Management

DSI : les best practices recommandées au niveau international

L'IT gouvernance a évolué, tout comme le contrôle informatique, avec la loi Sarbanes-Oxley, née en 2002 dans la lignée du scandale d'Enron. Avec des équivalents juridiques européens, qui se traduisent par des exigences accrues pour les DSI.

PublicitéLe contrôle de l'informatique était précisément au coeur de scandales financiers récents, tels que l'affaire Enron, ou plus récemment, l'affaire Kerviel. C'est dire à quel point le rôle du directeur des systèmes informatiques est central en entreprise, avec son lot d'obligations, de nouvelles best practices, qui évoluent au gré des nouvelles réglementations. Le cabinet de formation aux nouvelles technologies informatiques Orsys en proposait précisément un large aperçu, lors d'un séminaire organisé le 17 juin dernier. De façon générale, l'IT-Gouvernance, déclinaison de la gouvernance d'entreprise, désigne « les règles, les dispositions organisationnelles (entités, procédures), des comportements qui définissent la façon dont les pouvoirs sont exercés à propos du management du système de l'information », rappelle Henri Puissant, informaticien et consultant. On distingue deux courants de pensée en matière de gouvernance : la tendance shareholders, qui veut garantir les intérêts des actionnaires, et s'arrête à des problèmes financiers ; et la tendance stakeholders, qui étend cette garantie à l'ensemble des parties prenantes, en prenant en compte notamment le développement durable. Selon le Cobit, édité par l'ISACA (Information system audit and control association), la gouvernance d'informatique relève, en toute logique, de la responsabilité des directeurs et administrateurs de l'entreprise. Les syndromes du DSI Dans les faits, quelles sont les pratiques des DSI en matière d'IT-Governance ? Ils sont régulièrement confrontés à plusieurs problèmes de management. Le plus fréquent d'entre eux le « syndrome du Moth », comme le surnomme Henri Puissant. « C'est un véritable problème dans les directions de systèmes informatiques : on fait projet sur projet, et on finit par se casser la figure », résume-t-il. De fait, d'après le Standish Group International Inc., pour 2004, seuls 29% des projets furent des succès, alors que 53% furent des échecs, soit livrés en retard avec dépassement de budget ou fonctionnalités inférieures aux demandes, et 18% des échecs, arrêtés avant même leur finalisation. Autre erreur fréquente, celle du « syndrome du dinosaure » : lors du lancement d'un nouveau système, après avoir la phase d'enthousiasme, arrive le risque d'abandon, qui coïncide avec la décision d'adoption - ou pas, le risque étant qu'il n'y ait alors « plus personne pour entretenir le système ». Autre piège, le « syndrome de l'hyper-agilité », qui consiste à vouloir tout faire tout de suite : les projets potentiels se multiplient, et on oublie d'en faire le tri. Les DSI ont un rôle-clé en matière de contrôle de l'informatique. Dans les faits, les SI interagissent avec d'autres systèmes complexes, et « deviennent architectes de composants qu'ils n'ont pas créés, par contrats de sous-traitants », souligne Henri Puissant. Autre élément récent, l'organisation devient encore plus complexe pour le DSI d'un groupe avec ses filiales. « La vision simpliste de la DSI est celle d'une information centralisée au service de l'entreprise, les établissements disposant de leur propre DSI. En fait, on a de multiples centres de direction, avec des prises de position un peu partout. Le DSI devient alors essentiellement coordinateur et négociateur, et beaucoup moins u opérationnel », décrypte Henri Puissant. Actuellement, le DSI est moins en entreprise pour écrire des programmes qu'en tant que noeud de coordination, de contrats passés avec chacune des parties prenantes du SI. Et face aux risques associés aux technologies de l'information, les audits se multiplient. De nouvelles obligations et best practices pour les DSI De nouvelles obligations et best practices pour les DSI En la matière, les scandales financiers (Enron, WorldCom...) ont amené une révision générale de la législation des Etats-Unis sur le droit des sociétés, avec la loi Sarbanes-Oxley, et ses équivalents européens, qui ont créé de nouvelles obligations. La loi Sarbanes-Oxley rend pénalement responsable le patron de l'entreprise, et impose aux entreprises cotées en Bourse de New York un contrôle renforcé des processus financiers des entreprises, et donc des processus informatiques. Ces lois ont favorisé l'adoption du référentiel COSO (Committe of Sponsoring organizations of the tradeway commissions), avec une déclinaison sur les systèmes d'information, par l'adoption des référentiels COBIT, CMMI-ITIL et ISO 27001. En France, la loi de sécurité financière de 2003 représente l'équivalent de la loi SOX pour les sociétés cotées en Bourse. La norme ISO 2001 propose ainsi un modèle définissant un des caractéristiques de la qualité. Ainsi, les best practices sont des principes-clés destinés à instaurer une bonne gouvernance informatique du logiciel, soit 6 caractéristiques statiques internes et externes, et 4 caractéristiques du logiciel pendant son utilisation. Dans les détails, ces normes portent sur la qualité des organisations (norme ISO 9001), le management stratégique des organisations (norme BSC), le management de projet, avec des normes plus métiers (CMMI, Prince 2, PMBOK, ISO 15504, ISO 25000), le management de SI (ITL, eSCM-CL, TOGAF, SOA), management des RH (P-CMM), et finances/reporting (ABC/ABM/ABB). « Les normes ISO, de l'organisation internationale de normalisation créée en 1947, sont des bonnes pratiques reconnues au niveau international, par les 156 pays adhérents », rappelle Henri Puissant. Mais, effet pervers de ces nombreuses normes, « elles sont intégrées dans les référentiels. Mais dès qu'ils ont du succès, ces référentiels deviennent plus compliqués et se mordent dessus, devenant concurrents », remarque Henri Puissant.