L’Afai-Isaca (Association française de l’audit et du conseil informatiques), le Cigref et l’Ifaci (Institut français de l’audit et du contrôle interne) ont publié la version 2019 de leur guide de la gouvernance du système d’information. En intégrant la composante numérique.
Le guide d’audit de la gouvernance du système d’information de l’entreprise numérique est le résultat de travaux basés sur le savoir-faire d’une trentaine d’experts du sujet (DSI, auditeurs, informaticiens et consultants).
« En 2011, on commençait tout juste à parler de numérique, huit ans après, c’était une évidence de réaliser une nouvelle version pour intégrer les impacts du numérique sur la gouvernance. Car tout est nouveau : les modèles d’affaires, les services, les clients, les compétences, les données, les risques… Et il y a l’obligation d’agilité », souligne Régis Delayat, directeur de Cogitanda, ex-DSI de Scor, administrateur de l’Afai.
Le guide découpe l’analyse de la gouvernance SI en douze vecteurs :
- La stratégie : intégrer les enjeux numériques dans le plan stratégique de l’entreprise.
- L’innovation : diffuser la culture numérique et promouvoir les technologies innovantes.
- Les risques : prendre en compte les risques numériques. (technologiques et cyber) dans les enjeux stratégiques et les processus métiers.
- Les données : gérer, valoriser et protéger les données de l’entreprise.
- L’architecture : aligner l’architecture du SI avec les enjeux stratégiques.
- Le portefeuille de projets : optimiser la valeur du patrimoine SI et gérer ses évolutions.
- Les projets : maîtriser la réalisation des projets et solutions.
- Les ressources humaines : organiser et manager les talents et les compétences.
- Les prestataires et fournisseurs : piloter les relations avec les fournisseurs des solutions et services numériques.
- Les services : fournir des services numériques conformes aux attentes client.
- Le budget et la performance : piloter le budget et la performance du SI.
- Le marketing et la communication : valoriser les services et communiquer sur les enjeux technologiques et en situation de crise.
| Rôles et mandats des DSI | ||
| Rôle de la DSI | Domaines | Mandats de la DSI |
| Fournisseur de services | Run | Excellence opérationnelle |
| Partenaire métiers | Build | Achèvement des projets dans les délais et les budgets |
| Stratège | Stratégie | Elaboration de la stratégie d’évolution du SI |
| Source : Afai, Cigref, Ifaci. | ||
Chaque vecteur est organisé selon quatre composantes : les enjeux pour l’entreprise, les menaces, les facteurs de risques associés et les bonnes pratiques. « Pour les douze vecteurs, nous avons associé 68 bonnes pratiques, 328 critères d’évaluation et 443 commentaires d’aide », précise Patrick Geai, ancien responsable de l’audit IT à La Poste et administrateur de l’Afai-Isaca. « Ce n’est pas un guide pour aujourd’hui mais pour les années à venir », insiste Yohann Vermeren, associé KPMG.
Pour Jean-Louis Leignel, associé de Upsie-Advisory et administrateur de l’Afai-ISaca, « la gouvernance du numérique n’est pas une affaire d’informatique, mais d’entreprise, et donc de l’ensemble du management. Le guide est un outil commun, avec un langage commun qui se différencie donc des référentiels plus techniques tels que Cobit, Itil, Togaf ou Cmmi. Autrement dit, c’est un référentiel managérial à vocation universelle. »
Dans le prolongement de cette version 2019, il est prévu d’élaborer une grille d’évaluation de la maturité, sur une échelle de 1 à 5, éventuellement pour pratiquer une auto-évaluation, afin de définir des plans d’améliorations priorisées.
| Entreprise numérique et système d’information : les neuf évolutions majeures | |
| Évolution de l’entreprise | Évolution du système d’information |
| Intégration des technologies de transformation des modèles d’affaires et amélioration de l’efficacité opérationnelle | Le SI devient cœur de métier et acteur de l’offre de l’entreprise |
| Différenciation par l’offre de services aux clients et par une relation personnalisée | Développement inéluctable du cloud, impératifs d’architecture et d’intégration |
| Contraction du temps et des distances : agilité à l’échelle et mobilité | Exigences de mobilité et d’accessibilité permanentes |
| Évolutions culturelles : collaboration, de la propriété à l’usage | Production robuste (Core) et solutions agiles (Fast) |
| Révolution de l’information : la donnée est un nouvel actif et source de valeur | Exploitation et protection optimales des données |
| Évolution de l’organisation : profils innovants et acculturation des équipes au numérique | Recrutement de nouveaux profils innovants |
| Partenariats multiples et interactions automatisées / optimisées au sein de l’écosystème | Appropriation du SI par les métiers et redéfinition des rôles entre les métiers et la DSI |
| Innovation ouverte et nouvelles approches de Test & Learn | Projets plus nombreux et complexes |
| Risques exacerbés et poids des réglementations | Renforcement de la sécurité du contrôle interne et de la conformité |
| Source : Régis Delayat, Cogitanda. | |
Sylvain Bizouard, directeur de l’audit interne IT d’AXA France : challenger les pratiques existantes
«C’est un outil facile à mettre en œuvre, pour au moins trois raisons. D’abord, la structure des douze vecteurs est alignée avec le découpage des grandes fonctions de l’entreprise et permet ainsi de cibler rapidement les risques et les processus à auditer. Ensuite, l’approche par les bonnes pratiques, avec plusieurs niveaux de maturité, présente le double avantage de fournir un cadre pour évaluer la maîtrise des risques, tout en donnant des pistes d’amélioration concrètes. Enfin, la mise à jour 2019 apporte des clés pour challenger les pratiques existantes au regard de la transformation numérique en cours. Concrètement, le guide sera utilisé à trois niveaux. Un premier usage sera d’identifier les risques (via les douze vecteurs proposés) et les moyens de contrôle associés (via les bonnes pratiques de chaque vecteur). Deuxième utilisation, en support des entretiens avec les audités, pour challenger les pratiques existantes et identifier les déficiences de contrôle. Troisième type d’utilisation : proposer des pistes d’amélioration de la maîtrise des risques en s’appuyant sur les bonnes pratiques. »
Marie-Noëlle Quiot, contrôleuse générale des Armées : mieux comprendre les risques liés aux SI
«Le ministère des Armées a défini six axes socles dans le cadre de la stratégie numérique : déployer les nouvelles technologies, organiser l’innovation numérique, maîtriser l’ouverture des données pour les valoriser, développer l’acculturation et les compétences, rénover le système d’information et développer la veille technologique. Le guide de gouvernance est un outil opérationnel qui est utilisé pour trois populations. D’abord, les équipes spécialisées en audit des systèmes d’information, comme base de travail de la préparation du plan de mission jusque dans la conduite des missions d’audit. Ensuite, pour former les jeunes contrôleurs et les sensibiliser aux enjeux et aux risques portés par le système d’information. Enfin, pour l’ensemble des contrôleurs, afin de donner des clés de compréhension des risques liés aux systèmes d’information, quelle que soit la mission à réaliser (un programme d’armement, une fonction, un organisme…). Et on peut utiliser ce guide au niveau interministériel. »
Sabine Guillaume, DSI de Métropole Européenne de Lille : un outil pour améliorer la performance de la DSI
«La DSI est actrice de la constellation numérique qui transforme la collectivité locale. Elle doit orchestrer le changement. Nous n’avons pas d’auditeur interne, donc la DSI doit se structurer par elle-même pour mieux servir ses utilisateurs (métiers, partenaires, citoyens). Le guide d’audit de la gouvernance du SI sera utilisé comme outil pour mieux asseoir ses processus internes sous le pilotage de l’équipe gouvernance qui regroupe, outre la direction, les PMO, l’urbaniste et l’analyste. Le guide est un outil pédagogique, il doit aider à améliorer la performance du SI. Le guide va être utilisé dans quatre domaines : la veille technologique pour améliorer les démarches de la DSI et des autres acteurs de la DSI, il structurera la démarche pour l’élaboration d’un référentiel de données, l’organisation de la mission d’un urbaniste, en particulier pour les actions de décommissionnement, de gestion du Shadow IT et de choix de cloud. Dans le domaine du marketing et de l’innovation, le guide permet de disposer d’une grille d’analyse des actions de la DSI. »