L'IT gouvernance a évolué, tout comme le contrôle informatique, avec la loi Sarbanes-Oxley, née en 2002 dans la lignée du scandale d'Enron. Avec des équivalents juridiques européens, qui se traduisent par des exigences accrues pour les DSI.

Le contrôle de l'informatique était précisément au coeur de scandales financiers récents, tels que l'affaire Enron, ou plus récemment, l'affaire Kerviel. C'est dire à quel point le rôle du directeur des systèmes informatiques est central en entreprise, avec son lot d'obligations, de nouvelles best practices, qui évoluent au gré des nouvelles réglementations.
Le cabinet de formation aux nouvelles technologies informatiques Orsys en proposait précisément un large aperçu, lors d'un séminaire organisé le 17 juin dernier.

De façon générale, l'IT-Gouvernance, déclinaison de la gouvernance d'entreprise, désigne « les règles, les dispositions organisationnelles (entités, procédures), des comportements qui définissent la façon dont les pouvoirs sont exercés à propos du management du système de l'information », rappelle Henri Puissant, informaticien et consultant. On distingue deux courants de pensée en matière de gouvernance : la tendance shareholders, qui veut garantir les intérêts des actionnaires, et s'arrête à des problèmes financiers ; et la tendance stakeholders, qui étend cette garantie à l'ensemble des parties prenantes, en prenant en compte notamment le développement durable. Selon le Cobit, édité par l'ISACA (Information system audit and control association), la gouvernance d'informatique relève, en toute logique, de la responsabilité des directeurs et administrateurs de l'entreprise.

Les syndromes du DSI

Dans les faits, quelles sont les pratiques des DSI en matière d'IT-Governance ? Ils sont régulièrement confrontés à plusieurs problèmes de management. Le plus fréquent d'entre eux le « syndrome du Moth », comme le surnomme Henri Puissant. « C'est un véritable problème dans les directions de systèmes informatiques : on fait projet sur projet, et on finit par se casser la figure », résume-t-il. De fait, d'après le Standish Group International Inc., pour 2004, seuls 29% des projets furent des succès, alors que 53% furent des échecs, soit livrés en retard avec dépassement de budget ou fonctionnalités inférieures aux demandes, et 18% des échecs, arrêtés avant même leur finalisation. Autre erreur fréquente, celle du « syndrome du dinosaure » : lors du lancement d'un nouveau système, après avoir la phase d'enthousiasme, arrive le risque d'abandon, qui coïncide avec la décision d'adoption - ou pas, le risque étant qu'il n'y ait alors « plus personne pour entretenir le système ». Autre piège, le « syndrome de l'hyper-agilité », qui consiste à vouloir tout faire tout de suite : les projets potentiels se multiplient, et on oublie d'en faire le tri.

Les DSI ont un rôle-clé en matière de contrôle de l'informatique. Dans les faits, les SI interagissent avec d'autres systèmes complexes, et « deviennent architectes de composants qu'ils n'ont pas créés, par contrats de sous-traitants », souligne Henri Puissant.
Autre élément récent, l'organisation devient encore plus complexe pour le DSI d'un groupe avec ses filiales. « La vision simpliste de la DSI est celle d'une information centralisée au service de l'entreprise, les établissements disposant de leur propre DSI. En fait, on a de multiples centres de direction, avec des prises de position un peu partout. Le DSI devient alors essentiellement coordinateur et négociateur, et beaucoup moins u opérationnel », décrypte Henri Puissant. Actuellement, le DSI est moins en entreprise pour écrire des programmes qu'en tant que noeud de coordination, de contrats passés avec chacune des parties prenantes du SI.
Et face aux risques associés aux technologies de l'information, les audits se multiplient.

De nouvelles obligations et best practices pour les DSI

. Web-profils.com, la place de marché du conseil et de l'ingénierie