Tribunes

La Gouvernance de l'entreprise instaure le contrôle pour la Confiance

PublicitéUn enjeu stratégique La gouvernance des systèmes d'information est un processus d'anticipation et d'évolution. Cette cible englobe la création de valeur, la gestion des risques, l'évolution des processus Métiers et le management des systèmes d'information, la classification de l'information, l'industrialisation des services, la politique de développement, l'engagement des acteurs, etc. La Gouvernance du SI est un processus de management, fondé sur des bonnes pratiques, qui permet à l'entreprise d'optimiser ses investissements informatiques dans le but de :  Contribuer à ses objectifs de création de valeur  Accroître la performance des processus informatiques et leur orientation clients  Maîtriser les aspects financiers du système d'information  Développer les solutions et les compétences du SI  Garantir que les risques liés au système d'information sont sous contrôle Cette création de valeur passe par un pilotage permanent des indicateurs de performance. Au final, un projet de gouvernance apporte un retour sur investissement positif dès la première année d'application et une création de valeur considérable les années suivantes. Cette gouvernance présente de nombreuses similitudes avec le développement du « Risk Management ». En effet, le management des risques traite des risques et des opportunités ayant une incidence sur la création ou la préservation de la valeur. Il se définit comme suit : Le management des risques est un processus mis en oeuvre par le Conseil d'administration, la direction générale, le management et l'ensemble des collaborateurs de l'organisation. Il est pris en compte dans l'élaboration de la stratégie ainsi que dans toutes les activités de l'organisation. Il est conçu pour identifier les événements potentiels susceptibles d'affecter l'organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation. Le véritable enjeu pour l'entreprise, au travers des définitions réside en fait dans sa capacité à mettre en place un processus permettant de garantir la maîtrise des risques. Ce processus doit garantir un niveau de qualité et une méthode d'évaluation rigoureuse afin de satisfaire aux mesures et contrôles indispensables pour répondre aux enjeux formulés. Un enjeu de conformité Depuis les faillites retentissantes des années 2001, les Etats, sans concertation évidente, ont élaboré des lois afin que les entreprises contrôlent mieux leurs activités. Ils leur imposent une transparence sur leur système de contrôle interne. Ces lois s'appellent : · Sarbanes Oxley (SOX) aux USA · Loi de Sécurité Financière (LSF) en France · German Corporate Governance Code en Allemagne · Combined Code au Royaume Uni · Guida alla compilazione della Relazione sulla Corporate Governance en Italie · Etc... Elles imposent aux dirigeants d'entreprises d'inclure dans leur rapport annuel un chapitre sur le contrôle interne et la maîtrise des risques de leurs activités. Ces lois s'appliquent sur l'ensemble des secteurs d'activités, et notamment sur les institutions financières qui sont soumises à des contraintes réglementaires de plus en plus nombreuses et variées (Bâle II, Solvency II, Sarbanes Oxley, Loi de Sécurité Financière...). Elles doivent décider d'investissements et mettre en oeuvre des projets, organisations et systèmes pour s'y conformer. Démontrer la prise en compte de la sécurité informatique dans ses processus et ses métiers devrait pouvoir apporter un avantage décisif pour gagner des marchés dans un environnement concurrentiel difficile. Cet objectif devrait aussi avoir des effets bénéfiques annexes, comme renforcer sa position pour la négociation d'un contrat d'assurance couvrant les risques informatiques, ou encore rassurer des investisseurs. Référentiels pour le processus de contrôle Le processus d'anticipation et d'évolution qui caractérise une gouvernance exige une récurrence dans les opérations de contrôle pour être pertinent. Les référentiels sur lesquels le processus peut se déployer se précisent autour des items suivants : - COBIT pour Control Objectives for Information and Related Technology (Gouvernance, contrôle et audit de l'information et des technologies associées). Le COBIT est un référentiel pour la gouvernance des Technologies de l'Information avec un objectif de contrôle et d'audit vis à vis de l'impact de l'utilisation de ces technologies dans l'entreprise et des risques qui y sont liés - ITIL guides de bonnes pratiques pour la gestion des services informatiques (internes et externes). Il est axé sur le service à rendre et sur sa disponibilité pour l'utilisateur. Il vise à faciliter l'atteinte d'objectifs qualité mesurés tout en maîtrisant les coûts par l'organisation et l'optimisation des services. - ISO27000 : Série de normes dédiées à la sécurité de l'information o ISO/CEI 27001 information security management system (ISMS) en remplacement de BS7799 o ISO 27002 nouveau numéro potentiel de la norme ISO 17799 o ISO 27004 Numéro désigné pour une nouvelle norme qui couvrira la gestion, la mesure et la métrique de la sécurité de l'information Reprenons les différents référentiels afin de préciser leur périmètre d'application :  COBIT (Objectifs de Contrôle de l'Information et des Technologies associées) est à la fois un modèle de gouvernance des TI, un modèle de maturité ainsi qu'un référentiel de contrôle. L'objet de COBIT est de s'assurer que les ressources technologiques sont en ligne avec objectifs fondamentaux de l'entreprise afin que les services et l'information fournis satisfassent aux besoins de qualité, de sécurité et aux impératifs fiduciaires. COBIT peut être utilisé par le management de l'entreprise aussi bien que par le management des TI. Les processus et les objectifs de contrôle de COBIT se répartissent en quatre domaines : - Planification et Organisation (PO) - Acquisition et Mise en Place (AMP) - Distribution et Support (DS) - Surveillance (S)  ITIL repose sur la définition de processus de bonnes pratiques dans le domaine de la distribution et du support de services informatiques plutôt que sur celle d'un cadre de référence de contrôle avec une couverture plus large. COBIT n'intègre pas les étapes et les tâches à réaliser car c'est un cadre de référence de contrôle plus qu'un référentiel de traitement. COBIT se focalise sur ce que l'entreprise a besoin de faire et non sur la façon dont elle doit le faire. COBIT et ITIL ne s'excluent pas l'un l'autre et peuvent être associés pour former un cadre de référence puissant de gouvernance des TI, de contrôle et de bonnes pratiques de gestion des services informatiques. Les entreprises qui veulent élargir le cadre de contrôle et de gouvernance de leur programme ITIL doivent utiliser COBIT.  La norme ISO 27001, issue de la norme britannique BS 7799-2, concerne les systèmes de management de la sécurité de l'information (SMSI, acronyme plus connu dans sa version anglaise, ISMS). Publiée en 2005, elle est organisée suivant le modèle PDCA (Plan, Do, Check, Act) emprunté au monde de la qualité et permet la mise en place de la certification de la gestion de la sécurité. D'autres normes sont annoncées, notamment l'ISO 27002 (BS 17799 ; 2005) liste de bonnes pratiques en matière de sécurité de l'information. Elle spécifie les exigences et les processus qui permettent à une entreprise d'établir, de mettre en oeuvre, de revoir et de surveiller, de gérer et d'actualiser une sécurité de l'information qui soit efficace. Comme ISO 9001, elle est construite sur le modèle du cycle de processus Planifier-Faire-Vérifier-Agir (PDCA) et sur l'exigence d'une amélioration continue. ISO/CEI 27001:2005 donne le moyen de mettre en oeuvre une gestion efficace de la sécurité de l'information conformément aux objectifs organisationnels et aux exigences économiques. La norme, une spécification fondée sur l'analyse du risque, est conçue pour prendre en charge les aspects de sécurité de l'information du gouvernement d'entreprise, la protection des biens d'information, les obligations légales et contractuelles. Ces différents référentiels peuvent s'appuyer sur le CMMi pour mesurer la maturité des processus en place. Le modèle CMMi définit cinq niveaux de maturité (initial, processus géré, processus défini, processus maîtrisé et optimisation) regroupant chacun un sous-ensemble de processus. A ces processus correspondent des meilleures pratiques que l'entreprise est censée mettre en oeuvre avec succès pour prétendre passer au niveau de maturité suivant. Processus de contrôle interne Le contrôle interne est l'ensemble des sécurités contribuant à la maîtrise de l'entreprise. Il a pour but d'un côté d'assurer la protection, la sauvegarde du patrimoine et la qualité de l'information, de l'autre l'application des instructions de la Direction et de favoriser l'amélioration des performances. Il se manifeste par l'organisation, les méthodes et les procédures de chacune des activités de l'entreprise, pour maintenir la pérennité de celle-ci. Le processus de contrôle interne constitue l'audit de sécurité traduisant que les risques classifiés intolérables par la gouvernance sont maîtrisés par les solutions déployées. La maîtrise des risques opérationnels s'obtient par le déploiement de politiques de sécurité issues d'une volonté de management des risques, et d'une volonté de garantir et de maintenir un contrôle permanent et récurrent. Jusqu'ici, le processus de contrôle du SI était insuffisant ou mal orienté pour répondre aux exigences d'une gouvernance. Le travail consiste à élaborer les points de contrôle en cohérence avec les exigences de la gouvernance. Ces indicateurs s'établissent par une traduction des exigences COBIT par une mise en oeuvre ITIL ou 27001. Cette stratégie doit être relayée et pilotée par les équipes en charge des sécurités. La fonction de pilotage est indispensable pour assurer la mise en oeuvre des exigences déduites de l'analyse des risques afin de garantir les indicateurs et donc les preuves permettant d'apprécier le niveau obtenu. CONCLUSION Cette démarche fournit le cadre pour améliorer les contrôles de sécurité de l'information et leur mise en application, et une meilleure prise de conscience de la sécurité de l'information, ce qui a conduit à un degré supérieur de conformité, et contribue au niveau de confiance de l'information. Sécurité informatique et performance ne sont pas des concepts contradictoires. La mise en oeuvre de solutions de sécurité peut engendrer des économies substantielles ou contribuer à améliorer la productivité de l'entreprise.