L'IT gouvernance a évolué, tout comme le contrôle informatique, avec la loi Sarbanes-Oxley, née en 2002 dans la lignée du scandale d'Enron. Avec des équivalents juridiques européens, qui se traduisent par des exigences accrues pour les DSI.
De nouvelles obligations et best practices pour les DSI
En la matière, les scandales financiers (Enron, WorldCom...) ont amené une révision générale de la législation des Etats-Unis sur le droit des sociétés, avec la loi Sarbanes-Oxley, et ses équivalents européens, qui ont créé de nouvelles obligations. La loi Sarbanes-Oxley rend pénalement responsable le patron de l'entreprise, et impose aux entreprises cotées en Bourse de New York un contrôle renforcé des processus financiers des entreprises, et donc des processus informatiques. Ces lois ont favorisé l'adoption du référentiel COSO (Committe of Sponsoring organizations of the tradeway commissions), avec une déclinaison sur les systèmes d'information, par l'adoption des référentiels COBIT, CMMI-ITIL et ISO 27001. En France, la loi de sécurité financière de 2003 représente l'équivalent de la loi SOX pour les sociétés cotées en Bourse.
La norme ISO 2001 propose ainsi un modèle définissant un des caractéristiques de la qualité.
Ainsi, les best practices sont des principes-clés destinés à instaurer une bonne gouvernance informatique du logiciel, soit 6 caractéristiques statiques internes et externes, et 4 caractéristiques du logiciel pendant son utilisation.
Dans les détails, ces normes portent sur la qualité des organisations (norme ISO 9001), le management stratégique des organisations (norme BSC), le management de projet, avec des normes plus métiers (CMMI, Prince 2, PMBOK, ISO 15504, ISO 25000), le management de SI (ITL, eSCM-CL, TOGAF, SOA), management des RH (P-CMM), et finances/reporting (ABC/ABM/ABB). « Les normes ISO, de l'organisation internationale de normalisation créée en 1947, sont des bonnes pratiques reconnues au niveau international, par les 156 pays adhérents », rappelle Henri Puissant. Mais, effet pervers de ces nombreuses normes, « elles sont intégrées dans les référentiels. Mais dès qu'ils ont du succès, ces référentiels deviennent plus compliqués et se mordent dessus, devenant concurrents », remarque Henri Puissant.