Flux RSS
Gouvernance de la DSI
Si vous souhaitez recevoir toute l'information "Mot Clé" de notre feed RSS,
Inscrivez-vous 
358 documents trouvés, affichage des résultats 1 à 10.(24/01/2012 10:55:06)La gestion des risques IT va bien au-delà de la seule sécurité technique. Pourtant, jusqu'à il y a peu de temps, les référentiels de bonnes pratiques se concentraient quasi-exclusivement sur la seule sécurité. L'Isaca, dont le chapitre français est l'Afai (Association française de l'audit et du conseil informatique), a publié un référentiel inspiré de Cobit en 2009, Risk IT. L'AFAI a récemment publié ce référentiel en version française (une centaine de pages) et propose désormais des livrets (comme « Le guide utilisateur Risk IT », 140 pages) et des certifications dans la langue de Molière.
Les normes et référentiels de gestion des risques au sens large sont, de toutes les façons, très récentes : le référentiel de la Fédération Européenne des Associations de Risk Managers (FERMA 2003) ou le COSO ERM (Entreprise Risk Management, 2004) par exemples, suivis des normes ISO 31000 (principes du management du risque) et ISO 31010 (techniques d'évaluation du management du risque). En matière de TIC, la norme de référence, ISO 27000, est centrée sur la seule sécurité.
Risk IT se veut être un référentiel complet intégrant non seulement la sécurité mais aussi le risque projet et le risque d'exploitation. Il repose sur trois piliers : la gouvernance, l'évaluation et le traitement des risques. Chaque pilier se divise en 150 activités.
(...)
(06/01/2012 09:58:37)Fonction clé des projets IT, la maîtrise d'ouvrage est pourtant très faible selon la dernière étude réalisée par les cabinets Feel Europe Groupe et Pierre Audoin Consultants. Ces cabinets rappelent que les rôles de la maîtrise d'ouvrage, selon leur définition, sont d'une part de permettre de traduire les besoins métier en services IT, d'autre part d'indiquer aux métiers les opportunités pouvant être saisies à partir des technologies IT disponibles.
Or ces deux fonctions, selon cette étude, sont appuyées dans 80% des cas par des consultants extérieurs, pourtant normalement moins au fait des métiers de l'entreprise que des collaborateurs internes. Dans presque la moitié des cas, ces consultants sont rattachés à la DSI, dans un tiers au métier concerné et dans le solde à d'autres directions transverses (stratégie, organisation...). Il convient d'être prudent sur les chiffres exacts, l'échantillon étant de très petite taille.
Les consultants externes les plus utilisées sont liés au métier : consultants spécialistes de métier en premier lieu, SSII spécialisées ensuite. La troisième marche du podium est réservée aux grandes SSII qui disposent toutes de départements par métier.
Le périmètre de ce qui est confié à la MOA est assez variable selon (...)
[[page]]
Le périmètre de ce qui est confié à la MOA est assez variable selon les cas. Assez curieusement, la formation n'est que peu confiée à la MOA, au contraire de la gestion du changement, alors que les deux sont normalement deux versants d'un même problème. On note que dans la quasi-totalité des cas, le choix des solutions technique est partagé entre la MOA et les autres fonctions de l'entreprise, ce qui est signe, au contraire, d'une certaine maturité. Alors qu'il existe des systèmes d'information dans les entreprises depuis un demi-siècle, l'étude montre que « la fonction MOA émerge dans les entreprises sans qu'un modèle organisationnel ne prédomine ».
Assez logiquement, deux conséquences de cet état de fait sont tirées. La première est que « la qualité du bilan économique, le niveau d'utilisation du SI et le professionnalisme de la conduite de projet sont les 3 domaines de progression prioritaires ». La seconde, très proche
des conclusions déjà apportées par Daylight dans son baromètre, est que « le renforcement méthodologique est le principal levier pour accroître la performance de la fonction MOA ».
(...)
(23/12/2011 10:31:31)La feuille de route des managers IT est particulièrement chargée à l'aube de la nouvelle année. Il leur faut être agiles et réactifs, maîtriser les risques, résister aux pressions et transformer leur organisation en créant de la valeur au bénéfice des métiers. Autant de missions stratégiques pour lesquelles les expériences publiées dans ce numéro de CIO.pdf pourront constituer une source de réflexion et d'inspiration.
Le premier dossier de ce numéro est consacré à l'agilité des systèmes d'information à l'heure du pragmatisme. Les responsables IT disposent en effet d'une panoplie de solutions lorsqu'il s'agit de créer un système d'information agile. Pour autant, leur mise en oeuvre réclame du pragmatisme et un important investissement dans la transformation de la DSI et de ses méthodes de travail.
Ce dossier comprend les témoignages de : Laurent Rousset (Jardiland), Laurent Sarrazin (Société Générale), Jean-Claude Zeifman (GDF-Suez), Xavier Boileau (Generali), Xuan Phan (Axa Wealth Management), Patrick Dubreil (BCA Expertise), Thomas Chejfec (Aldes).
Un deuxième dossier se penche sur la possibilité de se protéger des risques informatiques. Les risques liés aux système s d'information sont multiples. Chacun doit se sentir impliqué dans la mise en oeuvre des bonnes pratiques même s'il y a peu de chance que votre entreprise passe au travers d'une attaque si des hackers vous ont pris pour cible. On y retrouve les témoignages de : Olivier Ligneul (ANSSI), Michel Juvin (Lafarge), Marie-Noëlle Gibon (AeSCM), Philippe Salaün (CNP Assurances), Patrick Chambet (Bouygues Télécom), Nicolas Ruff (EADS Security Labs), Etienne Papin (Féral-Schuhl & Sainte-Marie) et enfin François Beaume (AMRAE).
Nathalie Watine, DOSI de Bouygues Immobilier, revient quant à elle sur les enseignements tirés de sa carrière. Un DSI doit ainsi savoir certes parler aux métiers mais aussi leur résister sans oublier de leur parler (un peu) technique, ce que l'on oublie trop souvent.
Nos confrères de CIO Etats-Unis se sont, quant à eux, penchés sur l'intelligence économique au travers des réseaux sociaux. Sans vraiment tricher, c'est incroyable ce que l'on peut y trouver pour assurer le succès de sa propre entreprise.
Enfin, Francis Massé, secrétaire général de la DGAC, revient sur les nécessités liées aux systèmes d'information quand on veut refondre les processus d'une organisation.
Téléchargez ici CIO.PDF 46
(...)
(13/12/2011 10:18:05)Avec l'extrême incertitude qui affecte toutes les entreprises opérant dans la zone euro, les DSI doivent agir immédiatement pour protéger leurs entreprises, selon le Gartner. « Ils sont les seuls cadres disposant d'une visibilité suffisante et de la capacité à répondre aux défis posés par la crise de la zone euro, note David Furlonger du Gartner. Pour lui, « les chefs d'entreprise réclament de la part des DSI une plus grande efficacité de leur informatique et la faculté d'ajouter de la valeur à l'entreprises. La crise est l'occasion pour l'informatique de démontrer sa valeur réelle, avec des étapes importantes et audacieuses à franchir. »
Pour le Gartner, la crise actuelle a tout pour saper totalement la zone euro, l'ensemble de l'Union européenne et au-delà ! Poussée par l'omniprésence de l'internet, la crise affecte négativement chaque entreprise ou individu faisant des affaires dans ou avec la région. Le métier du CIO est de garantir la continuité d'activité. Le Gartner leur conseille d'être vigilants sur quatre points :
1er défi : la volatilité du marché
Les conditions du marché nécessitent pour les DSI d'aider à développer un environnement de travail qui favorise la vitesse, l'agilité et l'adaptabilité, sans sacrifier la notion de responsabilité. Les capacités de gestion du changement sont essentielles. Les fondamentaux pour réaliser une gestion efficace du changement sont la demande d'information, d'analyse, de flexibilité des ressources humaines et une structure de gestion plus décentralisée pour le commandement et le contrôle.
2ème Défi : les coûts d'investissement
Les coûts d'accès au capital à travers l'Europe vont probablement continuer de se détériorer jusqu'à ce qu'intervienne une importante réparation des déséquilibres structurels entre pays et organisations. Le refus ou l'incapacité d'amortir la dette et de restructurer les bilans publics et ceux du secteur privé est un obstacle important à l'efficacité du marché. Les lignes de crédit seront probablement incertaines ou supprimées, obligeant les entreprises à réduire leurs stocks.
[[page]]
Dans cette situation, les DSI devront faire face à une croissance zéro de leur budget, et à des réductions substantielles dans les investissements et les budgets opérationnels disponibles.
3ème défi : la gestion du capital humain
Des millions de personnes sont sans emploi en Europe. De plus, la crise pèse sur les salaires, les avantages et les conditions de travail, le tout combiné à un coût de la vie élevé. Une situation aggravée par le manque de fonds de retraite, l'augmentation de l'âge des départs en retraite et les pertes de bénéfices.
Les DSI et les dirigeants d'entreprises sont confrontés à des problèmes importants en termes de RH pour récompenser et motiver du personnel, obtenir des fonds pour embaucher de nouveaux talents, et traiter les difficultés du personnel. Les DSI doivent également prévoir les problèmes de rétention des travailleurs étrangers pour passer à de meilleures opportunités ou le retrait de permis de travail à ceux nés hors UE en réponse à la montée rapide du chômage.
4ème défi : la gestion des risques
Les marchés de capitaux estiment que le risque de défaut de contrepartie du gouvernement est substantiel. La probabilité de hausses des fraudes internes et externes est forte. Du point de vue informatique, le risque opérationnel est accru par le biais des questions telles que les changements dans les obligations contractuelles et la continuité des activités. S'ajoute à cela l'augmentation continue des initiatives de conformité réglementaire dans les industries, ce qui aggrave la pression sur la vérification et les évaluations de gestion du risque et des workflows.
(...)
(02/12/2011 10:50:11)Réseaux sociaux, tablettes tactiles, Cloud Computing et mobilité sont les quatre sésames des systèmes d'information en 2011. Les managers informatiques sont sous pression pour intégrer ces évolutions au coeur de leurs applications les plus anciennes. En voici des exemples clés dans ce numéro 45 de CIO.pdf.
Ainsi, le décisionnel 2.0 se heurte aux difficultés et au coût de garantir la qualité des données à exploiter. Même si les volumes de données montent en flèche avec l'arrivée des médias sociaux. Des règles et des outils spécifiques doivent donc être mis en place.
Dans ce contexte, l'intégration du DSI aux autres directions, le dialogue avec les CxO et les directions générales, sont vitaux. Nos confrères américains reviennent sur le comment d'une telle nécessité en se basant sur l'histoire du DSI de Toyota Motor Sales alors même qu'une crise majeure frappait l'entreprise.
Le dialogue CxO/CIO peut notamment viser à l'innovation. CIO.PDF 45 revient ainsi sur l'exemple de Carrefour.
Téléchargez ici CIO.PDF 45
(...)
(30/11/2011 10:56:15)Le 29 novembre 2011, l'ITSMF (IT Service Management Forum) a réuni sa convention annuelle 2011, la neuvième, au CNIT. Sur 1200 inscrits, plus de 1000 participants se sont rendus aux sessions plénières comme aux 48 ateliers de témoignages d'entreprises. Visant au partage des bonnes pratiques (au-delà du seul référentiel ITIL), l'association a placé cette année son événement sous le signe de l'IT pour les services.
Or faire de la DSI une entité de services au sens plein du mot n'est pas si évident que cela, sans même aller jusqu'au stade de centre de service partagé (CSP). Une telle entité doit en effet disposer d'un véritable catalogue qui caractérise son offre, produire la dite offre, la piloter dans le temps et enfin disposer des ressources -notamment humaines- pour y parvenir. Les ateliers de cette conférence se sont répartis entre ces quatre axes auxquels est venu s'ajouter un cinquième : l'échange utilisateurs/DSI sur la définition du service.
Le CSP, une idée qui n'est pas sans risque
Ancien DSI d'Alstom, aujourd'hui retraité actif, Jean-Pierre Dehez est ainsi longuement intervenu sur une question simple : un CSP IT est-il une bonne idée ? Pour que l'on puisse parler de CSP, rappelons qu'il faut que le service soit une entité autonome délivrant un service défini à un grand nombre d'entités tierces dans son groupe. Le CSP mutualise et industrialise afin de délivrer un service d'une qualité mesurable en fonction de contrats passés avec des « clients » internes. La démarche vise en général à fiabiliser et baisser les coûts des systèmes d'information.
Or les risques sont importants. Il faut d'abord bien comprendre que l'industrialisation s'oppose à l'agilité. Jean-Pierre Dehez a donc insisté sur la nécessité de placer le curseur au bon endroit entre ces deux pôles irréconciliables. Ce placement de curseur doit s'accompagner d'une parfaite transparence entre DSI et métiers, notamment au niveau des coûts. En effet, plus la qualité de service exigée augmente, plus les coûts explosent. La contractualisation est aussi un outil qui apporte son lot de rigidité. Il y aussi des risques pour la DSI elle-même. Isolée en « village gaulois », elle risque de se déconnecter des entités métier et, surtout, de se démotiver en s'identifiant comme « sur le point d'être externalisée ». Sans oublier que les métiers peuvent parfois devenir très durs avec un « fournisseur interne », plus qu'avec un extérieur. Une relation « maître-esclave » démotive bien sûr les équipes.
[[page]]
La création d'un CSP perturbe donc les modes de fonctionnement autant au sein du CSP que dans ses entités « clientes ». Pour Jean-Pierre Dehez, six facteurs clés sont à réunir pour assurer le succès d'un CSP : un sponsoring fort de la DG, une « posture service » de la part des membres de la DSI, un bon usage des meilleures pratiques (référentiels comme ITIL), l'intégration des meilleurs talents, l'optimisation du contrôle de dépenses et la transparence.
Les limites des bonnes pratiques à l'heure du 2.0
Richard Collin, de Grenoble Ecole de Management, est venu rappeler qu'industrialisation et bureaucratisation induites par la mutualisation, la contractualisation et les référentiels en tous genres de bonnes pratiques, n'étaient pas nécessairement plus positifs que négatifs. La hiérarchisation des individus et la parcellisation des tâches, héritées de l'ère industrielle, ne sont plus de mise. Il plaide donc pour un management centré sur la collaboration des individus, une sorte de conversation permanente plus souple et réactive que des cahiers des charges. Cela implique de prendre acte que le changement est un mode de vie et n'est plus un phénomène qu'il convient de ponctuellement accompagner.
« Le RSE [Réseau Social d'Entreprise] est le PGI de l'entreprise 2.0 » plaide-t-il. Au-delà du seul RSE (interne), il ajoute : « interdire Facebook à des employés durant leurs heures de travail, c'est à la fois interdire cette collaboration dans les cercles relationnels des jeunes générations alors que c'est leur mode de travail, et à terme se priver du jeune et de ses compétences qui va simplement aller voir ailleurs. »
(...)
(18/11/2011 11:05:28)Le principe d'un centre de service partagé (CSP) est de mutualiser un service de support entre plusieurs entités d'un même groupe, sans qu'il s'agisse forcément de plusieurs sociétés sur le plan juridique. « Historiquement, les premières fonctions à avoir fait l'objet d'une mutualisation par CSP sont la DAF (surtout la trésorerie) puis la DSI, la DRH (notamment la paye), les relations clients et les achats/approvisionnements » énonce Jean-Claude de Véra, vice-président global shared services and data & process optimization au sein du groupe Lafarge.
Celui-ci s'exprimait lors d'un colloque organisé le 15 novembre 2011 à Paris par la DFCG, l'association des Directeurs Financiers et Contrôleurs de Gestion sur, précisément, les bonnes pratiques en matière de mise en place d'un CSP. Aucune particularité n'a été repérée concernant un CSP informatique : celui-ci doit suivre les mêmes bonnes pratiques que les autres CSP en termes de gouvernance.
5 règles à respecter pour arriver au succès
Selon Jean-Claude de Véra, cinq règles sont à respecter pour assurer le succès d'un CSP. La première, sans surprise, est un soutien indéfectible et permanent de la direction générale car il s'agit d'une démarche qui s'apparente à de la transformation continue. Il faut également un modèle de gouvernance du « qui fait quoi » extrêmement clair. De ce fait, troisième élément, la relation entre un CSP et les centres de profits doit être de type contractuel : si le CSP doit respecter des engagements précis, c'est aussi le cas des centres de profit. Pour s'en assurer, le meilleur moyen est d'avoir une approche par indicateurs-clés de performance (KPI).
Le cinquième et dernier élément est une conséquence des précédents points : le paiement du service au CSP doit être lié au service rendu et à sa complexité. « Si un centre de profit dématérialise et permet l'automatisation des traitements, sans trop de nécessité de reprise manuelle grâce à la qualité de son travail, il est normal que ce centre de profit paye moins cher qu'un autre qui ne ferait pas ces efforts » souligne Jean-Claude de Véra.
Ce système permet de retourner aux centres de profit les conséquences de leurs faiblesses en objectivant la performance du service rendu et les causes des dysfonctionnements. Pour Jean-Claude de Véra, « ne pas accepter les non-conformités aux règles issues des métiers est une nécessité ».
3 stades de maturité
Selon Vincent Lieffroy, chargé de la stratégie marketing de l'offre chez l'éditeur Qualiac qui s'exprimait durant le même colloque, « en général, on recherche les économies d'échelle lorsque l'on met en oeuvre un CSP. » Or une telle économie « brute » n'est pas le seul bénéfice que l'on peut en attendre. On peut aussi en tirer une industrialisation des processus, synonyme de qualité, de fluidité et de réactivité. La démarche peut également être initiée à cause de nouvelles exigences réglementaires (par exemple, l'intensification des contrôles liés à des lois comme Sarbanes-Oxley aux Etats-Unis comme la Loi sur la Sécurité Financère en France).
[[page]]
Le premier stade de la mise en place de CSP, c'est celle de CSP par fonctions (DAF, DSI, DRH...). Les différents centres de profit mutualisent ainsi le service support concerné. Ensuite, ces CSP par fonction deviennent des CSP par processus (par exemple : la chaîne d'approvisionnement au delà des seuls achats).
Enfin, les centres de profit n'ont plus aucun doublon opérationnel avec les CSP et ceux-ci sont gérés non plus en tant que soutiens mais en fonction des valeurs créées pour les métiers. Ce dernier stade est notamment mis en avant pour les DSI externalisées ou filialisées.
Les services de support pèsent de 3% à 10% du CA
« Les CSP ont un impact direct sur les bénéfices » souligne Jean-Claude de Véra. « Les fonctions de support comme la DSI, la DRH, les services généraux (dont l'immobilier), la DAF, les ventes, les achats, etc. représentent entre 3% et 10% du chiffre d'affaires dans les grandes entreprises par an. La moindre baisse de coût a donc un impact direct sur les bénéfices. »
Jean-Claude de Véra avertit : « Mais le CSP apporte les moyens, pas le pilotage stratégique » . Au niveau du CSP financier, la remise à plat a impliqué la standardisation des données comme des procédures, avec, au passage, la suppression des fausses spécificités et le nettoyage des données.
Au final, dans les entreprises, deux démarches d'industrialisation s'opposent fréquemment. D'un côté, les tenants d'une approche unitaire plaident pour la mise en place d'un PGI, et de l'autre les demandeurs de flexibilité et d'agilité poussent un choix de type « Best of breed » avec urbanisation. Pour eux, il s'agit de réussir des « Quick Wins » sur des gains de productivité. Il faut dire que les projets de type « Big Bang" tardent souvent à aboutir à l'échelle de l'entreprise et leur consommation de ressources a tendance éliminer les initiatives pouvant apporter des gains plus rapides.
Dans ce cadre, la DAF et la DSI si elles ne peuvent pas réussir l'une sans l'autre, n'ont pas forcément des objectifs qui convergent en termes de simplification ni de temps de cycle. « Au bout du compte, il faut allier les deux démarches - unitaire et best of breed - pour des raisons de pragmatisme » conclut Jean-Claude de Véra.
(...)
(14/11/2011 10:17:07)C'est Peter Sondergaard, senior vice-président (au Gartner tout le monde est vice-président, mais pas toujours senior) du Gartner qui a montré le couperet de la guillotine : d'ici 2014, 25% des budgets informatiques gérés par les DSI vont leur échapper, au profit des directeurs marketing. En 2017, ces derniers auront même des budgets informatiques plus importants que ceux de leurs collègues de l'informatique.
Pour apaiser la douleur, le docteur Peter Sondergaard accompagne son diagnostic de trois sujets de réflexion que les DSI doivent appréhender : l'adoption d'une approche post-moderne du business, la poursuite de la simplicité dans leurs projets, l'emploi de la "destruction créatrice".
Première attitude conseillée aux DSI, adopter une approche post-moderne du business. Le Gartner entend par ce concept, une entreprise centrée sur le client et alimentée par l'explosion de l'information, la collaboration et la mobilité. Le tout rendu possible par le cloud computing.
2011 : 3% des dépenses vont au cloud
Dans la zone EMEA, le Gartner estime ainsi que 16 milliards d'euros seront consacrés aux services de cloud public en 2011, représentant environ 3% des dépenses informatiques de la zone. Ce chiffre est estimé à 20 milliards d'euros en 2012, et les services de cloud public vont croître plus de 10 fois plus vite que les dépenses globales des entreprises dans la zone EMEA jusqu'en 2015.
«Dans l'entreprise post-moderne, c'est travailler sur les clients, savoir comment vous le faites et comment vous les impliquez dans vos processus qui compte », a lancé Daryl Plummer, vice-président au Gartner. «Vous devez satisfaire vos clients, car ils veulent entrer en contact avec votre entreprise à travers leurs préoccupations immédiates. Ces clients pourront faire une partie du travail parce qu'ils ont un intérêt direct dans vos résultats. Impliquer vos clients et les fidéliser permet de prolonger la vie de votre entreprise. »
Deuxième point, la simplicité, celle apportée par les DSI dans leurs projets informatiques. Pour créer cette simplicité, les DSI doivent mettre les clients et leurs besoins au centre de leur design et rendre l'expérience utilisateur plus simple par la construction de solutions sensibles au contexte. La demande pour plus de simplicité a été renforcée par le passage à des technologies mobiles, et sensibles au contexte informatique.
La prise d'informations contextuelles
Sur ce dernier point, le Gartner évoque par exemple la prise d'informations contextuelles, sur les individus dans le monde physique (leur emplacement et le moment de la journée), et sur leurs habitudes d'utilisation dans le monde numérique. « En 2015, vos appareils numériques en sauront plus sur vous que vous n'en saurez sur eux », a estimé Hung LeHong, vice-président de recherche chez Gartner. « Les entreprises doivent être prêtes à créer, de manière simple, mais riche en expériences clients, à travers n'importe quel appareil et n'importe quel environnement. »
Troisième sujet, les responsables informatiques doivent envisager « la destruction créatrice ». En clair, l'élimination des technologies existantes et, plus sélectivement, l'élimination des systèmes à faible impact, la prise de risques calculés pour employer de nouvelles solutions, dont les effets vont menacer ou carrément éliminer les vieux systèmes.
Conclusion, bien que les départements informatiques soient considérés comme d'excellents fournisseurs de services pour l'entreprise, leurs responsables ont besoin d'être moins des prestataires de services internes que des leaders. « Leurs partenaires ont besoin de leur leadership en vue d'atteindre de meilleurs résultats», a déclaré Tina Nunno, vice-présidente au Gartner. « Dans le même temps, ils veulent que l'informatique soit peu coûteuse, sûre et fiable ».
(...)
(09/11/2011 14:43:11)Lors de la création de la CNIL (Commission Nationale Informatique et Liberté), l'un des principes de base était que cette autorité n'accordait son imprimatur qu'à des implémentations précises de traitements de données personnelles et jamais à des mécanismes ou des technologies. Les réformes se sont cependant succédées et, depuis 2009, la CNIL peut théoriquement décerner des labels à des offres en amont de leur usage.
Les deux premiers référentiels permettant d'accorder un tel label viennent d'être définis par la CNIL. Ils concernent encore des offres de services et pas des technologies puisqu'il s'agit des procédures d'audit de conformité de traitements et des formations.
Une offre obtenant le label de la CNIL bénéficie ainsi d'un certificat de qualité et l'autorité administrative indépendante garantit sa conformité à la loi. Le référentiel est là pour garantir cette qualité et cette conformité selon une procédure stricte et des critères objectifs. Tout organisme proposant des offres pouvant répondre à l'un des deux référentiels peut d'ores et déjà déposer un dossier à la CNIL ou y demander le contenu du dit référentiel pour se préparer à être en conformité.
Mais, pour l'heure, aucune technologie ou logiciel ne peut se prévaloir d'un tel label, faute d'un référentiel adapté. En admettant qu'il y en ait un un jour.
(...)
Les Entretiens
