et une bonne compréhension des compétences à mettre en oeuvre et, bien sûr, sur la préparation à l’examen.

Comment se former et se certifier ITIL Practitioner?

Aujourd’hui quelques ATOs proposent d’ores et déjà cette formation à leur catalogue, dont AB Consulting. Vous pouvez également vous auto-former en vous référant au manuel ITIL Practitioner Guidance (Ed. TSO). La meilleure approche consiste indéniablement à approfondir le manuel dans un premier temps avant de suivre la formation ITIL Practitioner auprès d’un ATO (Accredited Training Organization) d’AXELOS qui saura vous apporter les retours d’expérience indispensables à la réussite de cet examen assez difficile.

Pour en savoir plus

A l’occasion du lancement de la certification ITIL Practitioner, AXELOS organise le 25 Février 2016, une conférence internationale au travers de 6 webinaires gratuits accessibles en ligne, directement depuis votre poste de travail. AB Consulting, partenaire d’AXELOS sur cette initiative, vous invite à découvrir en exclusivité cette nouvelle certification avec la participation de l’équipe qui est à l’origine de cette initiative. Pour vous inscrire, cliquez simplement sur l’image ci-dessous:

ITIL Practitioner - Conférences gratuites

 

Si vous avez aimé ou détesté cet article et si vous souhaitez nous apporter vos commentaires, merci d’utiliser le formulaire de contact suivant :

DSI en 2015 : quel est le bon profil?

Responsable de la stratégie informatique de l’entreprise, le DSI n’a pas seulement besoin de connaissances en informatique. Il doit d’abord être un organisateur, un manager et un leader. Voire un visionnaire. Alors quel profil choisir pour ce rôle : informaticien expérimenté ou pas? Votre DSI est-il la personne qui convient pour ce poste?

réunion DSI

Le challenge de l’Entreprise du 21ème siècle réside dans sa capacité d’innovation face à un marché extrêmement dynamique sur lequel les positions compétitives sont en constante évolution. La mondialisation de l’économie apporte toujours plus de concurrence et toujours plus d’informations à compiler pour être à la hauteur du challenge. Dans un monde où l’information est la clé de la création de valeur, il est clair que la capacité de l’Entreprise à gérer cette information revêt une importance stratégique. Fini le temps où le département informatique ne servait que de support au Business. Aujourd’hui son rôle est plus orienté vers l’innovation et le leadership stratégique. Le rôle du DSI a donc considérablement évolué ces dernières années pour passer de celui d’un super-technicien capable de mettre en place une équipe de « pompiers » en charge de résoudre des incidents et de garantir la disponibilité des service IT aux métiers pour soutenir leur activité opérationnelle génératrice de valeur, vers celui de leader stratégique, capable de travailler avec les métiers sur de nouveaux axes de productivité s’appuyant sur la transformation permanente de l’Entreprise en vue de son adaptation à l’environnement concurrentiel.

Les compétences requises pour un DSI ont bien évidemment évolué dans ce sens. Le DSI du 21ème siècle est donc d’abord un stratège, un manager doté d’un fort leadership et un visionnaire capable d’imaginer avec les métiers de l’Entreprise quels seront ses marchés de demain, afin de permettre à ces derniers d’occuper ces nouveaux marchés avant leurs concurrents. Y a-t-il encore besoin d’être un informaticien pour occuper le poste de DSI? Rien n’est moins sûr.

Une révolution technologique et culturelle est en cours

La mobilité et le Cloud sont en train de remodeler de façon fondamentale l’informatique d’entreprise. Ils ont déjà changé la relation globale entre l’informatique et le reste de l’organisation. Cette nouvelle façon de gérer l’information est devenue à la fois un défi et une immense opportunité pour les DSIs, mais saisir cette opportunité exige un changement de culture, de mentalité et de compétences. Pour réussir, le DSI et le personnel du département informatique doivent travailler main dans la main avec le business dans un vrai partenariat basé sur une relation de confiance.

Age du boulierLes attentes de pouvoir travailler en utilisant les outils les mieux adaptés à leurs besoins, et la capacité de mener en parallèle des tâches personnelles et  des tâches de leur Entreprise au travail, mais aussi à la maison, tout en préservant la confidentialité des renseignements personnels sont devenues la norme pour une majorité d’employés.

Cette nouvelle organisation engendre des risques importants au niveau de la sécurité des informations et de la résilience de l’Entreprise. Il est donc vital que le DSI soit également un véritable gestionnaire des risques d’Entreprise afin d’inclure les aspects liés à la cyber-résilience dans sa stratégie.

Quel est le rôle d’un DSI?

COBIT® 5 décrit le DSI comme étant « le plus haut dirigeant de l’entreprise en charge de l’alignement des stratégies IT et des stratégies d’affaires. Il est également responsable de la planification, des ressources et de la gestion de la livraison des services informatiques ainsi que des solutions pour soutenir les objectifs de l’entreprise ».

En d’autres termes, son rôle, en coopération avec l’ensemble des membres du Comité de Direction, consiste à participer à l’élaboration des stratégies Business et à s’assurer que les stratégies IT sont bien « embarquées » (ou alignées) avec celles de l’Entreprise. La stratégie IT devra ensuite être validée et approuvée par le Comité Stratégique qui répond au Conseil d’Administration.

COBIT® 5 décrit le Comité Stratégique comme « un groupe de hauts dirigeants nommés par le conseil d’administration afin de s’assurer que ce dernier participe aux grands dossiers et décisions liés à l’IT, et qu’il en est tenu informé. Le comité est responsable de gérer les portefeuilles d’investissements en informatique, les services informatiques et les actifs informatiques en veillant à la création de valeur et que le risque soit géré. Le comité est généralement présidé par un membre du Conseil d’Administration et non par le Directeur du Système d’Information« .

Le DSI est chargé d’identifier les domaines potentiels de croissance qui auront un besoin accru du soutien informatique, et de diriger la conception et l’exécution d’une stratégie Informatique qui construit ces fonctions essentielles dans le domaine IT. En d’autres termes, le DSI a donc comme rôle d’élaborer la stratégie IT (« Responsible »), en alignement avec les stratégies Business en vue de satisfaire les objectifs de l’Entreprise qui eux-mêmes se déclinent de la mission qui lui a été assignée par le Conseil d’Administration. Le Comité Stratégique a, pour sa part, la charge de valider l’ensemble des stratégies et de s’assurer de leur alignement.

Une fois les stratégies validées, le DSI répond (est « Accountable ») de la livraison des solutions et des services définis dans la stratégie. Sa première responsabilité sera donc de rédiger et de faire appliquer la Politique Informatique. Pour cela il devra gérer les risques IT dans la limite de l’appétit du risque de l’Entreprise, négocier et implémenter des contrats complexes, notamment en matière de sous-traitance, transmettre la politique en vue de son application à son Senior Management qui la traduira en processus, et s’assurer de la résilience du système informatique, incluant les aspects de sécurité, d’intégrité et de confidentialité, ainsi que de s’assurer de la conformité légale et réglementaire.

Les aptitudes et compétences requises pour un DSI

Pour remplir son rôle, le DSI devra donc faire montre d’aptitudes et de compétences correspondant aux responsabilités qui lui sont assignées.

1. Alignement des stratégies du système d’information et des métiers de l’entreprise

Cela signifie être capable de:

  • Anticiper les besoins de l’entreprise à long terme
  • Améliorer l’efficacité et l’efficience des processus de l’organisation
  • Déterminer le modèle de système d’information et l’architecture d’entreprise alignés avec la politique de l’Organisation et assurer un environnement sécurisé
  • Prendre des décisions stratégiques pour la politique informatique au niveau de l’Entreprise, y compris au niveau des stratégies de sourcing
  • Faire preuve de leadership pour la construction et la mise en œuvre de solutions innovantes sur les long terme

2. Gouvernance du Système d’Information

Cela signifie être capable de:

  • Faire preuve de leadership concernant la stratégie de gouvernance informatique en communiquant, propageant et contrôlant les processus pertinents du département informatique entier
  • Définir, déployer et contrôler la Management des Systèmes d’Information en ligne avec les impératifs Business
  • Prendre en compte tous les paramètres internes et externes tels que la législation et le respect de normes de l’industrie pour optimiser les risques et le déploiement de ressources en vue de générer un bénéfice Business équilibré.

3. Gestion des relations avec les métiers

Cela signifie être capable de:

  • Identifier les relations clés qui devraient être initiées pour comprendre les exigences informatiques du Business
  • Promouvoir la vision et les opportunités que la technologie peut présenter pour l’entreprise, y compris la possibilité de transformation et son impact probable sur le Business
  • Diriger la conception d’une procédure pratique permettant de maintenir des relations positives avec le Business

4. Développement du Business Plan

Cela signifie être capable de:

  • Fournir un leadership stratégique pour le développement de Business Plans pour exploiter au mieux les capacités des technologie de l’information afin de répondre aux besoins des métiers
  • Considérer les modèles possibles et applicables de sourcing
  • Présenter une analyse coûts/bénéfices et des arguments justifiables à l’appui de la stratégie choisie
  • Communiquer et vendre le Business Plan aux parties prenantes de l’Enterprise en tenant compte des intérêts politiques, financiers, et organisationnels.

5. Management des risques métiers liés à l’informatique

Cela signifie être capable de:

  • Diriger la définition d’une politique de gestion des risques en tenant compte de toutes les contraintes possibles, y compris les questions techniques, économiques et politiques
  • Mettre en œuvre la gestion des risques au niveau du Système d’information grâce à l’application des politiques et procédures de gestion des risques
  • Évaluer les risques pour le Business de l’organisation, y compris au niveau d’Internet, du Cloud et des appareils mobiles
  • Documenter les risques potentiels et les plans de réponse.

6. Leadership et travail d’équipe

Cela signifie être capable de:

  • Renforcer l’engagement sur une vision partagée afin de fournir des services client de qualité
  • Encouragez les personnels à prendre des décisions de façon indépendante et à assumer le leadership dans leur domaine d’expertise
  • Vaincre, grâce à sa performance, à la confiance qui lui est faite et au soutien à son leadership
  • Créer un environnement dans lequel les membres de l’équipe sont des moteurs pour améliorer performances et la productivité
  • Veiller à ce que les liens appropriés / partenariats entre les équipes soient maintenues.

7. Gestion Financière

Cela signifie être capable de:

  • Assurer la gestion financière stratégique des finances, le financement du capital / hors trésorerie, l’amortissement des coûts de projet, la gestion d’exercice, la gestion du coût du capital.

Alors avez-vous le bon profil pour être DSI en 2015?

Compétences requises pour un DSILe DSI, par essence, doit absolument être membre du Comité de Direction car c’est à ce niveau que se situent les responsabilités de Gouvernance et de Stratégie. Au niveau du savoir être, il doit être capable de travailler en équipe avec les autres membres du Comité de Direction et savoir se concentrer sur ce qu’il convient de faire (la stratégie et la rédaction de politiques) plutôt que sur comment on va le faire (les processus et les procédures). Le « comment » relève de la responsabilité du Senior Management.

Sur la base des éléments décrits précédemment, il est clair que le DSI de 2015 n’est pas un « informaticien » ayant un profil technique et ayant gravi les échelons pour arriver à ce poste en fin de carrière. Il doit s’agir avant tout d’un stratège, d’un manager complet, d’un organisateur, d’un leader et d’un visionnaire. Ce type de profil ne correspond pas du tout au profil d’un ingénieur informaticien mais plutôt à celui d’une personne issue d’une grande école de management ou de commerce avec une expérience réussie de quelques années à un poste de senior manager ou de membre d’un Comité de Direction.

Quelques formations et certifications viendront idéalement compléter les aptitudes et les compétences du DSI, sur la base des référentiels de bonnes pratiques universellement utilisés dans ce domaine.

Voici quelques unes des formations et certifications typiquement destinées à un profils de DSI :

COBIT® pour le Board et les Exécutifs (1 jour) : les responsabilités de gouvernance et de management du système d’information et comment réaliser l’alignement avec les attentes des actionnaires/propriétaires, les objectifs de l’Entreprise et la Stratégie Informatique.

COBIT® 5 Foundation (3 jours) : les fondamentaux de la gouvernance et du management des systèmes d’informations, incluant comment en implémenter les facilitateurs et évaluer leur aptitude à supporter la mission de l’Entreprise.

RESILIA Foundation (3 jours) : les fondamentaux de la cyber-résilience, incluant la cyber-sécurité, et notamment comment intégrer la cyber-résilience dans la stratégie informatique.

ITIL® Service strategy (3 jours) : formation de niveau « intermediate » du cursus ITIL, la qualification Stratégie de Service (SS) est l’un des cinq modules du cycle de vie des services ITIL et vous fournit les conseils vous permettant de concevoir, développer et mettre en œuvre la stratégie de fournisseur de service en alignement avec la stratégie de l’Entreprise.

AB Consulting, seul Organisme de Formation Accrédité (ATO) par l’ISACA et AXELOS sur la totalité de ces domaines en Afrique, vous propose l’ensemble de ces formations et certifications. Nous pouvons également vous aider au travers de nos services de coaching et d’accompagnement sur ces aspects ainsi que réaliser à votre demande des évaluation d’aptitude de votre système de management ou de votre système de gouvernance.

Pour plus d’informations ou pour vous abonner à notre newsletter, merci de compléter le formulaire de contact:

De l’importance de l’authentification

AB Consulting s’associe au mois de la cyber-sécurité, organisé à la fois aux USA et dans l’ensemble des pays Européens, et publie dans ce cadre une série d’articles relatifs aux bonnes pratiques de sécurité. Le premier post de cette série portera tout naturellement sur une vulnérabilité majeure des systèmes informatiques : l’authentification. Une statistique récente montre que 80% des cyber-attaques réussissent en s’appuyant sur des mots de passe faibles ou volés.

authentification des utilisateurs

Grandes et petites entreprises se battent pour améliorer la sécurité de leur réseau informatique en se focalisant sur la vulnérabilité principale de la sécurité du réseau: la connexion (login/mot de passe). L’usage de la biométrie apparaît aujourd’hui comme une solution.

Le mot de passe au coeur des préoccupations

Bienvenue dans l’ère de la cyber-attaque. Des chiffres effarants émanant de spécialistes de la sécurité suggèrent que plus de 95 pour cent des Entreprises dans le monde ont été victimes d’une violation de leur données, tous types confondus, dont la plupart peuvent passer inaperçues pendant des mois, voire des années.

Dans le sillage de l’attaque et du piratage de Sony Entertainment, d’autres vols de données de grande envergure ont ciblé récemment des organisations aussi connues que Home Depot, Michaels, Chase, Ashley Madison et d’autres organisations. Les services informatiques des entreprises se battent pour découvrir et mettre en œuvre des solutions afin sécuriser l’accès à leur réseau et notamment pour trouver des solutions qui gèrent de façon efficace la connexion de l’utilisateur, laquelle constitue la vulnérabilité principale des systèmes d’information.

L’accès à un réseau grâce à l’obtention des informations de connexion d’un utilisateur autorisé est à l’origine de la plupart des plus grosses violations de données durant l’année écoulée. Le programme de CBS News intitulé 60 Minutes a ainsi désigné 2014 comme « l’année de la violation des données », et a poursuivi en déclarant que les investigations réalisées montrent que 80 pour cent des failles de sécurité ont été causés par des mots de passe volés ou faibles.

Une fois à l’intérieur du réseau, les pirates vont être en mesure d’installer des logiciels malveillants permettant le vol d’informations, lesquels peuvent rester indétectables sur les serveurs d’entreprise pendant plusieurs mois, voire des années, tout en récupérant des informations de paiement par carte de crédit et d’autres informations, tout en élargissant lentement leur action.

Alors, pourquoi est la connexion des utilisateur constitue-t-elle un tel problème pour les départements informatiques qui restent impuissants à le résoudre? Et pourquoi les noms d’utilisateurs avec des numéros d’identification personnels (PIN) et / ou mots de passe réussissent-ils si mal à bloquer les accès non autorisés?

A la racine de ce problème réside une authentification efficace des personnes qui veulent accéder au système informatique de l’Entreprise. La solution retenue doit également répondre à deux critères supplémentaires: la facilité d’utilisation et, idéalement, aucune utilisation de matériel supplémentaire en plus du terminal de saisie, qu’il s’agisse d’un ordinateur, d’une tablette ou d’un smartphone standard.

Dans le domaine de l’authentification en ligne des utilisateurs, la satisfaction de ces trois exigences est considérée comme l’objectif à atteindre. Heureusement, aujourd’hui, des solutions répondant à ces critères sont d’ores et déjà disponibles sur le marché

L’utilisation de la biométrie pour authentifier les personnes se révèle efficace, avec près de 100 pour cent de précision, avec une quasi-impossibilité, à ce jour, de reproduction artificielle des éléments biométriques.

Problèmes liés à l’authentification 

La difficulté avec les identifiants de connexion est qu’ils sont basés sur la possession d’informations spécifiques par l’utilisateur, le plus souvent un nom ou un code PIN / mot de passe. Armés de ces informations, les utilisateurs peuvent alors accéder à tout ou partie de leurs dossiers médicaux et des comptes bancaires, aux informations liées à leur carte de crédit, à leurs e-mails et d’autres informations sensibles les concernant. Le problème, bien sûr, c’est que toute personne qui se procurerait ces identifiants de connexion peut également accéder aux mêmes informations.

Comme cela a été largement relayé par les médias, les pirates qui ont pénétré le système informatique de Sony avaient préalablement réussi à se procurer les informations d’authentification d’un administrateur système de haut niveau. Une fois  ces éléments entre les mains des pirates, ils ont obtenu très facilement l’accès à l’ensemble des informations stockées sur les systèmes de SONY.

Dans ce cas particulier, des téraoctets d’informations obtenus (et, pire encore, totalement effacés des serveurs de l’entreprise) ont été utilisés (et sont encore utilisés aujourd’hui) entraînant des dommages considérables aux intérêts commerciaux de Sony.

Dans le cas de l’attaque de TARGET (cinquième entreprise de vente de détail aux USA) à la fin de 2013, qui à exposé environ 40 millions de comptes de cartes de débit et de crédit, les informations de connexion étaient aussi en cause. Dans ce cas, on estime que les informations de connexion, volées à un sous-traitant en charge gérer la climatisation et la ventilation étaient à la source de l’intrusion initiale. Les pertes consécutives à cette attaque sont estimées à près de 500 millions de dollars. Cela inclut notamment le remboursement par Target, aux banques, des coûts de réémission de plusieurs millions de cartes de débit et de crédit et des frais de service à la clientèle, y compris les frais juridiques et de surveillance du crédit pour des dizaines de millions de clients touchés par cette attaque.

Alors, y a-t-il une solution idéale?

La norme actuelle en matière de sécurité de réseau est appelé l’authentification multi-factorielle. Elle requiert l’utilisation de deux des trois facteurs d’authentification suivants :

  • quelque chose que vous avez (par exemple, badge, carte),
  • quelque chose que vous êtes (par exemple, la biométrie)
  • quelque chose que vous savez (par exemple, des codes PIN, des mots de passe).

Le 17 Octobre 2014, le président américain Barack Obama a publié un décret, « Amélioration de la sécurité des transactions financières pour les consommateurs » exigeant désormais l’utilisation de l’authentification multi-factorielle en raison du nombre élevé de vols d’identité, de violations et de fraude par carte de paiement.

Dans le même temps, le personnels IT se sont tournés vers une variété de techniques destinées à améliorer la sécurité des connexions, y compris par l’ajout de questions de sécurité et, dans certains cas, un mot de passe secondaire.

Toutefois, ces options reposent toujours sur même concept : la possession de renseignements spécifiques que d’autres peuvent se procurer.

Une autre possibilité consiste à fournir un dispositif physique fournir à chaque utilisateur, du type lecteur flash ou jeton, qui génère des codes d’authentification aléatoires et uniques, de cartes magnétiques ou d’identification personnelle (ID) sous diverses formes, y compris en utilisant un smartphone. Si quelqu’un est en possession du dispositif, il / elle est considéré comme légitime. Malheureusement, c’est simplement une autre forme de possession de quelque chose, dans ce cas, matériel au lieu d’une d’information, qui peut toujours être dérobé à son propriétaire.

En outre, le fait d’ajouter un élément matériel n’est pas idéal car cela augmente considérablement le coût de mise en œuvre, sans mentionner les aspects de logistique et de maintenance. Du fait que ces éléments peuvent être perdus, empruntés ou volés, ils ne garantissent pas à 100% l’authentification de l’utilisateur.

La troisième réponse, peut se résumer à la seule façon de vraiment identifier une personne aujourd’hui : la biométrie.

La biométrie est définie comme quelque chose de physique ou par un comportemental unique caractérisant un individu. Les exemples physiques comprennent les empreintes digitales, de l’iris, la reconnaissance faciale et même le balayage  veineux. Ces moyens d’authentification sont, aujourd’hui quasi sûrs mais ils nécessitent du matériel coûteux, ce qui constitue un obstacle important à leur utilisation.

Heureusement, il existe une forme étonnamment efficace de vérification des données biométriques dans la catégorie comportementale, basée sur l’écriture et qui ne nécessite aucun matériel supplémentaire. Seul l’ordinateur ou votre smartphone suffit.

Chaque individu a une façon mesurable unique de dessiner les lettres et les chiffres qui est extrêmement difficile à reproduire par quelqu’un d’autre. Cela inclut des attributs tels que la longueur, la hauteur, la largeur, la vitesse, la direction, l’angle et le nombre de coups de crayons. Les mots de passe peuvent être saisis lors de la connexion à l’aide d’un doigt ou d’un stylet sur les écrans tactiles et les smartphones, et d’une souris d’ordinateur ou d’un pavé tactile sur un ordinateur portable.

Une fois un processus de configuration simple exécuté, des algorithmes logiciels sophistiqués comparent la tentative de connexion actuelle de l’utilisateur à des modèles d’écriture recueillis initialement et lors des connexions suivantes pour confirmer la correspondance. L’utilisation de la vérification de l’écriture manuscrite, présente un taux de précision allant jusqu’à  99,97 pour cent.

Conclusion

Cependant, de nombreuses organisations expriment beaucoup de réticences à l’égard de la mise en œuvre de toute couche de sécurité supplémentaire arguant de l’inconvénient potentiel que cela peut représenter pour le consommateur. Ainsi de nombreux détaillants n’ont pas mis en œuvre de mesures de sécurité élevées parce qu’ils ne veulent pas que leurs clients passent d’avantage de temps à s’identifier à cause d’exigences de sécurité supplémentaire. Le temps supplémentaire, pensent-ils, risque de décourager les clients et peut signifier la perte de clients et de ventes.

Une interface facile d’utilisation est donc un élément essentiel de l’authentification en ligne. Si la sécurité rajoute trop d’étapes ou est trop lourde, elle est vouée à l’échec. Il est essentiel de fournir des interfaces utilisateur simples et rapides n’excédant pas quelques secondes pour procéder à leur authentification.

Les organisations ont le choix sur les solutions de sécurité à utiliser. Ils doivent prendre en compte le risque et le compromis, combiné à l’expérience utilisateur (par exemple, ce qui arrive lorsque les identifiants de connexion sont perdus ou volés? Sur quels dispositifs il peut être utilisé (ordinateurs, tablettes, smartphones)? Quels sont les coûts et le niveau de confort pour l’utilisateur? ) la dernière considération pour le choix d’une technologie de sécurité est comment elle sera utilisée. Par exemple, la biométrie physique est bien adaptée à l’authentification pour l’accès aux bâtiments physiques. Les jetons avec des mots de passe uniques sont également utiles pour même des cas d’utilisation alors que la biométrie dynamique est idéalement adaptée pour l’accès distant du fait qu’aucun matériel spécial n’est nécessaire.

Il faut bien comprendre que même pour les solutions ne nécessitant aucun matériel supplémentaire, la sécurité, notamment au niveau de l’authentification a toujours un coût. Mais il faut toujours garder en tête que la violation des données de l’Entreprise ou des données personnelles de ses clients aura toujours un coût extrêmement élevé, en aucun cas comparable au coût des solutions de sécurité, et qu’il risque fort d’y avoir des dégâts collatéraux en termes d’image et de perte de confiance dans l’Entreprise risquant même, souvent d’entraîner sa disparition.

Le problème ne consiste donc pas à décider si on doit investir dans la sécurité mais d’identifier les solutions qui satisfont nos besoins. Et à l’ère des cyber-attaques, cela doit impérativement commencer par la sécurisation des connexions utilisateurs.

De l’importance d’une stratégie informatique

Pour poursuivre sur le sujet de l’importance de la gouvernance du SI dans les grandes entreprises et afin d’encourager son adoption par les petites et moyennes entreprises, je voudrais présenter ici une approche pragmatique d’élaboration d’une stratégie informatique.

Elaboration de la stratégie informatique

Je m’aperçois souvent lorsque je pose, durant mes formations, la question de la définition de ce qu’est une stratégie, que la plupart de mes étudiants ne comprennent pas vraiment de quoi il s’agit.

La Stratégie informatique, de quoi s’agit-il?

Alors, quel est le but d’une stratégie informatique? S’agit-il de partir de l’état actuel de l’informatique et de planifier son évolution future? Ou bien s’agit-il de fournir au business la vision technologique du département informatique dont l’objectif n’est pas uniquement de répondre au besoins exprimés par les métiers? Ou bien encore, s’agit-il d’élaborer conjointement avec les autres entités business de l’Entreprise des solutions qui permettront de satisfaire les besoins exprimés par les parties prenantes au travers du Conseil d’Administration?

C’est un peu tout cela à la fois et ce que nous allons essayer d’expliquer au travers de cet article.

Une stratégie peut généralement couvrir des aspects aussi divers que la complexité de votre infrastructure informatique et les exigences de votre entreprise et devrait permettre d’atteindre entre autres résultats:

  1. Capacité à faire plus… avec moins…
  2. Améliorer la capacité du Business à créer de la valeur pour l’Entreprise en leur permettant de se connecter et d’accéder aux informations de partout et à tout moment
  3. Trouver un juste équilibre entre la prévisibilité et l’innovation du modèle opérationnel
  4. Fournir des données de meilleure qualité pour permettre à l’Enterprise de prendre de meilleures décisions
  5. Externaliser la gestion des systèmes de back-office et réaffecter les ressources sur le support aux besoins clés du Business
  6. Faire du sourcing stratégique tel que migrer vers une solution de cloud hybride, faire appel temporairement à des compétences externes,
  7. Et beaucoup plus encore…

La définition de la stratégie informatique n’est donc pas un exercice solitaire réalisé par le DSI, mais fait partie d’un travail de groupe réalisé par l’ensemble des membres du Comité de Direction qui, sur la base de l’orientation donnée par le Conseil d’Administration vont avoir à proposer à ce dernier un plan permettant de réaliser les objectifs spécifiés par les parties prenantes (actionnaires ou propriétaires, état pour la conformité légale, organisations externes pour les réglementations, etc.). Chaque membre du Comité de Direction (Business Executives, DAF, DRH, Directeur des Opérations, DSI, … etc.) va donc avoir à proposer le plan correspondant à son propre domaine. La stratégie globale de l’Organisation consistera, par conséquent, en une consolidation de l’ensemble des ces plans stratégiques élaborés par chaque entité. Le département informatique aura, bien entendu, son rôle à jouer pour supporter les autres entités dans l’atteinte des objectifs de l’Entreprise. La stratégie de l’Entreprise sera présentée par le CEO (Directeur Général) et approuvée par le Conseil d’Administration. Chaque Exécutif deviendra dès lors responsable de l’atteinte des objectifs de sa propre stratégie et contribuera donc à l’atteinte des objectifs de l’Entreprise.

Qu’implique la définition d’une bonne stratégie?

Strategy IT sur une page
Template fourni par CEB

Un coup d’œil sur les stratégies IT des grandes entreprises vous donnera une idée sur leur contenu et leur forme. La taille moyenne d’un document de stratégie informatique est de l’ordre de 35 pages rédigées dans un langage simple et compréhensible par tous. L’illustration visuelle de la stratégie, généralement présentée dans le résumé, correspond à ce que j’appellerai une feuille de route dont le but est de donner un aperçu des résultats attendus de l’organisation l’informatique sur les prochaines années.

La stratégie informatique est destinée au Conseil d’Administration et au Comité de Direction. Ces deux instances sont composées de personnes ayant une vision business de l’Entreprise et en aucun cas une vison technique. Il est donc indispensable que la présentation de votre stratégie IT soit adaptée à votre auditoire et demeure concise et non technique. N’oubliez pas qu’il s’agit de dire ce qu’on va entreprendre et non comment on va s’y prendre. C’est là que, le plus souvent, les DSI vont échouer car le profil-type d’un DSi doit donc être celui d’un Exécutif Business dont les compétences sont adaptées à cet exercice et en aucun cas celui d’un « informaticien » en fin de carrière le plus souvent. Hélas, en l’absence de stratégie informatique claire, le département informatique ne sera pas en mesure de soutenir les objectifs de l’Entreprise et l’innovation nécessaire pour lui permettre de créer de la valeur pour ses parties-prenantes. L’informatique deviendra donc, de facto, un centre de coûts, dans un contexte économique où on cherche en permanence à éliminer les coûts superflus. Il est donc indispensable que la stratégie informatique soit alignée sur les besoins de l’Entreprise et qu’elle soit entre les mains de personnes possédant les compétences adéquates.

Il est nécessaire pour les petites entreprises d’avoir une stratégie informatique qui peut être résumée sur une simple page.

L’alignement stratégique est clé

Cascade d'objectifs COBIT 5Comme nous l’avons indiqué précédemment,  l’ensemble des stratégies des entités de l’Entreprise doivent être alignées pour créer de la valeur pour ses parties prenantes. Dès que le département informatique a identifié ses besoins urgents et les possibilités d’amélioration de son efficacité et de son efficience, et placé le tout dans un plan stratégique, il doit alors s’assurer que sa stratégie est bien alignée avec la plupart, sinon la totalité, des objectifs business dans le but de satisfaire ensemble la direction fixée par le CA. La cascade d »objectifs, décrite par COBIT 5, permet de réaliser l’alignement et l’outil généralement utilisé par les instances de Gouvernance et de Management pour contrôler les progrès au niveau de l’entreprise sera un tableau de bord équilibré (Balance ScoreCard).

Quelques questions / réponses sur la stratégie IT

  1. Qui est responsable et qui participe à la définition de la stratégie IT?

RACI gestion de la stratégieLà encore, COBIT 5 nous aide, grâce au RACI du processus APO02 : Gestion de la stratégie.

2. Quel est le périmètre d’une stratégie IT? Est-ce pour une Business Unit, un pays ou la totalité de l’organisation à travers le monde?

La meilleure réponse est que cela dépend de chaque Organisation, et est fonction de sa taille et de ses besoins. Ce qui est clair ici c’est que la stratégie de chaque Business Unit doit être alignée avec la stratégie d’entreprise ce qui rendra l’alignement de l’informatique avec chacune d’entre elles plus facile.

3. Comment fixe-t-on la stratégie? A quelle fréquence doit-elle être revue?

Une durée acceptable pour un plan stratégique pourrait aller jusqu’à 3 ou 4 ans compte tenu de l’évolution permanente du business et de la technologie dans le contexte de mondialisation actuel. Ce plan stratégique devrait ensuite être décomposé en plusieurs plans tactiques dont la durée optimale serait de l’ordre de six mois et ne devrait jamais excéder une année. Il faut bien garder en mémoire que plus la durée d’un projet est longue et moins il est susceptible d’être couronné de succès. Par conséquent, il est préférable de décomposer les grands projets en portions digestibles qui peuvent entrer dans vos plans tactiques.

Comment se familiariser avec ces concepts?

Le référentiel COBIT® 5 publié par l’ISACA en 2012 est un modèle très intéressant à adopter pour la Gouvernance et le Management du SI, dans la mesure où il couvre la totalité de l’Entreprise et assure l’alignement de l’IT avec les autres fonctions en partant du besoin des parties prenantes pour réaliser la cascade des objectifs en s’appuyant sur 7 facilitateurs :

COBIT 5 - Les 7 facilitateurs

  1. Principes, politiques et référentiel
  2. Processus
  3. Structures organisationnelles
  4. Culture, éthique et comportement
  5. Les informations
  6. Services, applications et infrastructures
  7. Personnels, compétences et aptitudes

Pour en savoir plus et vous familiariser avec ces concepts, AB Consulting organise régulièrement des sessions sur-mesure, en Français et en Anglais, de sensibilisation destinées au membres des Conseils d’Administration et des Comités de Direction ainsi que des formations certifiantes pour les managers : COBIT® 5 Foundation et COBIT® 5 Implémentation. Nous proposons aussi l’évaluation de l’aptitude de vos processus IT afin de vous assurer de leur alignement avec les politiques et la stratégie d’entreprise, basée sur COBIT® 5.

Pour plus d’informations ou pour vous abonner à notre newsletter, merci de remplir le formulaire de contact :

COBIT® is a trademark of ISACA® registered in the United States and other countries.
ITIL® is a registered trade mark of AXELOS Limited.
PRINCE2® is a registered trade mark of AXELOS Limited.

Jugez-vous votre organisation IT efficace?

Votre organisation IT est-elle efficace? Comment pouvez-vous évaluer son efficacité? Vos clients Business ont-ils la même perception que vous?

organisation IT efficace

 

L’évaluation de l’efficacité, tout comme celle de la qualité, peut être très subjective. Dans de nombreux cas, l’efficacité est évaluée par rapport au denier service que vous avez mis en production ou au travers d’un projet que votre organisation livré. En outre, on accordera beaucoup plus de poids à des résultats décevants qu’à des résultats positifs. C’est naturel n’est-ce pas ? Dans un monde idéal, vos services informatiques devraient fonctionner de façon optimale. Nous avons donc besoin de définir des caractéristiques objectives de l’efficacité des organisations informatiques avant de pouvoir travailler à les améliorer.

Commençons par définir la mission de l’informatique « fournir la capacité de traitement de l’information requise par le business à un coût qui représente une valeur« . Beaucoup d’entre vous sont en train de lire cette définition en se disant qu’elle est très floue. En effet, les besoins de l’entreprise évoluent en permanence et il en va de même de la perception de la valeur. L’efficacité ne peut être évaluée que par rapport aux attentes attentes actuelles, aux objectifs de niveau de service définis et aux ressources disponibles. Pour cette raison, l’une des caractéristiques les plus importantes d’une organisation informatique efficace est sa capacité à répondre rapidement à l’évolution des besoins du business.

Pour être considérées comme efficaces, les organisations IT devront satisfaire les contraintes suivantes :

Flexibilité

L’IT fournit des services à la demande (résolution de problème et assistance) ainsi que des services planifiés (amélioration et projets). Les problèmes à priorité élevée, les demandes toujours urgentes, et l’évolution des besoins de l’entreprise vont perturber les dates cibles d’achèvement, le périmètre planifié et l’effort estimé. Les organisations efficaces doivent trouver un juste équilibre entre la variabilité des demandes, l’évolution permanente des priorités, et les changements dans les besoins. Afin d’obtenir cette flexibilité, les entreprises doivent gérer les demandes, les horaires, les priorités, le périmètre / les exigences, la mise à disposition et les compétences du personnel afin d’optimiser les résultats et de minimiser les impacts.

Adaptabilité

Les organisations informatiques doivent répondre aux évolutions nécessaires dans les types de services fournis, elles doivent intégrer et soutenir les nouvelles technologies, et elles doivent adapter aux changements organisationnels de l’entreprise et de l’informatique. Afin de s’adapter, l’informatique doit redéfinir ses rôles, transformer ses processus de planification et de livraison, et investir fortement dans la formation (notamment les bonnes pratiques telles que ITIL, COBIT ou encore Lean IT).

Prévisibilité

Des résultats reproductibles ne peuvent être atteints que par l’exécution de processus normalisés et par un engagement vis à vis de la qualité qui évite l’héroïsme et les solutions sur mesure.

Efficience

Chacune de ces caractéristiques est en conflit avec les autres. Une approche équilibrée est donc nécessaire. L’efficacité est généralement sacrifiée pour améliorer la flexibilité. L’efficacité peut être améliorée grâce à la documentation des connaissances, à la formation croisée, à l’utilisation des processus standardisés, d’outils de gestion, et en limitant la variété des environnements techniques.

Fiabilité

La fiabilité fait référence aux applications, à l’infrastructure et aux personnes qui délivrent les services. Les moyens de traitement (infrastructures, réseaux, applications) doivent être fiables, mais le personnel doit aussi faire preuve de fiabilité dans la livraison de services IT. Cela impose donc de définir des critères d’acceptation, d’effectuer des revues de qualité, des tests, et de nombreuses autres activités qui assureront la cohérence de la fourniture de services et des moyens de traitement mis en oeuvre.

Innovation

Le business ne comprend pas les limites de la capacité et de la technologie disponibles. L’IT est dans la position idéale pour recommander des stratégies au business plutôt que d’attendre que ce soit l’entreprise qui définisse elle-même ses stratégies. Sur un plan plus tactique, l’IT devrait être à la recherche de solutions visant à réduire les problèmes et améliorer les processus de telle sorte qu’ils s’alignent avec les autres caractéristiques.

Pro-activité

L’informatique doit être capable d’anticiper les besoins ou les incidents et de prendre des mesures pour se préparer à des pointes d’activité ou pour éviter les problèmes. Grâce à la compréhension des besoins business et des capacités existantes, et en effectuant le suivi des changements, l’IT peut anticiper et manager de façon pro-active. Cela nécessitera des processus reproductibles, des métriques et des mesures, et aussi une communication renforcée avec le business.

Alors, quelle stratégie adopter pour une IT efficace?

équipe IT efficace

Ces contraintes peuvent parfois se contredire entre elles et entraîner du gaspillage. La rigueur nécessaire du processus qui nous rend prévisible peut aussi entraver notre efficacité. Afin d’équilibrer les contraintes, l’IT doit affiner son rôle et sa culture. En plus d’exploiter et de soutenir la capacité de traitement existante, l’IT doit reconnaître que les besoins de l’entreprise évoluent en permanence et qu’une organisation efficace doit être en mesure de répondre à ces changements. Afin d’offrir de la valeur, les organisations informatiques doivent assurer les caractéristiques d’efficacité qui ont été décrites plus haut. Cela nécessitera de gérer l’organisation informatique comme une entité business indépendante qui est responsable de ses coûts et de ses revenus, et elle devra faire la preuve de sa valeur à ses clients sur une base quotidienne.

Le succès ne se mesure pas sur le respect ou le dépassement des attentes. Les attentes peuvent être impossible à satisfaire (compte tenu notamment des ressources disponibles) ou déraisonnables. Le succès se mesure par la gestion des attentes, la prise d’engagements et l’atteinte ou le dépassement des engagements. L’IT doit faire montre de leadership et pas simplement attendre que le business décide du parti qu’il peut tirer de la technologie. Lorsque l’IT démontre sa valeur, elle peut de nouveau être considérée comme un investissement et non pas simplement comme un coût destiné à être réduit ou éliminé.

Pour plus d’informations ou pour vous abonner à notre newsletter, merci de remplir le formulaire de contact:

 

Catégories

Archives

Calendrier

janvier 2018
L M M J V S D
« Déc    
1234567
891011121314
15161718192021
22232425262728
293031  
%d blogueurs aiment cette page :