Une cinquantaine d'entreprises a participé à une consultation menée par le cabinet Crowe Horwath sur les enjeux de la transformation numérique face aux risques numériques. Cette étude a été réalisée à l'initiative de trois associations : le Cigref, l'AFAI et l'IFACI. Le Guide d'Audit de la Gouvernance des Systèmes d'Information, publié en 2011 par ces trois associations, a servi de point de départ. Même s'ils sont en général associés à la conception des transformations numériques de l'entreprise, les répondants, DSI et RSSI, admettent volontiers se retrouver souvent face au problème des budgets pour mener une politique de sécurité adéquate.

Mais ce n'est pas le seul écueil rencontré, bien sûr. La culture du risque, sans même parler de cyber-risques, est, par exemple, très sous-développée dans les entreprises, compliquant la tâche des gestionnaires de ces risques ou des responsables sécurité. Les interactions entre les fonctions SI et gestion des risques sont malheureusement peu fréquentes (rarement mensuelles, plus souvent trimestrielles, majoritairement plus rares encore). A l'inverse, le shadow IT semble relativement sous contrôle.

Le schéma directeur préféré aux référentiels de bonnes pratiques

Les consultants en tous genres seront sans doute très tristes d'apprendre que les DSI connaissent plus ou moins quelques référentiels de bonnes pratiques (ITIL, COBIT...) mais que cela n'implique pas qu'ils les mettent en oeuvre. Ni qu'ils souhaitent ou envisagent de le faire. Cependant, ces référentiels, par leur nature de document de référence, peuvent faciliter la gestion du changement qui, elle, préoccupe les DSI.

A l'inverse, l'antique Schéma Directeur, par son côté formaliste, permet de fixer une stratégie moyen-terme voire long-terme. Il reste, de ce fait, « le point d'ancrage de la stratégie numérique », validé en général par le comité de direction. La gestion des risques est majoritairement intégrée dans la gestion de projet. Elle est bien sûr d'autant plus fréquente et suivie par le comité de direction que le projet est critique.