Home » Posts tagged 'risque'

Tag Archives: risque

Abonnez-vous à ce blog par e-mail.

Saisissez votre adresse e-mail pour vous abonner à ce blog et recevoir une notification de chaque nouvel article par email.

COBIT – La gouvernance, clé du succès de l’entreprise

Le RGPD (Règlement Général sur la Protection des Données) est entré en vigueur le 25 mai 2018, exigeant une bonne gouvernance des données pour toutes les entreprises et collectivités, indépendamment de la juridiction, sur le traitement des données personnelles associées aux citoyens de l’UE et de l’EEE. Dans un précédent article, j’ai montré comment COBIT 5 pouvait aider tout projet de mise en conformité au RGPD. Si le RGPD a été vraiment pris au sérieux, nos organisations sont aujourd’hui en mesure de mieux gérer leurs données. De fait, cela facilite leur tâche de gestion quotidienne de l’Entreprise.

COBIT Gouvernance, la clé du succès en entreprise
Crédits © weerapat1003

Grâce à une bonne gouvernance, nous pouvons aborder avec confiance des problèmatiques actuellement encore ignorées par la pensée dominante. Elles sont pourtant désormais très pertinentes et constitueront un facteur de succès ou d’échec pour les prochains mois et les prochaines années. Parmi les problèmes dominants affectant les Entreprises, on peut citer :

  • L’adaptation de la main-d’œuvre du troisième millénaire,
  • La transformation digitale de l’économie,
  • Après le RGPD, le règlement sur la protection de la vie privée ,
  • Le BREXIT,
  • Les géants du web, notre nouveau risque systémique,
  • L’insécurité intégrée…

Le thème central, commun à tous ces sujets, est celui des systèmes d’information. L’activité stratégique et opérationnelle doit désormais adopter une approche plus «entrepreneuriale» que «mature» pour exploiter les opportunités au fur et à mesure qu’elles se présentent. Les cadres de gouvernance doivent encourager l’innovation et gérer simultanément les risques associés au moyen de politiques, de procédures et de pratiques adaptées. Une approche collaborative est nécessaire pour anticiper et répondre rapidement au changement.

COBIT 5 : le cadre de Gouvernance d’Entreprise publié par l’ISACA

Le cadre COBIT 5 de l’ISACA permet d’avoir un aperçu de la gouvernance d’entreprise. La famille de publications comprend «COBIT 5, a Business Framework for the Governance and Management of Enterprise IT». Ce document de 94 pages fournit un guide complet sur où et comment rechercher des opportunités d’évolution et d’innovation dans votre entreprise.

COBIT 5 : un mythe tenace

Malheureusement la traduction Française de cette publication n’est pas très pertinente. Elle semble faire plus de cas de l’informatique que des métiers de l’Entreprise, seuls créateurs de valeur. Le titre lui-même a été traduit par « COBIT 5, un référentiel orienté affaires pour la gouvernance et la gestion des TI de l’entreprise ». Le titre original, en Anglais, ne fait pas référence aux TI mais à « l’information de l’entreprise et aux technologies associées ». C’est beaucoup plus vaste et cela couvre la totalité des métiers au lieu de la seule informatique. Pour COBIT, l’informatique n’est seulement qu’un « outil » au service des métiers de l’Entreprise (on parlera du 6ème « enabler »). COBIT n’est aucune un référentiel destiné à l’IT. C’est un référentiel de Gouvernance et de Management de l’Entreprise.

Le périmètre de COBIT 5 : La gouvernance et le management de l’entreprise

Cela inclut bien évidemment l’IT, mais seulement comme un composant de l’Entreprise.

Vous pouvez accéder au périmètre des publications COBIT 5 sur le site de l’ISACA. COBIT a la particularité d’être composé de publications permettant au lecteur d’accéder au contenu du cadre au travers des filtres. L’accès au cadre de référence complet est totalement gratuit. Certains autres documents, tels que le modèle de référence des processus ou le guide de mise en oeuvre sont gratuits pour les membres de l’ISACA. Enfin, d’autres documents, notamment les guides professionnels, sont payants mais avec une remise substantielles pour les membres.

Publications COBIT
Source © ISACA

COBIT 5 : quelques cas réussis de mise en oeuvre dans le monde

Chacun des cas présentés ici correspond à la liste des problèmes dominants identifiés au début de cet article. Il n’ont souvent qu’un lien très lointain avec les technologies de l’information. Vous y trouverez des liens utiles présentant le contexte et la façon dont  COBIT 5 a permis relever ces défis organisationnels.

Adaptation de la main d’oeuvre du 3ème millénaire – Cas PWC

PWC, tout comme DELOITTE et d’autres grands cabinets internationaux exigent un engagement intensif de leurs salariés dès le début. Des récompenses en matière d’évolutions de carrière, telles que des partenariats, sont appelées à venir plus tard. Ces entreprises sont actuellement confrontées à un turnover croissant de jeunes, essentiellement nés entre 1980 et 1995. Il s’agit de ceux qu’on qualifie généralement d’enfants du millénaire. Ceux de la génération Z, nés après 1995, commencent à peine à arriver sur le marché de l’emploi. PWC et DELOITTE ont constaté que la main-d’œuvre entrante avait des attentes différentes de celle des générations précédentes. Les jeunes souhaitent désormais une approche flexible pour travailler. Ils attendent des récompenses pour de bonnes performances dès le début ainsi que tout au long de leur carrière.

COBIT 5 via son approche de cascade des objectifs se focalise sur l’identification besoins des parties prenantes. Ceux-ci sont alors traduits en objectifs de l’entreprise liant les attentes internes et externes des parties prenantes avec celles de l’entreprise.Une fois identifiés, les changements appropriés peuvent être apportés aux politiques et aux pratiques.

Pour mieux comprendre comment vous appuyer sur COBIT pour résoudre cette problématique, nous vous proposons les liens suivants :

Transformation digitale de l’économie – Cas Domino’s

La transformation digitale pousse les entreprises à adapter leurs modèles commerciaux et à se concentrer. Domino’s a réalisé qu’ils devaient passer d’un service de restauration rapide à un service digital. En utilisant l’analyse de données pour personnaliser les offres marketing auprès des clients, les clients sont attirés par un service correspondant à leur style de vie.

COBIT 5, au travers des conseils sur les services, l’infrastructure et les applications, aide les entreprises à évaluer le potentiel de la transformation numérique sur l’organisation. Cette orientation élargit la réflexion, de la définition d’une solution unique jusqu’à la mise en œuvre d’un actif holistique, intégrale et soutenant les objectifs de l’entreprise.

Si vous souhaitez mieux comprendre comment COBIT a permis à Domino’s de réussir sa transformation digitale : https://www.bernardmarr.com/default.asp?contentID=1264.

Mise en conformité au futur règlement Européen sur la protection de la vie privée – Cas WhatsApp

Le règlement sur la vie privée et les communications électroniques, qui devrait être adopté par l’UE à la fin de 2018, constitue un ajout subtil au RGPD couvrant les communications électroniques.Des consentements explicites supplémentaires seront nécessaires. L’infrastructure de communication intelligente transporte, génère, utilise et stocke des données personnelles et corporatives identifiables. Donc, de fait, les principaux services de communication tels que WhatsApp sont inclus. C’est aussi le cas des fournisseurs de cookies, d’appareils IoT et de marketing direct et e-marketing.

COBIT 5 fournit des conseils sur la façon dont les entreprises, incluant leur IT, doivent se conformer aux exigences réglementaires. COBIT peut donc aider à révéler où des consentements explicites pourraient être nécessaires.

Voici quelques liens qui peuvent vous permettre de mieux comprendre comment COBIT aide à mieux protéger la vie privée :

Le BREXIT – Cas Currency Cloud

La situation sur le BREXIT restant assez imprévisible à l’heure actuelle, les entreprises doivent donc définir des plans d’urgence afin de minimiser les impacts d’un accord non favorable. Même si une organisation n’a aucun contact avec l’UE, elle doit vérifier comment le BREXIT affecte sa chaîne d’approvisionnement et sa banque. Pour certains, comme la plateforme d’échanges financiers Currency Cloud, «pas d’accord» avec l’UE serait synonyme de devoir mettre en place une présence européenne pour obtenir leur licence opérationnelle européenne, au cas où.

COBIT 5 couvre les exigences de conformité aux réglementations, lois et autres normes. Cela aide à identifier le point de départ et les processus sur lesquels se focaliser. COBIT inclut des sections sur la continuité des opérations, couvrant la prévention, l’atténuation et le retour à la normale en cas de perturbation pour aider à identifier les possibles zones de friction.

Pour mieux comprendre comment COBIT peut aider les entreprises britanniques à affronter le BREXIT : https://www.ibtimes.co.uk/why-neither-brexit-nor-loss-passporting-will-stop-uks-fintech-momentum-1659410.

Les géants du web, nouveau risque systémique – Cas des GAFAM

Chaque entreprise est dans un marché pour acheter et vendre. Pour opérer de manière efficace et efficiente, beaucoup d’entre nous se tournent vers l’infrastructure informatique et les fournisseurs de communication offrant des solutions «guichet unique» faciles à utiliser, telles que Google, Apple, Facebook, Amazon et Microsoft. Mais c’est une épée à trois tranchants.

Le grand avantage, qui les rend si attrayants, est qu’ils devient facile d’accéder à des structures de communication et de stockage avec la sécurité et l’échelle nécessaires. Les principaux inconvénients sont :

  1. avec peu d’acteurs dominants, le contrôle sur les marchés n’est pas entre nos mains
  2. et si l’un d’eux échoue, techniquement ou commercialement, l’impact négatif sur les affaires et la vie privée sera énorme.

COBIT 5 peut aider à définir une nouvelle approche pour traiter un point de défaillance systémique. Il existe également une liste de contrôles utiles sur les questions à poser aux parties prenantes externes.

L’insécurité intégrée – Cas Expedia

Un sous-produit de la construction l’efficacité de l’entreprise de construction est de jeter les bases de l’insécurité par inadvertance. Expedia a découvert qu’une de ses filiales avait laisser fuiter des données sur ses clients. Le partage et la gestion des données, même au sein d’un même groupe, sont difficiles à contrôler car les exigences et la responsabilité sont diluées, obscurcies ou réinterprétées par le partenaire en charge du traitement des données.

Pour en savoir plus sur le cas Expedia : https://www.cnbc.com/2018/03/20/an-expedia-subsidiary-says-a-security-breach-affected-880000-cards.html.

COBIT 5 est derrière chaque entrepreneur pour l’aider

COBIT 5 est là pour nous aider à mieux réfléchir à la manière dont nous gérons et opérons. Tant de choses sont demandées aux entreprises, il est facile de rater les choses auxquelles nous devrions penser. La technologie détermine à la fois le rythme et la façon dont nous travaillons. Une bonne gouvernance est essentielle pour assurer la prospérité des entreprises.COBIT 5 est essentiel p our bien gouverner.

Pour mieux comprendre pourquoi une formation COBIT vous est indispensable : http://www.ab-consulting.fr/blog/geit/cobit-5/formation-cobit-7-raisons.

Vous aussi vous avez un cas particulier, hors du domaine IT, d’utilisation réussie de COBIT 5 dans un contexte particulier? N’hésitez pas à nous laisser votre commentaire.

RGPD/GDPR : appuyez-vous sur COBIT

Dans notre précédent article intitulé RGPD/GDPR ; Les changements au 25 Mai 2018, nous vous avons proposé 10 axes clés pour devenir conforme au RGPD. La mise en conformité est, par définition, un projet transversal relevant de la gouvernance de l’Entreprise. Or, dès lors qu’on parle de Gouvernance, le référentiel susceptible de nous aider est COBIT 5. Dans quelle mesure, COBIT 5 peut-il nous aider à mettre en oeuvre le RGPD (GDPR) via ses 7 facilitateurs, en s’appuyant sur les 5 principes de la Gouvernance?

RGPD : comment COBIT peut vous aider
Crédits : Tatyana – Fotolia.com

Le RGPD (GDPR en Anglais) contient 99 articles définissant les exigences et les droits accordés aux citoyens de l’UE. Le RGPD (/GDPR) décrit également la structure de conformité et pénalités pour non-conformité. Chaque organisation a besoin de bien comprendre le RGPD (/GDPR) et de déterminer ses prochaines actions. Nous allons, pour les principaux sujets de préoccupation, décrire comment l’approche COBIT peut vous aider à y répondre.

Quel rapport en tre RGPD (GDPR) et COBIT?

Le RGPD (GDPR en Anglais) est une Règlementation Européenne destinée à la protection des renseignements et des données personnelles des citoyens de l’Union. Il s’agit donc d’une loi, applicable à toute entreprise ou organisme, public ou privé, dans l’Espace Economique Européen. Cette loi est entrée en vigueur le 4 Mai 2016 (date de publication au journal officiel de l’Union Européenne) . La Commission Européenne a accordé  deux ans de grâce aux Etats et aux organisations pour se mettre en conformité. Ce délai de grâce expire le 25 Mai 2018. Par conséquent, les sanctions prévues par loi vont s’appliquer à compter cette date. De plus, il faut reconnaître que les sanctions prévues sont dissuasives (jusqu’à 4% du chiffre d’affaires mondial annuel pour les grandes entreprises et 20 Millions d’Euros pour les TPE et PME).

Malheureusement, comme d’habitude, les organisations des pays francophones ont attendu le dernier moment pour se préoccuper de leur mise en conformité. Aussi, à un mois de l’échéance, beaucoup d’entre elles commencent seulement à se poser la question. De plus, elles pensent, de façon totalement erronée, qu’il s’agit simplement d’un projet informatique de plus.

La conformité légale et réglementaire est, par essence, un sujet de Gouvernance des Entreprises. Dans le cas précis du RGPD, il s’agit de Gouvernance du Système d’Informations. Or le référentiel de Gouvernance du Système d’Informations, reconnu dans le monde entier, n’est autre que COBIT 5. Il apparaît donc clairement que COBIT 5 peut nous aider efficacement à mettre en oeuvre des exigences du RGPD (GDPR).

Quelques exigences clés du RGPD (GDPR)

Identification des données présentant un risque élevé et analyses d’impact

Les entreprises ont désormais l’obligation effectuer des analyses d’impact sur la protection des données (DPIA) lors de l’utilisation de nouvelles technologies ou lors du lancement de nouveaux projets, pour toute donnée présentant un risque élevé pour les droits et libertés des citoyens de l’UE. Ces analyses d’impact doivent également décrire comment l’entreprise entend aborder le risque grâce à un traitement systématique et étendu ou via des activités de surveillance. Donc, cela s’apparente à une évaluation traditionnelle des risques qui analyse les risques et les mesures en place pour y remédier. Ainsi, il est simple, en nous appuyant sur la cascade d’objectifs, d’identifier les processus primaires de COBIT à considérer:

  • EDM02 Ensure Benefits Delivery ;
  • EDM04 Ensure Risk Optimization ;
  • APO11 Manage Quality ;
  • APO12 Manage Risk ;
  • APO13 Manage Security ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Protection, traitement et stockage des données personnelles

Les données personnelles de chaque personne concernée doivent être traitées de manière transparente, et uniquement pour les finalités spécifiées. L’Entreprise doit garantir un niveau « raisonnable » de protection des données et des renseignements personnels. Les données doivent être traitées en toute sécurité pour se protéger contre tout accès non autorisé, perte ou dommage. Des mesures techniques et organisationnelles appropriées doivent être mises en oeuvre. Le RGPD (GDPR) ne définit pas ce que cela signifie de façon précise. Il est cependant clair que si les données sont perdues ou volées, l’entreprise est manifestement en violation de la conformité. Les principaux processus COBIT à considérer sont donc les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO02 Manage Strategy ;
  • APO03 Manage Enterprise Architecture ;
  • APO10 Manage Suppliers ;
  • BAI01 Manage Programs and Projects ;
  • BAI02 Manage Requirements Definition ;
  • BAI03 Manage Solutions Identification and Build ;
  • BAI04 Manage Availability and Capacity ;
  • BAI06 Manage Changes ;
  • BAI07 Manage Change Acceptance and Transitioning ;
  • BAI08 Manage Knowledge ;
  • BAI09 Manage Assets ;
  • BAI10 Manage Configuration.

Consentement, portabilité, droit d’accès et droit à l’oubli

Les individus doivent donner leur consentement explicite concernant le traitement de leurs données personnelles. Rappelons que le RGPD (GDPR) considère comme traitements la collecte initialel’enregistrementl’organisationla structurationla conservationl’adaptation ou la modificationl’extractionla consultationl’utilisationla communication par transmissionla diffusion ou toute autre forme de mise à dispositionle rapprochement ou l’interconnexionla limitationl’effacement jusqu’à la destruction.

Ces personnes (« les personnes concernées ») ont le droit de savoir, sur demande, quelles données personnelles une entreprise utilise et comment ces données sont utilisées. Un citoyen de l’UE peut également obtenir, sur demande, le transfert de ses données personnelles d’une entreprise à une autre dans un format lisible par machine. De plus, les entreprises ont l’obligation  d’arrêter de traiter et / ou de supprimer des données personnelles sur un citoyen de l’UE sur sa demande. Cette exigence va plus loin: il s’agit de permettre aux citoyens de l’UE le droit d’être oublié en ayant des données personnelles supprimées sur demande. Les principaux processus COBIT à considérer sont les suivants :

  • EDM05 Ensure Stakeholder Transparency ;
  • APO01 Manage the IT Management Framework ;
  • APO08 Manage Relationships ;
  • APO09 Manage Service Agreements ;
  • APO10 Manage Suppliers ;
  • BAI08 Manage Knowledge.

Nomination d’un délégué à la protection des données

Certaines organisations ont obligation de désigner un délégué à la protection des données (DPO). Le rôle du DPO est de superviser la stratégie de sécurité des données de l’entreprise et sa conformité au RGPD (GDPR). Alors, quelles sont les  organisations qui ont l’obligation d’avoir un DPO? L’exigence s’applique à toute organisation qui traite ou stocke de grandes quantités de données sur les citoyens de l’UE. Elle s’applique également aux organisations qui traitent ou stockent des données personnelles, surveillent régulièrement les individus. Enfin elle s’applique à toutes les autorités publiques. Pour répondre à cette exigence, les principaux processus COBIT à considérer sont :

  • EDM01 Ensure Governance Framework Setting and Maintenance ;
  • APO07 Manage Human Resources ;
  • BAI05 Manage Organizational Change Enablement.

Notification des violations de données à caractère personnel

Les entreprises (et plus particulièrement les responsables du traitement) doivent informer les autorités de contrôle dans les 72 heures suivant la découverte d’une violation de données à caractère personnel. Les sous-traitants sont généralement ceux qui découvrent en premier  une telle violation de données. Par conséquent, la loi les rend responsables d’informer sans délai le responsable du traitement. Beaucoup d’organisations ont déjà mis en place de telles procédures. Cependant,  peu d’entre elles effectuent régulièrement des tests pour s’assurer que les exigences sont bien respectées. Concernant cet axe de travail, les principaux processus COBIT à considérer sont :

  • DSS01 Manage Operations ;
  • DSS02 Manage Service Requests and Incidents ;
  • DSS03 Manage Problems ;
  • DSS04 Manage Continuity ;
  • DSS05 Manage Security Services ;
  • DSS06 Manage Business Process Controls.

Assurer la conformité réglementaire

Pour assurer la conformité à la législation, les organisations ont l’obligation de s’évaluer, de surveiller et d’évaluer en permanence leurs contrôles et d’étudier les améliorations continues à mettre en oeuvre en termes de technologies et d’idées. Les organisations doivent également fournir l’assurance qu’elles suivent les obligations énoncées. Pour cette exigence du RGPD (GDPR) les principaux processus COBIT à améliorer sont les suivants :

  • APO04 Manage Innovation ;
  • APO05 Manage Portfolio ;
  • APO06 Manage Budget and Costs ;
  • MEA01 Monitor, Evaluate and Assess Performance and Conformance ;
  • MEA02 Monitor, Evaluate and Assess the System of Internal Control ;
  • MEA03 Monitor, Evaluate and Assess Compliance With External Requirements.

Quelques conseils et astuces pour réussir la mise en œuvre du RGPD

Pour faciliter le travail de mise en conformité, nous vous livrons ici une série de conseils et d’astuces basés sur COBIT 5. De plus, ces conseils et astuces proviennent des observations et recommandations issues de l’expérience d’organisations qui ont déjà entamé, et pour certaines terminé avec succès, leur marche vers la conformité au RGPD (GDPR). Ce qui suit est  donc, de fait, une liste des facteurs clés de succès à prendre en compte dans votre programme de mise en conformité.

1. Créez un sentiment d’urgence et de criticité au niveau du top management

Très logiquement, c’est la toute la première des choses à faire. Obtenir le soutien de niveau exécutif est clé. C’est ce soutien qui déclenchera les attitudes et provoquera les attentes nécessaires permettant d’adopter avec succès les bonnes pratiques de gouvernance. En effet ce sont ces pratiques qui permettront d’appliquer et de se conformer les exigences du RGPD. Pour obtenir ce soutien précieux, vous devez absolument convaincre le Comité de Direction de l’urgence et de la criticité de ce programme.

Astuce : Lisez COBIT 5 Implementation Guide pour plus de conseils et techniques permettant d’obtenir un soutien de niveau exécutif et faire reconnaître le besoin d’agir.

2. Considérez le RGPD comme une opportunité de créer davantage de valeur

Le RGPD n’est pas seulement un contrainte. C’est aussi l’opportunité d’améliorer les pratiques et créer davantage de valeur pour les parties prenantes de l’organisation. Bien que mettre en oeuvre et maintenir la conformité puisse sembler pesant, c’est clairement la bonne approche. Rappelez-vous que la raison d’être de l’entreprise est de créer de la valeur pour les parties prenantes. Et le RGPD  bien appliqué est un important contributeur à la création de valeur ajoutée.

Astuce : La cascade d’objectifs de COBIT 5 identifie les besoins des parties prenantes et les transforme en objectifs d’affaires. Ensuite ceux-ci sont déclinés en objectifs informatiques permettant de soutenir les objectifs métiers. Enfin, les objectifs informatiques permettent d’identifier les processus les plus appropriés sur lesquels se concentrer pour améliorer valeur pour les parties prenantes.

3. Inventoriez les pratiques et les référentiels utilisés actuellement

Identifiez les pratiques et les référentiels utilisés actuellement dans le cadre de la gouvernance et de management de l’entreprise, y compris le plan de protection des données existant. La plupart des entreprises ont déjà mis en place un tel  plan (souvent basé sur ITIL, COBIT ou ISO 27001 par exemple). Cependant elles devront le revoir et le mettre à jour pour s’assurer qu’il s’aligne bien avec les exigences du RGPD.

Astuce : Le RGPD est une préoccupation réglementaire qui peut être satisfaite en s’appuyant sur les meilleures pratiques existantes du marché telles que COBIT, ITIL, TOGAF (le référentiel d’architecture d’entreprise de l’Open Group), le cadre de l’Institut National Américain des normes et de la technologie (NIST), les normes ISO (ISO 27001, ISO 29100 par exemple) et bien d’autres. N’hésitez pas à vous appuyer sur ce qui existe déjà au sein de l’Organisation.

4. Considérez COBIT 5 un intégrateur des autres référentiels de bonnes pratiques

Ne vous arrêtez pas à un seul référentiel. Il s’agit là d’une extension de l’astuce précédente. Bien que COBIT soit le seul cadre d’affaires pour la GEIT (Gouvernance de l’Information d’Entreprise et des Technologies associées), COBIT n’est pas le seul référentiel susceptible de vous aider. Cependant, il est bien adapté pour servir de cadre pour aider à déterminer les composants nécessaires d’autres référentiel et fournir un vrai modèle GEIT.

Astuce : Le site web COBIT Online contient des informations supplémentaires à propos de cette approche https://cobitonline.isaca.org/about.

5. Nommez un DPO dès maintenant

Nommez dès maintenant un DPO et d’éventuels autres rôles pertinents. Même dans entreprises qui ne sont pas concernées par le RGPD, certains rôles sont indispensables. Ils doivent être identifiés et assignés. Ces rôles peuvent être remplis sous des noms différents. L’essentiel est que les responsabilités correspondantes soient bien attribuées sans qu’il n’y ait de conflit d’intérêt.

Astuce : La publication COBIT 5: Enabling Processes identifie les diagrammes RACI pour chacun des 37 processus de COBIT 5. Vous pouvez vous en inspirer pour identifier les rôles et responsabilités nécessaires au bon fonctionnement de votre organisation.

6. Menez une évaluation des risques

Une évaluation des risques d’entreprise permet d’aider à la prise de décision. Il est important de savoir quelles données personnelles l’entreprise stocke et traite sur les citoyens de l’UE, ainsi que le risque associé. Les évaluations des risques permettent d’identifier les risques, de déterminer des mesures pour réduire les risques et développer des plans d’actions pour gérer les risques. Avant chaque traitement important et au début de chaque nouveau projet, le RGPD impose qu’une analyse d’impact sur les données personnelles soit menée et que des actions soient prises en fonction des risques identifiés.

Astuce : COBIT 5 for Risk et ISO 31000 constituent d’excellents cadres de référence pour déterminer le processus approprié d’évaluation des risques et le relier aux exigences du RGPD.

7. Lancez un vaste programme de sensibilisation et de formation

Tout le personnel de l’organisation doit être familier avec les exigences du RGPD ainsi qu’avec leurs applications à chaque rôle spécifique de l’Entreprise. La formation est probablement l’une des actions les plus importantes qu’une entreprise peut lancer pour augmenter la probabilité de réussite d’un programme tel que la mise en conformité à la réglementation.

Astuce : Dans les entreprises qui s’appuient sur COBIT pour leur gouvernance et le suivi de leur conformité, le cours COBIT 5 Foundation constitue une excellente première étape. Dans tous les cas, une sensibilisation au RGPD  d’une journée est un bon point de départ pour l’ensemble des employés traitant des données personnelles.

8. Préparez et répétez les plans de réponse aux incidents

Planifiez les plans de réponse aux incidents. Et surtout n’oubliez pas de les tester, de les répéter et de les revoir régulièrement. La plupart des organisations ont déjà mis en place une forme de processus de gestion incidents. Cependant, le RGPD impose certaines exigences qui n’ont pas toujours été prises en compte dans le plan déjà en place. Notamment, les entreprises doivent signaler toute violation de données personnelles à l’Autorité de Contrôle dans les 72 heures suivant sa découverte. La façon dont les équipes d’intervention réagiront influera directement sur les risque d’amendes pour l’entreprise en cas de non respect des exigences.

Astuce : Améliorez les procédures existantes de gestion des incidents en vous appuyant, le cas échéant, sur les processus COBIT, ITIL ou ISO 27001 applicables et adaptez les pour créer un modèle spécifique intégrant les exigences du RGPD.

9. Focalisez-vous sur l’information

Quand on parle de protection des données personnelles, on fait référence à un type particulier d’information.. Rappelez-vous que l’information est un actif, une ressource qui, si elle n’est pas protégée peut devenir un passif. Comprendre les attributs, l’emplacement et le cycle de vie des données permet d’améliorer la capacité de l’entreprise à fournir les protections requises par le RGPD.

Astuce : COBIT 5: Enabling Information peut aider à la compréhension du cycle de vie et des attributs de l’information.

10. Effectuez des évaluations et des audits continus

Le maintien de la conformité nécessite un suivi et une amélioration continue. Il est important pour l’entreprise de ne pas laisser ses efforts s’estomper en passant à la prochaine initiative. Dans ce cas,  des surprises désagréables peuvent survenir. Poursuivez l’élan sans relâcher les efforts.

Astuce : Utilisez le modèle de mise en œuvre de COBIT (COBIT Implementation) ou l’approche d’amélioration continue des services d’ITIL (CSI) et veillez à ce les fonctions d’audit et d’audit interne soient pleinement impliquées dans la démarche.

Les apports de COBIT dans votre mise en conformité avec le RGPD

Les organisations qui se concentrent uniquement sur la conformité sont généralement celles qui n’ont pas mis en oeuvre de cadre de gouvernance. La conformité au RGPD n’est qu’une conformité supplémentaire à respecter. C’est une composante d’une initiative plus vaste basée sur un ratio risque / bénéfice. L’objectif doit être d’équilibrer cette conformité avec les performances de l’entreprise. Le référentiel COBIT 5 est complet dans la couverture de la gouvernance d’entreprise. Cependant il ne répond pas à tous les besoins de conformité d’une entreprise. Toutefois, il peut certainement fournir le cadre de gouvernance et de gestion permettant de déterminer l’approche la plus appropriée visant à créer de la valeur et de la confiance pour les parties prenantes. Dans ce cas, il permet de donner l’assurance que les données personnelles bénéficieront de bien de la confidentialité, de l’intégrité et de la disponibilité sur la base du RGPD (GDPR).

Une remarque? Un commentaire? Une question? N’hésitez pas à lancer la discussion. Nos experts sont à votre disposition pour vous répondre. Alors merci de nous laisser un commentaire sur ce blog.

Culture et éthique au coeur de l’Entreprise

Pas de création de valeur sans culture et éthique

Ardent défenseur de la bonne gouvernance pour promouvoir les comportements adéquats, en matière de business, je défends depuis longtemps l’idée que les Entreprises doivent comprendre et pratiquer un capitalisme responsable. En ce moment même se déroule un G20 en Chine. C’est le cadre dans lequel deux des plus grands pollueurs de la planète, à savoir les USA et la Chine viennent enfin de ratifier l’accord de la COP21. Cet accord vise à réduire l’émission de gaz à effets de serre. Ces gaz menacent directement la survie même de l’humanité et plus globalement de la Terre. Il est donc désormais clair que le capitalisme responsable est plus que jamais une nécessité vitale. Cela s’appuie, de toute évidence, sur une culture et une éthique d’Entreprise plus exigeantes.

Corporate Culture of a Company and Responsibility

Qu’est-ce que le capitalisme responsable?

Il se trouve que ce concept a été soulevé, il y a quelques semaines par l’Institute of Business Ethics (IBE). L’IBE est une organisation Britannique non gouvernementale créée en 1986. Sa mission consiste à encourager l’adoption de normes de haut niveau en matière de comportement d’affaires au sein des Entreprises. Pour ce faire il est indispensable de s’appuyer sur des valeurs éthiques fortes. Or chacun sait que les Entreprises, par la voix de leur Conseil d’Administration réagissent majoritairement dans deux cas seulement. Elles doivent y être contraintes soit par des obligations légales ou réglementaires, soit par un scandale financier affectant leurs actionnaires. Dans les deux cas, elles réagissent sous la contrainte et sont malheureusement rarement pro-actives.

En juillet, l’IBE a présidé un excellent colloque sur ce que le «capitalisme responsable» signifie aujourd’hui. Cela conforte ce que je préconise depuis longtemps, m’appuyant sur COBIT 5, à mes clients et partenaires. Il est devenu indispensable de créer une culture d’entreprise permettant aux humains d’exploiter les opportunités, et pas l’inverse. Cet objectif se réalise, bien sûr, en encourageant la liberté de produire, de vendre et d’acheter des biens et services afin de créer de la valeur pour la Société, pour le plus grand profit de ses parties prenantes. Mais cela nécessite impérativement d’agir dans un cadre bien défini en matière de comportement d’affaires. C’est un pré-requis à la bonne gouvernance selon COBIT qui propose 6 autres facilitateurs pour la création de Valeur. 

Le rôle du Conseil d’Administration

Il est donc important que les Organisations définissent les comportements business qui sont et ne sont pas autorisés. Il est également vital de définir dans quelle mesure la culture de l’Organisation soutient ou contredit sa position éthique officielle.

Pour illustrer ce propos, prenons, par exemple, le cas de la FIFA (Fédération Internationale du Football Amateur). D’un point de vue éthique, la FIFA a pour mission de promouvoir les opportunités dans le monde du football. Son site Web met en exergue cette orientation. « La mission de la FIFA consiste à développer le football partout et pour tous, à toucher le monde à travers des tournois passionnants et à construire un avenir meilleur grâce au pouvoir du beau jeu ». Or nous avons tous en mémoire les récents scandales affectant la Direction de la FIFA et démontrant la corruption culturelle de cette Organisation. Ceci révèle une énorme différence entre la parole («ce que je dis») et les actes («ce que je fais»). Et cela conduit inévitablement à une faillite complète de l’Organisation et à la destruction de Valeur.

FIFA culture eroded ethics

Les scandales du LIBOR, du FOREX et des assurances emprunteurs PPI dans le secteur financier, la tricherie de Volkswagen sur les émissions de particules et les manipulations financières de Tesco destinées à dissimuler un trou au niveau comptable, sont autant d’exemples où la culture d’entreprise a violé l’éthique. Les Conseils d’Administration se réunissent et prennent note de ces violations. Hélas cela se passe seulement une fois que l’éthique a été violée. En effet, c’est seulement à postériori que les impacts au niveau de l’Entreprise se font sentir. Et c’est donc seulement après coup que le Conseil d’Administration se trouve contraint d’agir. A ce moment là, il est le plus souvent trop tard pour agir.

La création de valeur

Toutes ces Organisations étaient pourtant bien établies. Elles inspiraient suffisamment de confiance en terme de création de valeur. Malheureusement elles ont toutes fini par violer les règles fondamentales de l’éthique. C’est comme si la signification de la valeur avait été déformée. La valeur est la conjonction du profit, de l’optimisation des risques et de l’optimisation des ressources. Aujourd’hui, de nombreuses Entreprises évaluent uniquement la valeur d’un point de vue financier. Valeur devient synonyme de gros profits, gros dividendes et valeur marchande élevée. Elles font souvent fi de l’optimisation des risques liés à un comportement non éthique. De même elles se préoccupent  peu de l’utilisation efficiente des ressources.

Alors même qu’augmente la pression sur les ressources de la planète, et que la législation et la réglementation se concentrent maintenant sur la façon de faire les choses, les entreprises doivent désormais se focaliser sur leur façon de fonctionner, de produire et de servir. Le changement de la façon de faire des affaires favorise une approche éthique. la culture au sein des Organisations et des chaînes d’approvisionnement doit donc également se transformer pour permettre le  passage de la simple «création de richesse» à la notion de «création de bien-être».

Peut-être est-ce là la différence entre une entreprise bâtie sur le «capitalisme» (d’aucuns parlent de capitalisme sauvage) et une entreprise construite sur le «capitalisme responsable». Celui-ci intègre d’autres éléments dans sa définition de la «valeur», tels que les bénéfices sociaux et environnementaux. Le capitalisme responsable prolonge ainsi la «richesse» jusqu’au «bien-être». En d’autres termes, dans ce contexte, la valeur ajoutée est la somme de la richesse (s’appuyant sur le profit, pas seulement financier d’ailleurs) et du bien-être (résultant de l’optimisation des risques et des ressources). Cette création de valeur sera soutenue par l’éthique (objectif à atteindre), et la culture (moyen de la produire).

Peut-on auditer la culture d’une Organisation ?

Maintenant, il est nécessaire de mesurer tout cela. La culture est partout et nulle part dans les entreprises. Elle est partout dans le sens où elle est façonnée et déterminée par toutes les caractéristiques de l’entreprise – son personnel, son organisation, la façon de récompenser les gens, etc; – et nulle part, parce que la culture n’est pas tangible. Ce n’est pas un produit qu’on peut mettre sur une étagère, puis modifier et faire évoluer à volonté. Il est cependant nécessaire d’évaluer l’aptitude de la culture d’une entreprise à créer de la valeur pour l’Entreprise.

Avec quelque chose d’aussi intangible que la culture, où et comment peut-on commencer cette évaluation? Une bonne façon de démarrer une telle évaluation consiste à identifier la  « pression d’entreprise» sur son personnel. C’est cette pression qui va révéler les changements culturels et leur impact sur l’éthique. Cela soulèvera immanquablement des «feux rouges» indiquant que l’Organisation présente un risque important. Ce risque pourra se traduire notamment par un scandale affectant l’image de l’Organisation.

Les indicateurs de risque

Quels sont ces feux rouges? On peu en identifier cinq essentiels :

  • l’existence d’accords salariaux controversés, tels q’une rémunération anormalement élevée des dirigeants favorisant la prise de risques et encourageant uniquement des objectifs à court terme;
  • des structure juridique complexe rendant difficile la transparence, pour les Conseils d’Administration et le Management, sur ce qui se passe à l’intérieur de l’entreprise;
  • une mauvaise réalisation de Fusions / acquisitions conduisant à un mélange de cultures au sein de l’entreprise, avec des «poches» de mauvais comportement qui se développent hors du contrôle du Conseil d’Administration;
  • une discipline financière laxiste (par exemple Northern Rock et RBS avaient un endettement excessif qui a conduit à leurs problèmes) pouvant déclencher une crise;
  • des dirigeants « autocratiques » que le personnel craint de fâcher par crainte de représailles, ce qui signifie que des informations vitales sur les problèmes potentiels risquent de ne jamais atteindre la haute direction et les Conseil d’Administration.

COBIT 5 comme cadre d’évaluation

L’étape suivante consiste en la définition d’une approche pour examiner et évaluer la culture et l’éthique, en s’appuyant par exemple sur COBIT 5.

facilittaeurs de la création de valeur

Nous pouvons appliquer la publication COBIT 5 for Assurance, pages 139 – 141, à chacun des « feux rouges » identifiés ci-dessus. COBIT 5 examine l’influence sur le comportement par le Leadership selon trois axes, « à travers la communication, l’application et les règles », « au travers des incitations et des récompenses» et «par les actions de sensibilisation». Tous les trois portent sur les questions relatives à la pression de l’Entreprise.

La communication, les règles et leur application influencent les comportements

Cette perspective permettra de découvrir si l’entreprise « prend des raccourcis » ou fait preuve d’une discipline financière laxiste. Elle permettra également de découvrir si le conseil d’administration se concentre sur les mesures à court terme. On s’attachera notamment à ce niveau à étudier l’existence et le contenu des politiques et du système de management.

Les incitations et récompenses soutiennent les comportements souhaités:

Cet axe d’évaluation va révéler comment la rémunération et les récompense réelles correspondent aux schémas officiels de récompenses/pénalités en vérifiant si le personnel s’affranchit des limites, si les managers et le conseil d’administration tolèrent les petites infractions aux politiques et si les pénalités au niveau du salaire sont bien appliquées et encouragent la prise de risque – pour atteindre des objectifs à court terme.

La sensibilisation conditionne les comportements attendus

Cette perspective permet d’identifier si des structures juridiques complexes existent. C’est alors difficile, pour le conseil et la direction, de comprendre ce qui se passe à l’intérieur de l’entreprise. Par exemple, une complexité des structures peut résulter de prises de contrôle, conduisant à un choc de cultures. Cela générera des zones de mauvais comportement allant au-delà de la capacité de supervision du Conseil d’Administration.

En résumé, une évaluation globale basée sur COBIT 5 nous aidera à évaluer si le conseil change de direction s’écartant des pratiques validées sans officiellement modifier ou communiquer sa nouvelle approche.

A quoi sert vraiment COBIT ?

Mais COBIT 5 peut faire encore beaucoup plus pour nous. Il peut, de manière transparente, identifier la fourniture et l’utilisation des développements technologiques, tels que les objets connectés par Internet et le Big Data, et évaluer la réponse d’Entreprise en matière de confidentialité des données et de pratiques de cyber-sécurité. A mesure que les progrès technologiques se combinent de façon plus évidente, imbriquant chaque jour davantage vie professionnelle et vie privée, de nouvelles questions éthiques se posent. C’est l’évaluation continue de la culture et de l’éthique qui soutiendra toutes les opérations et l’obtention des résultats attendus.

Vous voulez découvrir comment COBIT peut vous aider?

AB Consulting, seul organisme de formation accrédité par APMG/ISACA sur l’ensemble des certifications COBIT 5 en Afrique de l’Ouest et du Nord, mais également certifié en matière d’audits sur la base de COBIT 5 vous propose de découvrir comment ce cadre de Gouvernance et de Management qui couvre la totalité de l’Entreprise, bien au delà du département informatique, peut vous aider à créer de la valeur au sein de votre organisation. N’hésitez pas à consulter notre site web pour en savoir davantage ou pour vous inscrire à l’une de nos formations certifiantes.

Des commentaires à faire sur cet article? Un témoignage à nous apporter? Des questions à poser? Surtout n’hésitez pas à poster ci-dessous vos commentaires. Nous vous répondrons avec grand plaisir.

Si vous pensez que ce post peut intéresser d’autres personnes, n’hésitez pas à le partager sur les réseaux sociaux.

Catégories

Archives

Calendrier

août 2018
L M M J V S D
« Juil    
 12345
6789101112
13141516171819
20212223242526
2728293031  
%d blogueurs aiment cette page :