Le contexte économique actuel très dynamique exige des entreprises qu’elles fassent preuve d’agilité. Il est alors facile de perdre de vue certains principes fondamentaux pouvant être considérés comme lourds ou contraignants. Soyez très prudent, car des principes de gouvernance garantissent un juste équilibre entre performances et conformité lors de la réalisation des objectifs de l’entreprise. Si votre organisation ignore vos contrôles internes essentiels, il peut en résulter des vulnérabilités qui n’ont pas été prévues. Ces vulnérabilités peuvent ensuite vous exposer à des scénarios de risque susceptibles d’entraver la réalisation de vos objectifs commerciaux. Les politiques sont l’un des éléments clés de votre système de gouvernance. Cet article est le résultat de mes réflexions et de mon expérience dans ce domaine. Je m’appuie ici sur le contenu de COBIT 2019, la mise à jour récemment publiée par l’ISACA de son cadre de gouvernance et de management de l’I & T.
Prêts ou pas, la transformation numérique ne vous attendra pas
La quatrième révolution industrielle, souvent qualifiée d’ère de «transformation numérique», est déjà là. Que vous ayez embarqué ou non, votre entreprise va sûrement être concernée très rapidement. Le passage au numérique est au centre des préoccupations de presque toutes les entreprises et de tous les leaders technologiques. Le terme lui-même diffère selon les secteurs et les organisations. Mais ce qui est sûr, c’est que vous devez au moins définir sa valeur en termes commerciaux. Bien entendu, il est impossible pour les dirigeants d’entreprise et les responsables informatiques d’élaborer et de poursuivre une stratégie de transformation numérique efficace sans une compréhension solide du terme lui-même. Voici la définition qu’en donne Mark Thomas, une des références en matière de gouvernance de l’information et de la technologie:
« La transformation numérique consiste à investir dans des technologies innovantes, des modèles commerciaux et des flux de valeur qui améliorent l’expérience des clients et des utilisateurs, ce qui permet à une entreprise d’obtenir un avantage concurrentiel dans une économie numérique en pleine évolution. » (Mark Thomas)
La transformation numérique est difficile à mettre en oeuvre
Tout effort de transformation numérique doit être axé sur la création de valeur. Un facteur majeur de cette transformation est de s’appuyer sur des technologies nouvelles et innovantes qui améliorent les expériences des utilisateurs et des clients. Cependant, à mesure que nous étendons nos capacités numériques, nous devrions également tenir compte de notre structure de gouvernance, de risque et de conformité. A défaut, une catastrophe a de grands risques de survenir. Alors n’attendez pas pour vous poser la question : Maintenant que nous avons évolué numériquement… pourquoi n’avons-nous pas non plus modifié nos structures de gouvernance?
Bien entendu, il existe des obstacles inhérents au succès : besoins en ressources, nouvelles vulnérabilités, silos organisationnels, penser qu’il s’agit d’une responsabilité informatique uniquement, préoccupations concernant les capacités informatiques et impossibilité de prendre en compte l’expérience client / utilisateur (CX / UX). Vous pouvez atténuer tous ce problèmes en mettant à jour votre système de gouvernance. Celui-ci mettra l’accent sur la valeur résultant de la génération de bénéfices tout en optimisant les risques et les ressources. C’est la définition de la création de valeur que vous retrouvez dans COBIT 2019.
Examinons votre système de gouvernance
Il est indispensable de commencer par examiner comment votre système de gouvernance prend en compte les informations et la technologie d’entreprise.
Les entreprises dites numériques dépendent de plus en plus de l’Information et des technologies (I & T) pour leur survie et leur croissance. Compte tenu de l’importance de l’I & T pour permettre à l’entreprise d’atteindre ses objectifs, la gouvernance de l’information et de la technologie de l’entreprise (EGIT) doit faire partie intégrante de tout cadre de gouvernance. Reportons-nous à la dernière version du cadre COBIT, COBIT 2019. Un système de gouvernance devrait comprendre les composants de gouvernance suivants:
Si vous êtes déjà familier de COBIT 5, vous reconnaîtrez sans doute ces composants comme les facilitateurs (ou « enablers » en anglais). Mais lors de mes formations ou de mes interventions chez les clients, j’ai pu constater que ceux-ci avaient beaucoup de mal à appréhender concrètement comment mettre en oeuvre ces facilitateurs . Ils les jugeaient comme étant trop abstraits. COBIT 2019 met l’accent sur les composants de gouvernance qui obtiennent enfin toute l’attention qu’ils méritent.
Pensez à ces composants comme aux ingrédients d’un système de gouvernance. Il est possible de les traiter indépendamment, mais ils constituent un ensemble d’exigences interconnectées. Cela aide à comprendre pleinement comment les organisations technologiques peuvent atteindre leurs différents objectifs de gouvernance ou de management pour prendre en charge un système de gouvernance. Ces interconnexions complexes entre composants peuvent invalider vos efforts si vous ne comprenez pas leurs connexions et leurs dépendances. Par exemple, si vous apportez un changement majeur à un PROCESSUS, vous devez également examiner les effets sur les autres composants.
Prenons l’exemple, malheureusement vécu, d’un client qui n’avait pas compris le fonctionnement de cet écosystème.
L’existence des politiques
Récemment, j’ai réalisé un audit de la sécurité de l’information pour un organisme d’état. Il s’agissait de faire une évaluation de conformité avec une réglementation internationale. Ma toute première requête concernait l’existence d’une politique de sécurité de l’information au sein de l’organisation. Je découvris qu’il n’en existait pas. Pire, le DSI m’expliqua qu’il ne voyait pas l’intérêt d’une telle politique. Selon lui, une politique ne servait à rien et n’était que du « bla-bla dont le seul objectif consisterait à mettre des contraintes définies par des gens qui ne savent même pas comment on travaille« .
Finalement après un argumentaire détaillé sur la nécessité d’avoir une politique de sécurité pour l’organisation, j’obtins l’accord pour la rédaction de la politique. Immédiatement la direction me demanda de la rédiger moi-même sous le prétexte : « vous pouvez nous le faire, vous avez l’habitude et vous avez bien sûr des modèles que nous pourrons reprendre. Par conséquent on vous achète trois jours d’intervention à cet effet« . Bien entendu, je déclinais en leur expliquant qu’une politique doit s’aligner sur la stratégie de l’organisation et être applicable à tous les niveaux de l’organisation. De plus, rédiger une politique de la sécurité de l’information de façon sérieuse nécessite beaucoup plus que trois journée de conseil. Enfin mon statut d’auditeur m’empêchait d’intervenir comme conseil sur le domaine que je devais auditer. Il fut donc décidé que ce serait le client qui rédigerait politique.
Quelques semaines plus tard, on m’appela pour m’indiquer que la politique de sécurité était maintenant disponible. C’est un cabinet local mandaté à cet effet qui l’avait rédigée. Je pouvais donc désormais l’auditer. La structure du document était plutôt bonne mais le document ne résistait pas à une évaluation un peu plus fine. A l’évidence, ce n’était qu’une copie d’un document-type, récupéré sur internet et vaguement adapté à l’organisation.
Chaque politique est un élément d’un puzzle et doit donc prendre en compte les autres composants
Je mis donc en évidence trois gros problèmes au niveau des conséquences de l’application de cette politique :
- La politique n’était pas alignée sur les principes de l’organisation. Ceux-ci n’étaient d’ailleurs pas connus au sein du personnel si ce n’est l’obligation de réserve des fonctionnaires qui semblait être le leitmotiv.
- Le cabinet de conseil avait rédigé la politique de façon isolée sans se préoccuper des autres politiques existant dans l’organisme et notamment de la politique de gestion des risques d’entreprise. Et donc, il n’y avait aucune prise en compte des interactions entre ces politiques.
- La direction voulait absolument que cette politique de sécurité entre en application dans les 30 prochains jours. Mais, dans ce cas plus de 70% de l’organisme ne serait pas en conformité avec la politique.
Aussi, tout en donnant un feed-back positif sur la structure de la politique de sécurité, je dus apporter des nouvelles très désagréables quant à l’absence d’alignement sur l’organisation et le fait que cette politique ne prenait pas en compte les autres politiques existantes dans le cadre d’une gouvernance globale de l’organisation. Vous l’imaginez, mes conclusions reçurent un accueil très défavorable de la part de la direction de l’organisation.
L’objectif de cet article n’est pas de vous donner des recettes sur la façon d’écrire vos politiques dans le détail. Il s’agit plutôt de vous expliquer quelques bonnes pratiques pour intégrer vos politiques dans le contexte général d’une gouvernance d’entreprise plus large.
Les politiques sont essentielles au système de gouvernance
La politique est un élément de gouvernance très important dans les environnements à évolution rapide d’aujourd’hui qu’on qualifie volontiers d’agiles. Trop d’organisations ne respectent plus leurs politiques lorsqu’elles adoptent une posture numérique agressive. Cela crée plus de confusions et de vulnérabilités que nécessaire. La compréhension des politiques implique de nombreux éléments, décrits ci-dessous.
Quelques définitions
L’entreprise doit énoncer ses principes. Un principe est une expression claire des valeurs fondamentales de l’entreprise. Les principes devraient être limités en nombre et exprimés dans un langage simple. Ils ont une influence sur les politiques et sont dictés par la culture, les lois et règlementations, les normes et, plus important encore, les valeurs et la vision de l’entreprise.
Les principes sont mis en oeuvre grâce aux politiques. Une politique est une déclaration de principe qui soutient la réalisation des objectifs de l’entreprise. Les politiques sont les mécanismes de communication permettant de transmettre les directives et les instructions du conseil d’administration et de la haute direction. Elles sont au cœur des systèmes de gouvernance d’entreprise. Elles guident les principes organisationnels ou les exigences qui définissent le ton de la direction et peuvent être appliquées à toute une organisation, à un département ou à un domaine spécifique.
Enfin la mise en oeuvre détaillée des politiques nécessite des procédures indiquant ce qui est attendu de chacun dans l’entreprise. Une procédure prend en charge les politiques grâce à des activités plus détaillées. Les procédures doivent avoir une orientation interne et peuvent relier des fonctions et des processus associés. Considérez les procédures comme un moyen bien établi d’atteindre le résultat spécifié d’une politique. Cela peut se faire par l’utilisation de processus, de pratiques et d’activités.
Vous retrouverez toutes ces définitions et bien d’autres dans mon précédent article COBIT 2019 – Guide de A à Z. Maintenant que nous avons passé en revue quelques définitions de base, il est temps de réfléchir à la manière dont vous pouvez établir ou réviser vos politiques pour vous assurer qu’elles ne sont pas laissées pour compte.
Etape 1 : Comprendre l’écosystème de vos politiques
Ma quête de directives sur le système de management a commencé il y a quelques années. Je réalisais alors une évaluation d’aptitude d’un processus COBIT pour un client. Ma mission consistait à évaluer la maturité de leur cadre de management.. Or cette organisation était une entreprise en phase de croissance agressive qui finançait activement un effort de transformation numérique. Elle voulait donc s’assurer que son cadre de gouvernance, plus particulièrement la composante de management des politiques, était en phase avec ses efforts de modernisation. J’ai cherché partout, mais COBIT était le seul référentiel offrant des indications de fond à ce niveau. Bien sûr, il existe de nombreux articles et livres blancs sur les choses à faire, à ne pas faire et sur les bonnes pratiques, mais rien de vraiment solide.
Ainsi, sur la base de mes expériences et recherches antérieures, ma première tâche a été de déterminer ce que j’appelle les strates de l’écosysteme de management, comme illustré ci-dessous:
Ces strates aident à comprendre où se situent les politiques dans une perspective plus large. Votre organisation peut cependant voir les choses différemment. Je vous conseille alors de bien comprendre la terminologie utilisée dans votre environnement spécifique. Votre écosystème pourrait ainsi être complètement différent du mien.
Étape 2, comprendre les pratiques et activités clés
Ma deuxième tâche consistait ensuite à déterminer COMMENT j’allais mettre en place les pratiques et les activités dans un cadre de management politique pour l’analyser et en évaluer la maturité. J’ai donc décidé de définir ma propre approche en utilisant le format COBIT. Et comme vous pouvez le voir ci-dessous, nous avons des pratiques clés soutenues par des activités. Je les ai utilisées comme base pour mon évaluation. Vous pourriez les considérer comme des objectifs de contrôle. Bien entendu, cette liste n’est pas exhaustive. Elle permet cependant de comprendre la démarche et les tâches à accomplir. Je ne parlerai pas ici de système de management. En effet, même s’il s’agit bien de cela, on associe souvent le terme système de management aux normes ISO. Or ici il n’est aucunement question de norme ISO. Aussi je préfèrerai donc le terme générique de « cadre de management politique ».
Pratique 1 : Un cadre de management politique est documenté, approuvé et imposé
| a | Le cadre de management politique inclut les dépendances et les inter-relations avec toutes les autres politiques de l’entreprise. |
| b | Des indicateurs de performance clés (KPIs) sont créés pour la gestion de chaque politique et sont suivis, surveillés, communiqués sous forme de rapports et des actions sont prises en conséquence. |
| c | Le cadre de management politique inclut un système central unique de stockage qui sera considéré comme faisant autorité pour toutes les politiques et les procédures de l’entreprise. |
| d | Le cadre de management politique inclut un mécanisme pour surveiller les facteurs internes et externes qui peuvent nécessiter des modification au cadre de management politique. |
| e | Le cadre de management politique agrège et réconcilie la conformité avec les multiples réglementations et exigences, les politiques qui en résultent et les processus qui permettent de les surveiller et de les contrôler |
Pratique 2 : Un système de management du cycle de vie de la politique est approuvé et reconnu
| a | Les processus pour la préparation, l’approbation, la mise en oeuvre, la surveillance continue et le retrait des politiques sont définis et appliqués. |
| b | Les politiques sont développées en concertation avec les parties prenantes, de préférence en co-création. |
| c | La propriété de chaque politique doit être clairement identifiée et son administration devrait être réalisée de façon collaborative. |
| d | Les changement et les modifications aux politiques sont soumis à l’approbation par le processus de gouvernance de l’entreprise. |
Pratique 3 : Les politiques sont communiquées et distribuées à toutes les parties prenantes
| a | Les politiques sont publiées et communiquées à toutes les parties prenantes concernées, y compris aux employés et aux partenaires d’affaires dont elles gouvernent les actions. |
| b | Une sensibilisation et une formation à chaque politique doit être menée. |
| c | Il y a un processus établi pour communiquer les changements aux parties prenantes, aux propriétaires et aux praticiens concernés. |
Pratique 4 : Les politiques sont surveillées, imposées et maintenues
| a | Le cadre de management politique assure que la vérification et la validation de la formation des parties prenantes ainsi que leur compréhension sont intégrées à la gestion de la politique. |
| b | Les organisations doivent évaluer le niveau de non-conformité par rapport à chaque politique pour déterminer si la politique correspondante devrait être modifiée ou laissée en place sans notification. |
| c | La conformité est surveillée et les violations sont investiguées. Les actions nécessaires sont réalisées, mises en oeuvre et suivies. |
Pratique 5 : La technologie permet de supporter le cadre de management des politiques
| a | Une plateforme technologique commune est utilisée pour consolider toutes les politiques et les procédures de l’entreprise, en vigueur dans les différents départements. |
| b | Seules les versions les plus récentes de toutes les politiques et procédures approuvées doivent être stockées et gérées dans un répertoire centralisé. |
| c | Les politiques et procédures de l’entreprise doivent être facilement accessibles pour les parties prenantes, propriétaires et praticiens concernés. |
Pratique 6 : Chaque politique doit satisfaire des critères de bonne pratique
| a | Chaque politique doit comporter un énoncé de son objet, de son propriétaire et de son gestionnaire. |
| b | Les politiques doivent être clairement alignées à un principe ou un comportement souhaité au sein de l’organisation. |
| c | Les politiques doivent fournir des références aux lois spécifiques, aux réglementations et aux normes qu’elles sont destinées à supporter. |
| d | Les politiques sont liées à l’appétit du risque de l’entreprise et aux contrôles internes. |
| e | Les politiques doivent inclure leur périmètre, leur validité et une date effective de conformité à partir de laquelle l’observance sera surveillée et imposée. |
| f | Les politiques doivent comporter la mention des conséquences en cas de non-respect de la conformité. |
| g | Les politiques doivent inclure des procédures d’escalade pour gérer les exceptions. |
| h | Les politiques sont revues et approuvées sur des bases cohérentes et mises à jour si nécessaire. |
| i | Les parties prenantes internes et externes sont clairement identifiées. |
| j | Les politiques doivent être efficaces, c’est à dire atteindre l’objectif spécifié. |
| k | Les politiques doivent être efficientes. Elles doivent assurer que les principes qu’elles supportent sont mis en oeuvre de la façon la plus efficiente (c’est à dire en économisant les ressources nécessaires). |
Bien que les pratiques et les activités identifiées ci-dessus puissent nécessiter une mise à jour ou une consolidation, elles constituent un bon point de départ pour déterminer les exigences de votre environnement de stratégie et ne dépendent pas de la taille ni du type d’organisation. Il s’agit là du premier ensemble d’objectifs de contrôle accessibles au public pour l’assurance des politiques dans notre secteur d’aujourd’hui. C’est donc un travail, basé sur COBIT 2019, en cours et pleine évolution.
Étape 3, Déterminer une approche cohérente pour mesurer et évaluer la maturité basée sur COBIT 2019
Il y a actuellement beaucoup de confusion au sujet des modèles de maturité et d’aptitude. Aussi, au moment d’écrire ces lignes, je n’ai pas trouvé de ressource définitive pour aider à évaluer le niveau de maturité d’un cadre de management politique.
L’étape suivante consiste à créer un modèle de maturité pour ce composant de stratégie. En effet, mes clients me demandent régulièrement une évaluation de la maturité de leur cadre de management politique. J’ai ainsi choisi de m’appuyer sur CMMI, utilisé dans COBIT 2019 pour évaluer la performance. Restez donc à l’écoute, ce sera le sujet d’un futur article de ce blog toujours autour de COBIT 2019
Conclusion
Le contenu de cet article correspond au cadre de politique associé à la gouvernance de l’entreprise concernant les informations et la technologie de l’entreprise, et non à l’ensemble de l’organisation. Et ce que vous venez de lire, c’est ce que je crois être le premier ensemble d’objectifs de contrôle potentiels pour les cadres politiques.
Si vous voulez en savoir plus, je vous invite à suivre une formation COBIT Foundation ( ou COBIT Bridge si vous connaissez déjà COBIT 5) suivie d’une formation COBIT Design & Implementation.
Bien sûr, si cet article vous a intéressé et si vous voulez apporter votre propre expérience, n’hésitez pas à mettre un petit commentaire. Vous pouvez aussi nous laisser un « like » ou nous suivre sur les réseaux sociaux. Vous souhaitez recevoir en temps réel une notification de la parution de nos nouveaux articles? Alors nous vous invitons également à vous inscrire gratuitement à notre blog.