Vous êtes sur la page 1sur 52

LENTREPRISE FACE SES

ENJEUX ET RISQUES
NUMRIQUES
GOUVERNANCE ET ORGANISATION DES SI

REMERCIEMENTS
COMIT DORIENTATION
Pascal Antonini, Associ EY, Prsident AFAI
Farid Aractingi, Directeur de lAudit et de la Matrise des Risques Renault, Prsident IFACI
Jean-Pierre Bouillot, VP Information System Audit, Risk Committee Project Leader Sanofi,
Reprsentant IFACI
Pascal Buffard, Prsident dAXA Technology Services, Prsident CIGREF
Rgis Delayat, DSI, Groupe SCOR, Administrateur du CIGREF et Administrateur AFAI
Jean-Louis Leignel, MAGE Conseil, Administrateur AFAI
Jean-Michel Mathieu, Senior Director Crowe Risk Consulting, Prsident dhonneur AFAI

COMIT DE RELECTURE
Sophie Bouteiller, Directrice de mission, Responsable des partenariats, CIGREF
Jean-Marie Ferrires, Consultant SI Digital, Expert prs la Cour dAppel de Paris
Philippe Mocquard, Dlgu Gnral IFACI
Grard Pomper, Dlgu Gnral AFAI

CONTRIBUTEURS/EXPERTS
Jean-Luc Amagat, DSI Nextira One
Astrid Chauvin, Pekina Consulting
David Chades, Responsable Informatique de gestion Centre France
Rgis Delayat, DSI, Groupe SCOR
Jean-Charles Duret-Ferrari, Scurit des Systmes dInformation La Franaise des Jeux
Emmanuelle Fines Laurent, Directrice Organisation et Gouvernance Saint-Gobain
Henri de Foucault, Chef de bureau SIC, Marine Nationale
Laurent Fournier, Directeur des Infrastructures, Webhelp
Alfonso Gonzalez, DSI Manpower Group
Philippe Lanson, DSI Renault
Claude Le Corre, Manager Crowe Risk Consulting
Mehdi Mohammedi, DSI Editions Lefebvre Sarrut
Samatar Morin, DSI Citelum
Annie Prvt, DSI CNAF
Andr Schwob, DSI CDC
Franck Tarragnat, DSI M6
Hubert Tournier, Adjoint DOSI Groupement des Mousquetaires
Isabelle Vialettes, DSI Groupe Monoprix
Antoine Vigneron, Secrtaire gnral AFAI

03

LENTREPRISE FACE SES ENJEUX


ET RISQUES NUMRIQUES

SOMMAIRE
05

Prface

07

Introduction

11

Focus sur la stratgie numrique

20

Focus sur la gestion des risques

31

Focus sur la matrise des cots

41

Synthse

44

Annexes

45

Mthodologie

49

Bibliographie thmatique

04

PRFACE
Pour les dirigeants de socits, la transformation numrique nest pas une option mais un impratif qui
bouleverse les modles daffaires. Les entreprises qui ngocieront trop tard ce virage numrique souffriront
et risqueront mme de disparaitre. Devant lurgence des transformations accomplir, les mtiers prennent
souvent en charge directement les projets numriques non sans risque en matire de gouvernance. Dans
ce contexte, en effet, la DSI doit rester un acteur cl de la transformation numrique, tout en amliorant la
qualit de son service..
Pour mieux comprendre les priorits des entreprises et les enjeux des DSI, le cabinet Crowe Risk Consulting
et lAFAI, Association Franaise de lAudit et du conseil Informatiques se sont associs au CIGREF, rseau
des grandes entreprises, et lIFACI, Institut Franais de lAudit et du Contrle Internes, pour consulter des
organisations de taille significative dans les secteurs priv et public.
Les trois associations ayant publi conjointement, en 2011, le Guide dAudit de la Gouvernance des Systmes
dInformation (Guide AGSI - voir page 6), ce document a servi de point de dpart llaboration dun
questionnaire soumis aux membres de chacune des associations (majoritairement, des DSI et des RSSI). La
finalit de cette consultation tait de valider la pertinence et lactualit du guide AGSI, travers le prisme
de 3 des 12 vecteurs du guide et en prenant appui sur les 3 proccupations majeures des DSI pour 2014
(issues dune enqute CIGREF mene en 2013 auprs de ses entreprises membres) : la stratgie numrique,
la gestion des risques et la matrise des cots.
La consultation a t favorablement accueillie par les DSI, la prsente tude propose une analyse synthtique
des rponses reues et permet au lecteur de situer son organisation et son niveau de maturit par
rapport ceux des rpondants. Une annexe mthodologique facilite cette lecture et fournit des lments
de volumtrie.
Nous remercions les entreprises et administrations membres dune, ou parfois plusieurs, de nos structures
et qui ont accept de rpondre cette enqute, dans laquelle nous ne doutons pas que chacun trouvera
des lments concrets et utiles pour progresser dans sa pratique professionnelle.

PASCAL ANTONINI

FARID ARACTINGI

PASCAL BUFFARD

JONATHAN BURNETT

Prsident, AFAI

Prsident, IFACI

Prsident, CIGREF

Prsident, Crowe Risk


Consulting

05

LE GUIDE DAUDIT DE
GOUVERNANCE DES
SYSTMES DINFORMATION
Lobjectif principal de ce guide, publi en 2011
par le CIGREF, lIFACI, et lAFAI, est de mettre
la disposition des auditeurs et des DSI un guide
pratique daudit traitant sous un angle managrial
et non pas technique, la problmatique globale de
la gouvernance des SI par lentreprise. AGSI permet
aux directions de lAudit interne de rpondre aux
questions que se pose la Direction gnrale
propos du niveau de matrise de son SI, et de fournir
aux autres fonctions de lentreprise une assurance
raisonnable que leurs processus mtiers sont bien
soutenus par des systmes dinformation de qualit.
Cette valuation de la gouvernance haut niveau
permet de cerner des points de vigilance par rapport

Guide daudit de Gouvernance des


Systmes dinformation

au management du SI, de nature oprationnelle,


conomique ou stratgique, qui doivent tre sous
contrle pour que lentreprise ou lorganisation puisse

Contacts pour se procurer ce guide et loutil associ :

tre considre comme performante en termes de

CIGREF : cigref@cigref.fr

gouvernance de son systme dinformation.

IFACI : recherche@ifaci.com
AFAI : afai@afai.fr

Mme si cette dernire svalue de faon globale,


elle a t dcompose, des fins pratiques, en 12

Tlcharger le guide en cliquant sur le lien suivant :

vecteurs distincts suffisamment autoporteurs

www.cigref.fr/gouvernance-du-systeme-dinformation-

pour pouvoir faire lobjet de missions individualises

guide-daudit

par vecteur ou groupes de vecteurs.


Le Guide est complt dun outil permettant de
documenter les contrles et tablir une synthse
visuelle des rsultats obtenus.

06

INTRODUCTION

L E N T R E P R I S E F A C E S E S E N J E U X
ET RISQUES NUMRIQUES

CHAPITRE
N. 1

07

LENTREPRISE FACE SES ENJEUX


ET RISQUES NUMRIQUES

INTRODUCTION
A un moment o le march et les entreprises
vivent lacclration de la transition numrique
avec la numrisation de leur business et o,
concomitamment, les dirigeants exigent
une plus forte matrise des cots et des
risques, la fonction SI se trouve directement
implique dans la chane de valeur, et nest
plus une simple fonction support. Avec le
dveloppement de loffre de services et
louverture des entreprises, la fonction SI
a beaucoup faire pour assurer la fois
convergence et cohrence du SI, scurit
et agilit, innovation et gestion du parc
applicatif existant...

STRATGIE NUMRIQUE
Mme si certains le considrent comme un exercice
dpass, le schma directeur demeure le point
dancrage de la stratgie SI. Beaucoup le nomment
Schma directeur numrique . Ralis en association
de plus en plus troite avec les mtiers, il est valid dans
plus de deux tiers des cas par la Direction Gnrale. Il
est peru comme la rsultante dune vision long terme,
dune urbanisation forte composante fonctionnelle et
dun exercice budgtaire. Les DSI en communiquent les
rsultats en privilgiant les runions de prsentation et
en vitant les diffusions largies.
Au cur des projets de transformation de lentreprise,

En ce sens, les rpondants la consultation


conjointe AFAI-CIGREF-IFACI ont apprci
lexercice consistant considrer la grille
labore sur la base du guide AGSI comme une
forme dautovaluation , qui leur a permis
de faire le bilan des changements raliss.
Certains dentre eux ont du reste utilis cette
grille comme un outil dAudit interne.

les DSI sorganisent pour rpondre de la faon la plus


efficace aux besoins des mtiers. Cela les conduit
repenser leur organisation pour russir la transition
numrique. Cette transition est dj accomplie pour
un certain nombre dentre elles, et 70% des rpondants
affirment tre prts laccomplir. A la question cela
conduit-il une informatique deux vitesses ? (une
vitesse de croisire pour les applications classiques, une
vitesse acclre pour dvelopper lagilit), la rponse

Quel fil conducteur trouver la lecture des


rponses apportes ? Nous retiendrons
pour chaque priorit un certain nombre de
messages ou de tendances fortes rsums
ci-aprs.

est : ce nest pas une fatalit. Pour accompagner


cette transition numrique, les DSI sont sensibles aux
enjeux de linnovation. Pour eux, cette dernire doit
ncessairement combiner un recours des technologies
bien cibles (mobilit, objets connects par exemple),
mais aussi lusage dapproches agiles. Le recours au
SaaS et au Cloud se gnralise avec discernement, en
restant slectif en fonction des sujets traits.

08

des risques SI commence se gnraliser, avec la

GESTION DES RISQUES

contribution, par frquence descendante de citation,


Certes, les DSI connaissent les principaux rfrentiels

de lAudit interne, du DSI, du risk manager et du

de bonnes pratiques de matrise de la qualit et de

RSSI. Il semble aussi que les interactions entre ces

gestion des risques, mais ce constat mrite dtre

diffrents acteurs sintensifient : la frquence des


rencontres de revue des risques SI serait dans 45%

nuanc : dune part, cette connaissance est limite


trois ou quatre dentre eux (ITIL, COBIT5 , ISO,

des cas trimestrielle, voir mensuelle.

CMMI), dautre part, elle ne garantit pas la mise en


pratique systmatique de tels outils pour amliorer

Interrogs sur les mesures danticipation en place,

les processus SI. Le guide AGSI, quant lui, est trs

les DSI semblent concentrer leurs efforts sur les

mconnu : seuls 8% des rpondants dclarent avoir

applications les plus importantes, en privilgiant les

une bonne connaissance du guide AGSI, contre


69% de rponses Aucune connaissance ; ce qui

analyses dimpact, suivies des plans de continuit,

renforce lutilit de cette consultation.

de reprise dactivit. Concernant la scurit des

des dispositifs de gestion de crise et des plans


systmes dinformation proprement dite, les DSI ont

Sur le plan humain, les proccupations principales

souvent mis en place un ensemble trs complet

des DSI concernent avant tout la gestion des

de mesures visant se protger contre les risques

comptences et laccompagnement du changement,

gnraux ou spcifiques: dfinition dune politique

suivis de prs par le rle du management intermdiaire

ou dun plan de scurit, cration dun SOC (Security

et la dpendance des personnes cls. Au niveau

Operations Center), dploiement doutils de contrle

technique, le suivi des risques projets sintensifie et

et de programmes de sensibilisation des utilisateurs.

sintgre leur gestion pour 90% dentre eux. Par


contre, si plus de 80% des entreprises dclarent

Dautres mesures sont cites, surtout les tests


dintrusion et les audits ISO 27001 . Les DSI sont audits

possder un portefeuille de projets, ce portefeuille

le plus souvent au niveau applicatif, de la scurit et

nest utilis dans la gestion des risques que dans un

de la conformit (au regard des licences de logiciels

cas sur deux. La remonte et le pilotage global de ces

surtout). Ils commanditent eux-mmes peu daudits,

risques sont encore rares.

et plutt sur des thmes trs cibls : tests dintrusion,


revues de code, diagnostics de vulnrabilit, revue

Le risque SI est peru mais diffus, et la sensibilisation

des cots.

au risque numrique reste insuffisante : peine la


moiti des entreprises consultes y serait assez

Enfin, sagissant des relations avec les diffrents

sensibilise.

partenaires de la gestion des risques, celles-ci

La mise au point dune cartographie

09

semblent tout fait encourageantes : juges plutt

des ressources internes dont ils disposent, 70%

bonnes avec la Direction Gnrale, elles sont

dclarant quelles sont en nombre suffisant. Leur

qualifies de bonnes, voire excellentes, avec lAudit

effort budgtaire a port en grande partie sur la

interne, et de bonnes avec lAudit externe, ce dernier

mutualisation des moyens et les trois quarts des DSI

tant peru comme un interlocuteur rgulier et

dclarent avoir dj mutualis la moiti des moyens

utile dans les revues systmatiques des contrles

SI au sein de leurs groupes. Autre source dconomie

gnraux et des applications caractre financier.

potentielle, le recours lexternalisation reste slectif


et

MATRISE DES COTS

concerne

rarement

architecture,

urbanisme,

tudes ou scurit. Ses deux motivations principales

Notre consultation fait ressortir une forte mobilisation


des DSI sur la matrise des cots. Si les trois quarts
dentre elles ont des budgets SI infrieurs 4% du
chiffre daffaires, on observe une grande disparit
en fonction des secteurs et parfois, le caractre non
reprsentatif de cet indicateur (dans le secteur public
ou le secteur bancaire par exemple). Il nen demeure
pas moins que les ncessaires investissements exigs
par le numrique lis au maintien et lvolution de

sont la recherche de gains financiers, ou le manque


de certaines comptences techniques, motivations
qui peuvent paratre contradictoires car il est dlicat
dexternaliser des fonctions non maitrises par les
quipes en interne tout en gnrant des gains. Autre
source de transparence et de matrise de la dpense,
le catalogue de services se gnralise. 40% des
rpondants en sont dots, et 45% dclarent avoir un
catalogue en cours de mise en place ou en projet.

lexistant conduisent une quation difficile. Une

Si des efforts rels sont faits par les DSI sur le registre

attention toute particulire est porte par les DSI

des cots, lusage dun contrle de gestion approfondi

au rapport entre build et run. En dpit des efforts

nest pas encore rpandu. Le calcul du cot de revient

importants consentis en matire dinvestissements

des activits nest pas gnralis : 40% des entreprises

(build), une large part des budgets correspond aux

ne le font pas, ce qui signifie que leur catalogue de

cots de fonctionnement (run), savoir 65% du total

services est davantage un outil de communication

en moyenne.

en interne quun outil de pilotage des cots. A ce

Face lmergence dune Shadow IT , nos


interlocuteurs semblent sereins, car 80% dentre
eux

dclarent

bien

connatre

et

matriser

la

dpense informatique. Ils sestiment aussi satisfaits

10

titre, nous avons constat que 60% des entreprises


disposant dun catalogue de services navaient pas
de systme de calcul des cots informatiques.

FOCUS SUR
LA STRATGIE
NUMRIQUE
L E N T R E P R I S E F A C E S E S E N J E U X
ET RISQUES NUMRIQUES

CHAPITRE
N. 2

11

LENTREPRISE FACE SES ENJEUX


ET RISQUES NUMRIQUES

FOCUS SUR LA STRATGIE


NUMRIQUE
une gouvernance (lart de dcider ensemble) du

TRIBUNE CIGREF : DE LA GOUVERNANCE


DU SYSTME DINFORMATION LA
GOUVERNANCE
DE
LENTREPRISE
NUMRIQUE !

numrique est donc ncessaire, et impose de


prioriser lallocation des moyens de lentreprise pour
innover, maximiser la cration de valeur et optimiser
la gestion des risques.

La rvolution

numrique bouscule le modle

daffaires et la culture mme de lentreprise, elle

Dans ce contexte, la contribution de la fonction SI

impacte son fonctionnement, son organisation, ses

la transformation numrique de lentreprise volue.

processus, ses quipes, et sa gouvernance.

Les technologies et usages lis au numrique la

La transformation est majeure et impose quune

conduisent prendre sa place dans ces stratgies de

stratgie numrique, porte par la Direction Gnrale,

transformation qui impliquent lensemble des acteurs

soit labore conjointement entre les Mtiers de

de lentreprise. La numrisation du business amne

lentreprise et la DSI. Lentreprise en 2020 sera

le SI, et donc la DSI, tre de plus en plus partie

numrique ou ne sera pas ! Et la bonne excution

intgrante de la cration de valeur. La fonction SI

de cette stratgie numrique passe par la mise en

volue par ailleurs sous une double influence : la fois

place dune gouvernance adapte, au service de la

interne avec une monte en maturit des utilisateurs,

transformation engage.

et externe avec la volont de proposer une


exprience unique aux clients, et le dveloppement
de partenariats dans une logique de co-cration.

Le numrique nappartient pas lIT, il ne se rduit


pas non plus ni le-business, ni au marketing digital
ou au client internaute. Le numrique est transverse

PASCAL BUFFARD

lentreprise,

PRSIDENT, CIGREF

engage

toutes ses composantes

(Direction Gnrale, Production, Marketing, Commercial,


Logistique, R&D, Finance, Risques, DRH, DSI, etc.),
et sinscrit dans une dmarche et dans un cadre de
gouvernance globaux.
Du fait de la transversalit des impacts du numrique,
chaque fonction, chaque mtier de lentreprise tant
concern, les diffrents acteurs doivent cooprer et
se centrer sur latteinte des objectifs numriques,
tels que dfinis dans la stratgie numrique. Ainsi,

12

NOTRE PROGRAMME DIGITAL SCOR MOBILISE LE GROUPE


DEPUIS 2013, GRCE DE NOMBREUX ATELIERS DE TRAVAIL
AVEC LES QUIPES MTIERS, UNE COMMUNICATION INTERNE
TRANSVERSE, ET LAFFICHAGE DUNE AMBITION AU PLUS
HAUT NIVEAU AU SEIN DU GROUPE. IL FIXE NOTRE STRATGIE
DIGITALE SUR UN HORIZON DE 5 10 ANS.
RGIS DELAYAT, DSI GROUPE SCOR

schmas directeurs a pour horizon trois ans, et 15% se

LE SCHMA DIRECTEUR RESTE LE


POINT DANCRAGE DE LA STRATGIE
NUMRIQUE

situe quatre ans.


Pour le reste (25%), schelonnant entre cinq et dix ans,
on trouve essentiellement des entreprises dont le

Notre tude confirme le rle essentiel du schma

modle daffaires est assez stable (peu de nouveaux

directeur comme point de dpart et fil conducteur des

entrants) ou des grandes administrations.

activits informatiques.
Si le pourcentage dclar propos de la mobilisation
Il est le rsultat dun exercice de planification stratgique

des mtiers pour llaboration du schma directeur

ou moyen terme qui dfinit la cible atteindre et doit

et la dfinition de la stratgie numrique semble trs

prsenter plusieurs caractristiques :

lev, il nen demeure pas moins que les tmoignages


recueillis au cours de nos entretiens font apparatre

- Etre un diagnostic date,

quelle nest pas acquise, et reste trs variable en

- Formuler des objectifs sur la base de la stratgie de

fonction des interlocuteurs et des socits. Les

lentreprise et de lanalyse de lexistant,

urgences oprationnelles lemportent trop souvent

- Constituer un rfrentiel dynamique et une feuille de

sur la vision moyen terme. Cette situation apparat

route pour le DSI en matire de budgets, oprations et

trs proccupante aux yeux de certains DSI.

investissements.
Feuille de route technologique, le schma directeur

La notion de schma directeur a volu pour mieux

prend ainsi en compte les problmatiques darchitecture

rpondre aux enjeux de transformation des entreprises.

technique, durbanisation, du Cloud.

De plus en plus, les schmas directeurs couvrent


dsormais le volet numrique. Dans certains cas le

Le schma directeur informatique est devenu un point

terme Schma Directeur numrique remplace

de passage oblig : 92% des entreprises qui ont rpondu

celui de Schma Directeur informatique .

notre enqute ont compris lintrt de le produire :


- 88% des schmas directeurs sont raliss sur un
horizon dau moins trois ans et sont mis jour une fois
par an dans 70% des cas,
- Les mtiers sont impliqus dans plus de 90% des cas.
Pour affiner lanalyse, trs peu de schmas directeurs
sont moins de trois ans. Prs de la moiti des

13

FIG 1. LE SCHMA DIRECTEUR, VALID PAR LA DIRECTION GNRALE.

Dans la majorit des cas (voir Figure 1), la validation

La runion est privilgie, car elle permet de fournir

du schma directeur est conduite par :

des explications appropries aux interlocuteurs


et facilite ainsi une meilleure comprhension des

- Le Directeur Gnral / Comit de direction

orientations prises et des arbitrages raliss.

(69 % des cas),

Le contenu du schma directeur informatique nest

- Le Comit dorientation SI ou de gouvernance SI

pas pour autant une information publique puisquil

(16% des cas),

est trs rarement diffus en masse lensemble des

- Le Directeur Financier (dans ce cas, le DSI reporte

mtiers (voir Figure 2), plusieurs rponses tant

directement au Directeur Financier).

possibles quant au mode de communication).

Dans le cas dun schma directeur trs orient

La Figure 2 conduit du reste se poser la question

numrique, il est noter que la validation

suivante : dans les cas o le schma directeur nest pas

passe ncessairement par une direction Digitale

formellement communiqu, se traduit-il dans la gestion

ou Mtier. Ce niveau de validation accentue et


confirme le

du portefeuille des projets et dans les arbitrages qui en

caractre stratgique du schma

dcoulent (dont les budgets annuels /pluri-annuels) ?

directeur informatique.
Il en dcoule naturellement une prsentation au
COMEX dans prs de 80% des cas.
Dans le cas o le Groupe est de taille consquente,
il peut arriver que le schma directeur ne soit pas
prsent au COMEX, mais un Comit de niveau
intermdiaire.
La communication du schma directeur sadresse
aux responsables mtiers ou aux contacts mtiers
dits privilgis. Elle se fait majoritairement au travers
de runions (75% des cas) ou par mail.

14

FIG 2. COMMUNICATION DU SCHMA DIRECTEUR AUX METIERS


( PLUSIEURS RPONSES POSSIBLES )

70%
67

63
60%
50%
40%

46
37
31

30%
17

20%

19

13
12

10

10

10%

15

2
0%
Responsable Mtiers
Runion

Contacts mtiers privilgis

Mail ou note officielle

Intranet

Tous

Non formellement communiqu

Autres

lurbanisation des infrastructures.

Le schma directeur informatique est pour la


majorit des rpondants la formalisation dune vision
numrique commune Mtiers, DSI et DG macro
moyen long terme, comme en tmoigne la Figure 3 .

Dans la moiti des cas, le schma directeur reste aussi

Si le schma directeur permet dtablir cette vision

a mme spcifi quil fournissait lopportunit de

long terme, il fournit aussi loccasion dune rflexion sur

hirarchiser les investissements en fonction des

lurbanisation fonctionnelle et applicative (dans plus

processus mtier.

un exercice budgtaire. Une des entreprises consultes

dun cas sur deux), et, dans une moindre mesure, sur

FIG 3. CE QUE RECOUVRE LE SCHMA DIRECTEUR


( PLUSIEURS RPONSES POSSIBLES )

15

NOUS AVONS CR UN VRITABLE PARTENARIAT ENTRE


LA DSI ET LES MTIERS, GRCE LEXISTENCE DQUIPES
IT INTGRES AUX MTIERS. CES QUIPES FONCTIONNENT
SUIVANT LE PRINCIPE DE DOUBLE REPORTING IT/MTIERS ET
CECI AU PLAN GLOBAL .
RGIS DELAYAT, DSI GROUPE SCOR

Dautres options dorganisation de la DSI lies

LES PROJETS DE TRANSFORMATION DE


LENTREPRISE SE FONT AVEC LA DSI

lactivit de lentreprise ont pu nanmoins tre


observes :

Lanalyse des rponses permet daffirmer que la DSI est

- Structuration par grand programme,

dsormais prsente dans la quasi-totalit des projets

- Structuration par produit,

de transformation de lentreprise, en association avec

- Structuration par Business Unit.

les mtiers. Sur les projets transverses, elle se trouve


dans 20% des cas en collaboration avec :

Enfin, dans certains cas, une structuration par mtier

- La Direction des Ressources Humaines, des fins

de la DSI na pas t retenue pour des raisons lies :

de conduite du changement et de modifications des

- A la taille de lentreprise, juge trop petite pour avoir

organisations,

une DSI clate par mtier,

- La Direction Financire, car lobjectif consiste souvent

- Au maintien des comptences techniques, grce

optimiser les processus et les cots.

des centres de services,

LA DSI SORGANISE POUR MIEUX


RPONDRE AUX ATTENTES DES MTIERS

comptences techniques du type support ; base de

- A la recherche defficacit, en grant des pools de


donnes ; applications. Cette structure de DSI est
alors qualifie de classique .

Dans la plupart des cas, la structuration de la DSI


reflte les mtiers de lentreprise (80% des cas).

DES BUSINESS UNITS ONT T CRES AFIN DE


COMMERCIALISER LE SI EN INTERNE OU EN EXTERNE .
FRDRIC CHARLES, RESPONSABLE DE LA GOUVERNANCE IT, LYONNAISE DES EAUX

16

DS 2008, NOUS AVONS CR UNE DIGITAL FACTORY,


PLACE SOUS LAUTORIT DUN CHIEF DIGITAL OFFICER.
RATTACHE LA DIRECTION COMMERCIALE, LA DIGITAL
FACTORY COMPREND DES QUIPES DDIES, POSSDANT
UNE COMBINAISON DEXPERTISES : INFORMATIQUE,
MARKETING, COMMUNICATION. TOUS LES SUJETS MAJEURS
LIS LA RELATION CLIENT ET 90% DES INVESTISSEMENTS Y
AFFRENTS Y SONT TRAITS
PHILIPPE LANSON, DSI RENAULT

LA
TRANSFORMATION
NUMRIQUE
NENGENDRE PAS TOUJOURS UNE
INFORMATIQUE DEUX VITESSES

aux besoins dagilit), laccent est mis sur la ncessit

Pour

La

une

grande

partie

des

entreprises,

davoir des quipes IT communes, intgres et


ractives face aux besoins mtiers.

la

transformation

numrique

passe

par

des

transformation numrique correspond avant tout

interactions fortes avec les mtiers et augmente le

une transformation culturelle et donc, non seulement

besoin de proximit, de collaboration, de partage

un changement profond des mtiers de lentreprise

et dintgration entre les quipes IT et les quipes

mais aussi une volution majeure du modle

mtiers. Elle suscite aussi une rflexion sur les

daffaires, impactant la fois lorganisation, les

capacits des composants du systme dinformation

processus et les pratiques de management.

sadapter (rsilience du SI), dans un contexte


de modification des modles daffaires. Les DSI

Dans plus de 70% des cas, les entreprises se sentent

font galement des recherches prospectives de

prtes aux changements induits par la transformation

comptences sur des sujets tels que le Big Data, dont

numrique. Elles lenvisagent comme un facteur

lenjeu peut conduire repenser profondment les

positif dans leur mode de fonctionnement, leur

processus mtiers.

permettant dtre plus rapides, agiles et fiables,


risques structure et de ples dinnovation.

LES AVIS CONVERGENT SUR LES


APPLICATIONS PORTEUSES DAVENIR

Pour autant, elles ne peroivent pas comme une

Les innovations cites comme les plus porteuses

fatalit lmergence dune informatique deux

davenir sont nombreuses, mais on y trouve certaines

et ncessitant la mise en place dune gestion des

vitesses et les avis diffrent sur ce point. Dans le cas

tendances fortes :

o lexistence dune informatique deux vitesses est

avre (une IT traditionnelle pour grer le legacy

Golocalisation, Cloud et SaaS, Big Data, Analyse

ou dette technique - et une fast IT pour rpondre

dcisionnelle, e-Money, Objets Connects, Rseaux

Innovations

Mobilit,

voire

ultra

Mobilit,

i
1
Une vitesse de croisire pour les applications classiques, une vitesse acclre pour traiter les urgences de la transformation
numrique.

17

TRS TT, LA DIGITALISATION DE NOS OFFRES ET PRODUITS


EST APPARUE VITALE POUR LE DVELOPPEMENT DU GROUPE.
CEST TOUT NATURELLEMENT QUE NOUS VENONS DE
REGROUPER LES ACTIVITS INFORMATIQUES ET LINNOVATION
NUMRIQUE AU SEIN DUNE STRUCTURE TRANSVERSE.
CE DISPOSITIF, DOT DUN DPARTEMENT RECHERCHE ET
DVELOPPEMENT, VISE FAIRE DS AUJOURDHUI CE QUE
LES AUTRES FERONT DEMAIN, EN PROPOSANT NOTAMMENT
DES PROTOTYPES MTIERS. CELA NOUS PERMET DE
RENFORCER EN PERMANENCE LE CARACTRE INNOVANT
DE NOTRE CHANE DE VALEUR TOUT EN CONSOLIDANT NOS
FONDAMENTAUX EN MATIRE DE FONCTION INFORMATIQUE.
MEHDI MOHAMMEDI, DSI EDITIONS LEFEBVRE SARRUT

sociaux,

Dmatrialisation,

Outils

Il est intressant de voir que la scurit des donnes

collaboratifs,

Virtualisation des postes de travail et des serveurs.

est ici prsente comme un frein alors mme que la

- Evolution des approches : urbanisation, mthodes

messagerie est fortement externalise (plus de 40%

agiles permettant de dvelopper des ergonomies

en place ou en cours de mise en place).

adaptes l ensemble des environnements


dutilisation, projets orients clients (CRM, gestion de

Dautres utilisations applicatives du SaaS et Cloud

la relation client).

sont cites telles que :


- La gestion des notes de frais,

LE RECOURS AU MODE SAAS OU CLOUD


SE FAIT AVEC DISCERNEMENT

- La formation.

Les applicatifs RH, les serveurs, la messagerie, les


outils bureautiques et le CRM sont les premiers
systmes qui ont migr en mode SaaS ou dans
le Cloud (voir Figure 4). Concernant la RH, il est
probable que la migration vers le SaaS soit mettre
en relation avec lexternalisation des domaines RH,
qui se pratique depuis plusieurs annes.
Les applicatifs Finance, Supply Chain, Achats ne sont
pas considrs comme candidats potentiels ce
changement. Les raisons invoques cela sont :
- Scurit des donnes,
- Rglementation (confidentialit des donnes),
- Rversibilit.

18

FIG 4. NATURE DES APPLICATIFS EN MODE SAAS OU DANS LE CLOUD

19

FOCUS SUR LA
GESTION DES
RISQUES
L E N T R E P R I S E F A C E S E S E N J E U X
ET RISQUES NUMRIQUES

CHAPITRE
N. 3

20

LENTREPRISE FACE SES ENJEUX


ET RISQUES NUMRIQUES

FOCUS SUR LA GESTION


DES RISQUES
Et sinon un problme, du moins un risque de

TRIBUNE IFACI : LA MORT DES BCP SIGNET-ELLE LE RETOUR DES DSI ?

problme. Cest--dire un vnement, dot dune


certaine probabilit, dont la consquence sera quun

Longtemps, les organisations ont conjugu les BCP2 ,

objectif nest pas atteint : par exemple, en matire

pour conforter leur rsilience et le professionnalisme

de continuit dexploitation, de confidentialit de

de leurs dirigeants dsormais, face une

linformation, de fiabilit des traitements, de gestion

indisponibilit de leur informatique, ces dossiers

des jalons de projet, ou de respect des budgets

se rvlent dimpuissants suppltifs de leur bonne

Lapproche par les risques commence en effet

conscience, sauf si le BCP mime le DRP3 . Car la

toujours par les objectifs : pas dobjectifs, pas de

numrisation

le

risques. Et cest le management oprationnel qui en

paysage : le digital imprgne les processus des

prend linitiative, car il est le responsable ultime de

entreprises comme les modes de vie des hommes,

la performance des activits de son ressort, avec

dans une continuit du langage et des outils.

laide des fonctions de support et des fonctions

de

la

socit

mtamorphose

spcialises, comme le contrle interne et la gestion


Globalisation, concurrence, low cost, interconnexion,

des risques.

cloud, big data, HD, virtuel, principe de prcaution,


Pour les risques informatiques, cest le DSI qui est le

compliance, Des mots-concepts, symboles des


changements qui cernent les entreprises, entre menaces

manager oprationnel : lui de dcider des plans de

et opportunits, voire menaces et opportunits tout la

rduction et de traitement du risque quil convient de

fois. Au cur de chacune de ces transformations : les

mettre en place. Cest prsent la cible prioritaire de ses

systmes dinformation. Au centre des enjeux des

proccupations, car les risques informatiques figurent

systmes, le DSI. Si tout se passe bien, on lignore

dsormais en tte de liste des risques majeurs des

on le laisse tranquille. Sil y a le moindre problme,

entreprises. Quelques-uns sont mme des best sellers

on le carbonise.

dans toutes les cartographies : PCA, cybercriminalit,


conduite de projets, fraude, accompagnement des

Or, il surviendra toujours un problme. Par an ? Par

mtiers et des transformations.

mois ? Par jour ?

i
2
3

Business Continuity Plan : Plan de continuit dactivit


Disaster Recovery Plan : Plan de reprise dactivit

21

Au fil du temps, les enjeux du DSI taient passs de

la performance globale de lentreprise devient ainsi

la matrise des technologies celle des cots. Lune

de plus en plus crucial et visible. Vive la complexit !

et lautre dimension ne sont pas miraculeusement


devenues obsoltes, mais dsormais le DSI doit les

FARID ARACTINGI

positionner dans une vision plus globale, articule

PRSIDENT, IFACI

autour des risques. Au cur des objectifs du DSI, la

DIRECTEUR AUDIT, MATRISE DES RISQUES

capacit des systmes accompagner lvolution des

ET ORGANISATION, RENAULT

mtiers. Au cur de sa performance, lapproche par

PRSIDENT DE RENAULT CONSULTING

les risques, pour dterminer toutes les mesures, quil


doit mettre en place ou quil doit inciter lorganisation
mettre en place, par une animation transversale
et rsolue des fonctions, par exemple travers un
Comit des risques informatiques. Le DSI veillera
lquilibre de la ligne de crte de la gestion des risques
informatiques, pour viter de verser caricaturalement
dans lune des deux attitudes :
- Cder la paranoa entretenue par les marchands de
peur, qui gnralisent des exemples catastrophiques
singuliers pour vendre des dispositifs ;
- Se laisser endormir par la qualit du service
oprationnel rendu, car une informatique performante
ne constitue pas une garantie de matrise des risques.
Le DSI fut jadis un technologue au langage sotrique.
Plus tard, il muta en contrleur de gestion focalis sur
la rentabilit des projets. Dsormais, il doit devenir
un visionnaire et un leader. Un visionnaire lcoute
des sources dinformation de plus en plus varies
sur les volutions technologiques et conomiques.
Un leader capable de pdagogie et dassertivit.
Cest beaucoup plus difficile mais son impact sur

22

FIG 5. MAITRISE DES BONNES PRATIQUES EN MATIRE DE GESTION DES RISQUES

LE RFRENTIEL COBIT5 FIGURE EN BONNE


PLACE PARMI LES RFRENTIELS DE LA
DSI

des risques, mme si la version 3 traite cette thmatique

Les DSI matrisent un certain nombre de rfrentiels,

Asset Management (SAM), lest beaucoup moins.

travers la gestion des services.


Les Normes ISO 27001 et 9001 sont plutt bien connues.
Par contre ISO 19770, standard rcent sur le Software

en particulier ITIL et ISO. COBIT 5 apparait dans prs

Sont notamment cits parmi les autres rfrentiels :

de la moiti des cas comme un rfrentiel dont ils

CMMI et Prince2.

ont une bonne, voire une excellente connaissance

(voir Figure 5).

CERTAINS ENJEUX HUMAINS PROCCUPENT


LES DSI

Par ailleurs, nos entretiens nous ont permis de constater


que lapplication de ces rfrentiels est loin dtre

Les proccupations principales des DSI concernent

systmatique, lexception dITIL qui accompagne

avant

souvent des refontes compltes de processus.

tout

la

gestion

des

comptences

et

laccompagnement du changement, suivis de


prs par le rle du management intermdiaire et

LE GUIDE AGSI EST ASSEZ PEU CONNU

la dpendance des personnes cls. Ladaptation


de lorganisation et le stress au travail sont un peu

Seuls 8% des rpondants dclarent avoir une bonne

en retrait. Quant la rotation des quipes et la parit

connaissance du guide AGSI, contre 69% de rponses

Homme / Femme, elles apparaissent comme de

Aucune connaissance ce qui renforce lutilit de cette

faibles proccupations, mme si beaucoup admettent

consultation.

que leurs quipes sont majoritairement masculines.

(voir Figure 6).

ITIL de son ct simpose comme un vritable standard


au sein des DSI. Plus de 80% de nos interlocuteurs en
ont au minimum une bonne connaissance. Les DSI
consults le mettent plus en avant comme rfrentiel de
bonnes pratiques que comme un rfrentiel de gestion

23

DES BILANS PROJETS SYSTMATIQUES SONT RALISS


GRCE DES OUTILS BASS SUR LE RFRENTIEL COBIT,
AFIN DTABLIR UNE ANALYSE DU NIVEAU DE MATURIT
ATTEINT. LE BILAN PROJET PERMET DE MESURER LCART
ENTRE LA SITUATION INITIALE ET LE RALIS.
UN RETOUR SUR EXPRIENCE DE CHACUN DENTRE EUX EST
PRSENT EN COMIT ETUDES ET PROJETS
JEAN-CHARLES DURET FERRARI, SCURIT DES SYSTMES DINFORMATION,
LA FRANAISE DES JEUX

En complment de cette analyse, les rpondants nous

(exemple : scurit),

ont fait part de certaines proccupations qui clairent

- Capacit motiver les cadres seniors pour quils

ce qui est dit propos de la stratgie numrique :

progressent technologiquement et accompagnent le


changement.

- Qualit de la relation avec les mtiers,


- Adaptation des formations pour aider ces derniers
gagner en maturit et en sensibilit certains sujets

FIG 6. NIVEAU DE PROCCUPATION DES DSI FACE AUX ENJEUX HUMAINS

24

NOTRE GOUVERNANCE INFORMATIQUE SAPPUIE NOTAMMENT SUR


LEXISTENCE DE TROIS COMITS MENSUELS :
- UN COMIT STRATGIQUE DES SI (CSSI), OPRATIONNEL DEPUIS
2 ANS, AUQUEL PARTICIPENT LES DIRECTEURS MTIERS, QUI
EXAMINE LA PROGRAMMATION, LES QUESTIONS TRANSVERSES, ET
LAVANCEMENT DES PROJETS STRATGIQUES ;
- UN COMIT DENGAGEMENT (LE COMIT DE PILOTAGE DES
INVESTISSEMENTS INFORMATIQUES), AUQUEL SONT PRSENTS TOUS
LES DOSSIERS DINVESTISSEMENT SUPRIEURS 300 K, LES PRISES
DE DCISIONS SE FAISANT PARTIR DE DOSSIERS TRS TAYS ;
- UN COMIT DES MOA, VOCATION DANIMATION ET DCHANGE,
AUQUEL SONT NOTAMMENT PRSENTS LES BILANS DE FIN DE
PROJET, SUIVANT UNE GRILLE FORMALISE.
ANDR SCHWOB, DSI CAISSE DES DPTS ET CONSIGNATIONS

LE SUIVI DES RISQUES PROJETS SI


SINTENSIFIE ET ENTRE DANS LE
DOMAINE DES COMITS STRATGIQUES

voire jamais, soulignent que leurs responsables de

La gestion des risques se systmatise dans les projets

Si les rsultats sont globalement encourageants,

et figure dans prs de 90 % dentre eux. A y regarder

on peut se poser la question de limpact de

de plus prs (voir Figure 7), cette dimension des

la

projets manquent de comptences ou de maturit,


voire dune politique danalyse des risques bien dfinie.

rglementation

sectorielle

assurance,

(Etablissements

risques est systmatique pour moins de la moiti des

financiers,

secteur

pharmaceutique,

rpondants ; les autres se concentrent sur les projets

agro-alimentaire), voire de SOX,

sur les rsultats

critiques ou stratgiques (27%), ou les grands projets

affichs. Une grande proportion de nos rpondants

(18%). Ceux qui ne font cette analyse que rarement,

correspond ces critres.

FIG 7. GESTION DES RISQUES INTGRE DANS LES PROJETS SI

25

FIG 8. NIVEAU DE SENSIBILISATION DE LENTREPRISE AU RISQUE SI

10%
Non

20%
Non

90%

80%

50%
Oui

50%
Non

Oui

Oui

SI peru comme une zone de

Connaissance des risques

Entreprise suffisamment

risque majeur

majeurs identifis par

sensibilise aux risques

lentreprise

numriques

risques ? On peut supposer que lapprhension des

LA GNRALISATION DU PORTEFEUILLE
DE PROJETS NE SEMBLE PAS CONTRIBUER
AU SUIVI DES RISQUES

risques projets se fait par dautres moyens : revue


projet par projet, alertes, etc. De grands progrs
restent faire dans la mise en place et le suivi

Un peu plus de 80 % des entreprises dclarent

systmatique dindicateurs de risques, tels que le

possder un portefeuille de projets. Nanmoins, ce

prconise le rfrentiel Risk IT.

portefeuille nest utilis dans la gestion des risques

LE RISQUE SI EST PERU MAIS DIFFUS,


ET LA SENSIBILISATION AU RISQUE
NUMRIQUE RESTE INSUFFISANTE

que dans un cas sur deux. Cela conduit se poser


deux questions :
- Les rpondants partagent-ils la mme vision du
portefeuille projets ?

Larticulation entre risque li au SI et le risque

- Peut-on concevoir un tel portefeuille sans y intgrer un

dentreprise est un sujet central et dlicat. Si les SI

minimum dinformations sur les risques lis aux projets ?

apparaissent nos rpondants comme une zone


de risque majeur dans prs de 90% des cas, les

A ces questions vient se greffer une interrogation

cartographies des risques dentreprises semblent loin

complmentaire: si prs de 90% des entreprises

de faire apparatre le mme constat (voir Figure 7).

dclarent intgrer une gestion des risques dans leurs


projets, pourquoi une sur deux seulement a-t-elle

Pour autant, notre consultation met en relief une trs

recours au portefeuille de projets pour suivre ces

bonne connaissance par les DSI, des risques majeurs

NOUS AVONS SIMPLIFI NOTRE VISION DU PORTEFEUILLE


PROJETS EN LORGANISANT PAR PROGRAMME. CETTE
NOTION DE PROGRAMMES NOUS A PERMIS DAVOIR UNE
VISION COHRENTE DES PROJETS ET DE FACILITER LES
ARBITRAGES MAJEURS AU SEIN DU GROUPE.
SAMATAR MORIN, DSI CITELUM

26

NOUS OPRONS UNE SCURISATION PLUS OU MOINS POUSSE,


SELON LE NIVEAU DE SENSIBILIT DES TRAITEMENTS ET
DONNES, EN UTILISANT LE RFRENTIEL OWASP (OPEN WEB
APPLICATION SECURITY PROJECT) POUR PRENDRE EN COMPTE
LES BESOINS DE SCURIT DS LA CONCEPTION ET LE CODAGE
DES APPLICATIONS.
HUBERT TOURNIER, ADJOINT DOSI GROUPEMENT DES MOUSQUETAIRES, DG ADJOINT STIME

de lentreprise. Il est possible que cette connaissance

- Continuit dexploitation,

ne soit pas lie lexamen de cartographie Groupe

- Perte de comptences (ou dpendance des

proprement dit, mais une participation diffrents

ressources cls),

Comits de direction.

- Scurit.

Certes, le SI parat tre pris en considration comme

Parmi les risques frquemment cits, on relve aussi :

une zone de risque significative, mais il nen est pas

crise sur des projets sensibles, confidentialit des

de mme de la sensibilit aux risques numriques ;

donnes, obsolescence technique, dfaillances

peine la moiti des entreprises consultes serait

dinfrastructures.

suffisamment sensibilise. Il reste encore beaucoup

LE PILOTAGE DES RISQUES SI SE FAIT


AVEC LAPPUI DE LAUDIT INTERNE ET DU
RISK MANAGEMENT

faire ce niveau (voir Figure 8).


Interrogs sur les cinq risques majeurs auxquels
les DSI doivent faire face, nos interlocuteurs citent

La pratique dassurance des risques SI est encore

essentiellement, par ordre dimportance dcroissante :

peu usite (voir Figure 9) et concerne les entreprises

- Cybercriminalit et fraude informatique,

dont lassurance est le cur de mtier, celles o le

- Incidents de production,

risque dactivit est extrmement lev et celles dont


FIG 9 . PILOTAGE DES RISQUES SI
( PLUSIEURS RPONSES POSSIBLES )

en prenant compte les niveaux


dapptence et de tolrance

72%

par probabilits

42%

par cots

24%

autrement

12%

en les assurant

10%

27

FIG 10. RGULARIT DES INTERACTIONS AVEC LA DIRECTION DES RISQUES

16%

14%
Mensuelle
Trimestrielle
Semestrielle

21%
31%

Annuelle
Jamais

18%

lactivit a une dpendance trs forte linformatique.

risques numriques se fait un rythme trimestriel, voire

Dans la majorit des cas, le pilotage des risques se fait

a minima dans un cadre formalis (voir Figure 10). Dans

sur une base danalyse dapptence et de tolrance,

40 % des cas, il sagit dune rencontre semestrielle ou

comme on peut le constater dans la Figure 9. Dans

annuelle. A loppos, dans 16 % des cas il ny a aucune

un seul cas, il est fait mention dune coopration avec

interaction entre les acteurs.

lAudit interne dans le pilotage des risques SI. Ce constat


confirme que lAudit interne se situe plus au niveau de

Il en ressort que les systmes dinformation sont

la dtection des risques quen accompagnement fort

perus comme un risque diffus plus que comme un

leur rduction.

risque spcifique suivi comme tel. Dans la plupart des


cas, il apparat que cette discussion sur les risques

Comment identifier les risques IT ? Si certains

numriques se fait notamment loccasion de grands

pratiquent une analyse top down (un quart) ou bottom

projets de transformation et quelle ne constitue pas

up (20%), plus de 50% combinent les deux approches.

un exercice rcurrent.

Par ailleurs, prs de 80% des rpondants dclarent


possder des cartographies de risques ( jour dans

Malgr 11 cas o le sujet nest pas trait, on note une

60% des cas).

bonne sensibilisation aux risques de la Cybercriminalit


notamment au niveau du COMEX, du Comit dAudit,
du Comit des Risques et des responsables Mtiers.

La mise au point de cette cartographie des risques fait


appel, par frquence descendante de citation, :

En ce qui concerne le degr dimbrication des

- Audit interne,

risques SI et mtiers, il est considr comme fort

- DSI,

voire total dans au moins 45% des cas, exemples

- Risk Manager,

lappui : interruption des chanes de production, des

- RSSI.

tlcommunications par exemple.

Souvent, cette cartographie est mene par des


quipes mixtes (RSSI/DSI ou DSI/Audit interne).

Interrogs sur les mesures danticipation en place,

Par ailleurs, plus de 40% des rpondants dclarent

les DSI semblent concentrer leurs efforts sur les

ne pas avoir de systme spcifique de dtection des

applications les plus importantes, en privilgiant les

risques informatiques. Les mieux quips voquent

analyses dimpact, suivies des plans de continuit, des

certains outils internes ou des systmes dalerte.

dispositifs de gestion de crise et des plans de reprise

Dans prs de la moiti des cas, la discussion sur les

dactivit. Mais le schma ci-aprs (voir Figure 11)

28

FIG 11. MESURES DANTICIPATION

montre que beaucoup de progrs sont raliser dans

la mise en place dun programme de formation

ce domaine.

destination des utilisateurs. Plus rcente, la cration


de SOC (Security Operation Centers) est galement

Les raisons invoques pour labsence de dispositifs

mentionne.

sont diverses : manque de motivation des mtiers,

- Parmi les autres mesures spcifiques cites, notons

maturit insuffisante, absence de prise de dcision.

les tests dintrusion et les audits ISO 27001.

Sagissant de la maintenance de ces diffrents


dispositifs :

Les amliorations prvues pour une meilleure matrise

- Les plans de continuit sont tests tous les ans ou

des risques sont trs larges, savoir : une gouvernance


unifie des risques, des tableaux de bord scurit

plus souvent dans un cas sur deux,

assortis de KPIs, la gnralisation des PCA et PRA, un

- Les dispositifs de gestion de crise sont tests

serious game sur la cyberscurit ( limage de celui

annuellement ou plus dans deux cas sur trois,

dvelopp pour le compte du CIGREF), un programme

- Les plans de reprise dactivit sont tests annuellement

de sensibilisation des mtiers. La Figure 12 rcapitule

ou plus dans 3 cas sur 4.

ces mesures.

Concernant la scurit des systmes dinformation

En ce qui concerne les mesures daudit dont

proprement dite, les entreprises ont souvent mis en

les DSI font lobjet, les rponses soulignent une

place un ensemble trs complet de mesures visant se

gnralisation de ces pratiques sur un grand nombre

protger contre les risques gnraux ou spcifiques :

de sujets, et avec une frquence significative :

- Parmi les mesures les plus courantes : la dfinition

- Les audits applicatifs sont frquents, un rythme

dune politique ou dun plan de scurit, la nomination

quasiment annuel,

dun RSSI, le dploiement doutils de contrle ou

- Les audits de scurit se pratiquent plusieurs fois par an,

29

FIG 12. LMENTS MIS EN PLACE EN TERME DE SCURIT INFORMATIQUE


( PLUSIEURS RPONSES POSSIBLES )

- Les cartographies des risques se font un rythme

Gnrale, elles sont bonnes voire excellentes avec

plus variable,

lAudit interne, et bonnes avec lAudit externe. A

- La revue de la gouvernance informatique est plus

ce sujet, de nombreux interlocuteurs ont soulign

rare (tous les 2 5 ans),

le rle constructif de lAudit externe, qui apparat

- Les revues de maturit de processus sont peu

frquemment comme un interlocuteur rgulier et

frquentes,

utile dans les revues systmatiques des contrles

- Les revues de conformit sont en majorit annuelles,

gnraux et des applications caractre financier.

- Les revues de licences se font presque tous les


ans, voire plusieurs fois par an,
- Les revues de projet sont peu frquentes
- Les audits de conformit de tiers restent lexception,
- Pour les autres revues, beaucoup citent les tests
dintrusion, les audits SOX, les PCI/DSS, les
diagnostics dAudit interne.
Par contre, il est intressant de noter que les DSI euxmmes ne commanditent pas beaucoup daudits et
que le spectre de ces derniers est plus cibl : tests
dintrusion, revues de code, diagnostics de scurit,
revues tierces, audits de cot ou dorganisation.
Sagissant des relations avec les diffrents
partenaires de la gestion des risques, elles semblent
encourageantes : juges bonnes avec la Direction

30

FOCUS SUR LA
MATRISE
DES COTS
L E N T R E P R I S E F A C E S E S E N J E U X
ET RISQUES NUMRIQUES

CHAPITRE
N. 4

31

LENTREPRISE FACE SES ENJEUX


ET RISQUES NUMRIQUES

FOCUS SUR LA MATRISE


DES COTS
TRIBUNE AFAI : MATRISER LE RUN ET
OPTIMISER LE BUILD

fournis par la DSI ses clients est galement essentiel


pour pouvoir tablir le rapport qualit/cot des
services en corrlant leur cot avec le niveau de

Les systmes dinformation restent pour de

qualit convenu et formalis dans des contrats de

nombreuses directions dentreprise un sujet complexe

niveau de service (SLA).

dont on ne sait pas toujours quoi penser. Au-del de


la qualit des services bureautiques, intuitivement

Pour tablir cette corrlation, la mise en uvre

mesurable, les systmes de lentreprise sont-ils bien

dun catalogue de services clients fournis

adapts ? Ne sont-ils pas trop complexes ? Trop

par linformatique ses clients internes est donc

chers ? Sont-ils un atout ou plutt un frein ? Le fait

un prrequis, car sans lui aucun rapprochement

dvoquer si souvent lalignement de linformatique

pertinent entre qualit et cot nest possible.

avec le Mtier comme un facteur cl de succs

Une fois le catalogue tabli en commun entre la

illustre bien que cet alignement ne va pas de soi.

DSI et ses clients, il est indispensable danalyser

Mme si cet alignement est la priorit absolue en

les cots de la DSI par activit (ex : hot line) pour

termes de contribution de linformatique la cration

pouvoir valoriser le cot complet du service client

de valeur pour lentreprise, il est galement important

(ex : mise disposition de lapplication X). Cest alors

de matriser les indicateurs conomiques qui lui sont

que dmarches de type ABC (Activity Based Costing

attachs : le contrle des cots dune part, et latteinte

= Valorisation base sur les activits) prennent toute

des bnfices Mtier dautre part.

leur signification en permettant de calculer ces cots

Pour ce faire, il est indispensable de rpartir les

complets (TCO = Total Cost of Ownership) sur les

activits de linformatique en 2 volets, quil importe

bases les plus factuelles possibles.

de bien distinguer, car chacun relve dun mode de


gestion compltement diffrent :

En labsence de standards tablis, le CIGREF et

01 Run (produits/services rcurrents) : comme pour

Gouvernance des Systmes dInformation), un modle

une usine de production, il sagit de produire moindre

dit modle de benchmarking des cots informatiques

cot pour un niveau de qualit donn. Lvolution dans

. Ce modle sappuie sur un rfrentiel technico-

le temps du cot unitaire des produits/services, pour

conomique qui normalise les ressources (personnel,

un niveau de qualit gal, est alors lindicateur de

prestations externes, matriels, logiciels, ), les activits

productivit et donc de performance dans la gestion

(hot line, maintenance, dveloppement, rseau, gestion

de cette partie du budget.

administrative, ) et les services clients de la DSI (mise

Le calcul du cot unitaire des produits/services

disposition de postes de travail, mise disposition

lAFAI ont dfini, dans le cadre de lIGSI (Institut de la

dapplications, projets techniques et Mtiers,).

32

Ce modle, bas sur les principes de la dmarche

la Direction Gnrale et des Directions Mtiers, aprs

ABC, vise non seulement faciliter les comparaisons

consultation de la DSI. En aucun cas, il ne peut sagir

entre

dune dcision de la seule DSI.

entreprises

pour

dgager

des

pistes

damlioration, mais aussi laborer en interne des


cots unitaires sur la base dun modle reconnu afin

Pour que la DG puisse arbitrer entre les projets, en

quils ne soient pas sujets caution et quils puissent

toute connaissance de cause, il est indispensable que

faciliter ainsi le dialogue entre les diffrentes parties-

ceux-ci soient prsents, dans le cadre dune gestion

prenantes du SI.

globale dun portefeuille de projets, sous la forme dun

Disposer dun calcul de cots tay par des lments

business case valid la fois par les Directions

factuels et sappuyant sur un modle reconnu est une

Mtiers et par la DSI.

condition sine qua non pour pouvoir prendre, en

Une fois la dcision de lancement prise par la DG, la

connaissance de cause, des dcisions, aussi bien

DSI sera responsable du respect des aspects Cot,

caractre oprationnel telles que lajustement de la

Dlai, Qualit des projets lancs et de leur impact

production des services au niveau de qualit requis

sur le Budget Informatique. Toutefois limpact principal

ou encore leur facturation interne, qu caractre

sur le Budget Informatique provient videmment de la

stratgique telles que lexternalisation de tout ou

dcision de lancer ou non tel ou tel projet.

partie de tel ou tel service A ce titre, cest donc un


facteur de progrs trs puissant.

La ngociation budgtaire, qui va allouer les ressources

02 Build (Projets de transformation et dadaptation) :

tenir compte de ces deux volets distincts et de leurs

les projets obissent une logique compltement

caractristiques propres notamment en termes de

diffrente de celle de la production. Il sagit, cette fois,

responsabilit dans lengagement de la dpense.

dun investissement pour le futur, dont lentreprise est

iso budget, il est videmment souhaitable de rduire

en droit dattendre un retour en termes de cration

le volet Run par des actions de type mutualisation,

de lentreprise linformatique, doit donc videmment

de Valeur , soit sous forme de gain financier, soit

benchmarking,

sous une forme plus qualitative (amlioration de la

parc applicatif,... pour pouvoir consacrer davantage

traabilit, rduction des dlais de dveloppement,

de

etc). Dans le contexte de la transformation numrique ,

indispensables sa survie, notamment dans le

il en va mme de la comptitivit de lentreprise voire

contexte de lconomie numrique.

ressources

externalisation,
aux

projets

de sa survie.
Le lancement de tels projets mtiers ayant une

ANTOINE VIGNERON

composante SI significative est donc une dcision de

SECRTAIRE GNRAL DE LAFAI

33

simplification
de

du

transformation

FIG 13. BUDGET ENTRE 1 ET 4% DU CA

4%

12%

8%

Moins de 1 %
Entre 1 et 2 %

10%

Entre 2 et 4 %

36%

Entre 4 et 6 %
Entre 6 et 10 %
Plus de 10 %

30%

LES DSI VEULENT MIEUX CONNATRE ET


MATRISER LEURS COTS

LA PART RESPECTIVE RUN/BUILD EST


MIEUX CONNUE QUE LA PROPORTION
OPEX/CAPEX

Prs de 75% des rpondants ont des budgets SI


infrieurs 4% de leur chiffre daffaires. (voir Figure 13)

15% des entreprises nont pas su donner une

Les organisations publiques et les tablissements

estimation de la rpartition entre leurs cots projets et

financiers sortent de cette fourchette :

leurs cots rcurrents (ou cots de fonctionnement).

- Les premires raisonnent en budget et non en

Environ 30% des rpondants ne savent pas non plus


dterminer la part des OPEX / CAPEX de leur budget.

chiffre daffaires,

Une telle situation prouve quen dpit des efforts

- Les seconds peuvent avoir, selon la taille de

raliss, les DSI peuvent encore progresser dans la

ltablissement, un montant trs lev en valeur

connaissance prcise des cots IT. Cela peut se faire

absolue, mais minime en pourcentage du produit

grce au concours de la Comptabilit Gnrale et du

net bancaire ou, trs fort en valeur relative pour des


tablissements de taille modeste.

Contrle de gestion.

Dans 44 % des cas, le budget DSI nest pas mis en

Pour les entreprises qui ont rpondu (voir Figure 15),

rapport avec les frais gnraux, ce qui confirme un

on observe :

faible recours cet indicateur dans lanalyse des cots

- Une rpartition moyenne de 35% pour les cots

informatiques. Les DSI interrogs nous ont confirm ce

projets et 65 % pour les cots de fonctionnement.

point, en nous confiant que leur Direction Gnrale leur

Cette rpartition est homogne car seules 10% de ces

demandait rarement de commenter ce pourcentage.

entreprises allouent jusqu 50% (et plus) aux cots


projets.

Pour les 56% de DSI qui suivent cet indicateur, on

- Une rpartition moyenne de 66% des charges en

observe (voir Figure 14) :

OPEX et 34% en CAPEX : cette rpartition est moins


homogne que dans le cas prcdent - les charges

- 16% ayant un budget moins de 10% des frais gnraux,

en OPEX par exemple varient de 20 95 %. Il est

- 30 % ayant un budget entre 10 et 20% des frais gnraux,

prvoir que le dveloppement du SaaS aura un

- 10% dpassant 20% des frais gnraux.

impact non ngligeable sur cette proportion.

34

FIG 14. BUDGET PEU RAPPORT CELUI DES FRAIS GNRAUX

La forte dcentralisation dun groupe ou ladoption dune

Investissements logiciels / Matriels


Dans plus de 80% des cas, la DSI matrise

gouvernance dentreprise diffrente peut galement

les

conduire des investissements non directement traits

investissements

logiciels

et

matriels.

Si

par la DSI (in-business computing).

linvestissement chappe son contrle, il sagit


souvent de cas prvus tels que :

Statistique de fonctionnement

- une procdure simplifie,

Le recours aux quipes externes est trs gnralis,

- un logiciel trs spcialis dans le mtier concern,


- un recours mtier une solution SaaS,

puisque ces dernires reprsentent en moyenne un

- une rponse une spcificit locale.

tiers des effectifs. Au global, 70% des rpondants


estiment

que

leurs

ressources

informatiques

Lenqute ne nous a pas permis dtablir la part relative

correspondent leurs besoins. Pour les autres, ce

des montants dinvestissements non matriss par la DSI.

besoin identifi avoisine 25% des ressources en place.

FIG 15. UNE LARGE PARTIE DU BUDGET DDIE AUX COTS DE FONCTIONNEMENT

35%
BUILD
65%
RUN

35

FIG 16. FREINS RENCONTRS POUR LA MISE EN PLACE DE LA MUTUALISATION


( PLUSIEURS RPONSES POSSIBLES )

Les comptences identifies comme manquantes

LA
MUTUALISATION
CROISSANTE
CONTRIBUE UNE MEILLEURE MATRISE
DES COTS

recouvrent plusieurs cas de figure :


- Scurisation de lexistant : expertises spcifiques
sur des technologies mainframe par exemple,

Une majorit dentreprises (75%) a globalis plus de la

administration systme, rseau, bases de donnes et

moiti de ses services informatiques entre le groupe

scurit SI.

et ses filiales.

- Evolution et Innovation : architecture, urbanisation,

De la mme faon, les entreprises qui ont rpondu

expertises Cloud ou SaaS, Big Data, mthodes agiles,

notre questionnaire envisagent gnralement de

nouvelles technologies et numrique.

renforcer cette globalisation. Ne pas renforcer cette

- Renforcement de la relation avec les mtiers et du

globalisation correspond une dcision stratgique ou

PMO, grce des chefs de projets polyvalents et de

un potentiel maximal dj atteint (globalisation 100%).

bon niveau.

UN APPSTORE INTERNE EST EN COURS DE RALISATION POUR


FAIRE CONNATRE ET VALORISER LES APPLICATIONS LOCALES .
ANNIE PRVT, DSI CNAF

36

FIG 17. EXTERNALISATION DE FONCTIONS ET NIVEAU DE SATISFACTION EXPRIM


( NOMBRE DE RPONDANTS )

35
30
25
20
15
10
5

Trs satisfait

Satisfait

Moyennement satisfait

He
lp D
esk
Ma
int
ena
nce
app
lica
tive
D
vel
opp
em
ent

We
b
Sup
por
t po
ste
de
tra
vai
l

Ge
stio
nd
u r
sea
u

Exp
loit
atio
n

tu
des
Arc
hit
ect
ure
/U
rba
nis
me
Tes
ts e
t re
cet
tes
Sup
por
t ap
plic
atif

Sc
urit

Pas externalis

Les lments principaux dj mutualiss sont les

Par contre le dveloppement, la maintenance applicative

infrastructures, le rseau, le support et les applications

et le support (niveau 1 et poste de travail) sont des

transverses telles que les ERP.

fonctions largement externalises.

Les freins rencontrs la mutualisation sont pour la

Le taux de non satisfaction exprim (peu ou pas du

plupart lis la crainte (voir Figure 16) :

tout satisfait) parat faible ; pour autant on constate

- De la perte de proximit, de ractivit,

des potentiels damlioration du service pour le Help

Desk, le Dveloppement applicatif et de la gestion du

- Que les spcificits locales ne soient pas compltement


prises en compte.

rseau.

Pour autant prs de 14% considrent quaucun frein na

Les prconisations recenses portent sur :

entrav la mise en place de cette globalisation, comme

- Une plus grande proximit des infogrants avec le

en tmoigne la Figure 16 .

mtier passant galement par une diminution du taux


de rotation des prestataires,

LE RECOURS LEXTERNALISATION
RESTE TRS SLECTIF

- Une meilleure ma trise des processus externaliss et


des contrles renforcs mettre en place (dtection
dune sous-traitance mise en place par linfogrant)

Les entreprises ayant rpondu externalisent peu


larchitecture /urbanisme, les tudes et la scurit.

(voir Figure 17) Nous navons pas trouv de lien


apparent entre cette faible externalisation et la taille des
entreprises considres.

37

FIG 18. LES RAISONS QUI AMNENT EXTERNALISER


( PLUSIEURS RPONSES POSSIBLES )

Enfin, dans la rubrique Autres du tableau, on

LES RAISONS QUI POUSSENT


EXTERNALISER APPARAISSENT CONTRASTES

trouve des raisons lies la politique RH ou au mode


dexcution du service.

Les

raisons qui poussent les entreprises

LE CATALOGUE
GNRALISE

externaliser (voir Figure 18) sont essentiellement


de deux ordres : financires ou lies au manque
de comptences techniques. Les rpondants sont
nanmoins conscients du fait quune insuffisance
de comptences techniques peut constituer un
handicap quand il sagit de suivre ou de bien piloter
une externalisation. La recherche de qualit des
services est galement cite dans les raisons qui

DE

SERVICES

SE

Le catalogue est devenu un rfrentiel rpandu au sein


des DSI. Il permet de dcrire, de manire normalise,
les services fournis par la DSI et dy affecter des
niveaux de services et des cots (voir Figure 19) :
- Plus de 40% des entreprises possdent un catalogue

poussent externaliser.

NOUS AVONS DVELOPP UNE RELLE MATRISE DES


PROCESSUS DE TIERCE RECETTE APPLICATIVE, CE QUI
NOUS PERMET DE TESTER NOS SYSTMES DUNE MANIRE
RIGOUREUSE SANS POUR AUTANT REMETTRE EN CAUSE LEURS
DLAIS DE LIVRAISON.
FRANCK TARRAGNAT, DSI M6

38

FIG 19. POSSESSION DUN CATALOGUE DE SERVICE

14%

Oui
Non

40%
24%

En projet
En cours

22%

de services,

LUSAGE DUN CONTRLE DE GESTION


APPROFONDI NEST PAS ENCORE
RPANDU

- 45% des entreprises sont en cours de mise en place


du catalogue ou ont en projet de le faire,
- Seules 14% des entreprises nenvisagent pas dengager
des travaux de mise en place de catalogue.

Le calcul du cot de revient des activits nest pas


gnralis : 40% des entreprises ne le font pas, ce qui

Nous ne disposons pas dinformation sur lexhaustivit

signifie que leur catalogue de services est davantage

des catalogues de services, mais les entretiens mens

un outil de communication en interne quun outil de

nous ont permis de constater quun grand nombre de

pilotage des cots. A ce titre, nous avons constat

ces catalogues sont loin dtre exhaustifs. Beaucoup

que 60% des entreprises disposant dun catalogue de

dentre eux se limitent aux prestations de fourniture,

services navaient pas de systme de calcul des cots

mise en place et support des postes de travail,

informatiques.

serveurs ou autres lments dinfrastructure.


Les entretiens avec les DSI ont rvl quil ny a pas
La performance des services rendus est mesure

ncessairement un alignement strict entre calcul des

dans 70% des cas, au travers de SLA et de KPI. Son

cots, catalogue de services et refacturation : autrement

suivi est alors pilot de manire gnralise au

dit, certains catalogues de services ne sappuient pas

travers de la combinaison :

sur une analyse exhaustive des cots, et ne servent pas

- Dutilisation doutil de ticketing,

de base leur refacturation. Par ailleurs, la refacturation

- De publication de tableaux de bord,

des cots se fait encore souvent de faon empirique, par

- De runions avec les mtiers.

grandes masses.
Pour les entreprises qui calculent ces cots (30% au total),
les outils disposition sont peu connus de la DSI et il

39

NOTRE SCHMA DIRECTEUR INFORMATIQUE A T


VOLONTAIREMENT CENTR SUR LA RDUCTION DES COTS
ET LAGRGATION DES INITIATIVES ISOLES (IN BUSINESS
COMPUTING). A TITRE DEXEMPLE, LA VIRTUALISATION DES
SERVEURS DANS LE CLOUD PRIV A PERMIS DATTEINDRE EN
DEUX ANS UNE CONOMIE DE 70% DES COTS INITIAUX.
JEAN-LUC AMAGAT, DSI NEXTIRA ONE

sagit principalement dExcel lorsque ce nest pas trait

- Un service au sein du dpartement informatique

directement par le contrle de gestion. Le questionnaire

pouvant aller jusqu 80 personnes

ne nous a pas permis dtablir si ces cots faisaient

Il reste cependant 30 % des entreprises qui ne voient

lobjet dun benchmark avec les cots des solutions

pas lintrt dune fonction Contrle de Gestion (ce

externalises. Par contre nous avons not au cours de

nest ni en place ni en projet).

nos entretiens de bonnes habitudes de collaboration


entre DSI et contrle de gestion pour ltablissement

Mesure de rduction de cots

des budgets et les calculs de prix de revient.

De manire prpondrante, les rductions soprent :


- Par centralisation et mutualisation (serveurs,

Refacturation des cots informatiques

messageries, tlphonie)

Plus de la moiti des entreprises refacturent leurs

- Par rengociation des contrats avec le support du

cots informatiques.

dpartement des achats.


- Mais aussi par le recours certaines pratiques ou

Pour celles qui ne le font pas, les raisons sont diverses :

approches :

- Lintrt de cette pratique ne semble pas pertinent

Offshoring,

au regard de la taille de lentreprise,

Infogrance, externalisation, CSP,

- Il existe un frein culturel,

Virtualisation, Cloud, SaaS.

- La difficult technique de mise en place est juge


importante,

De faon moins systmatique, on note aussi les

- Le pilotage est effectu au travers du budget.

mesures suivantes :
- Passage au crible des projets visant une meilleure
comprhension par le mtier des cots engags par la
DSI (arbitrage, gestion de portefeuille projet),
- Analyse qualit, pour laugmenter sans variation du
cot,
- Ralisation dun audit des cots,
- Recours linternalisation.

Fonction Contrle de gestion intgre la DSI


Plus de la moiti des entreprises rpondantes
disposent dune fonction contrle de gestion intgre
la DSI. Cette fonction prend deux formes :
- Quelques (de 1 4) personnes intgres aux quipes DSI,

LINTERNALISATION DUN GROS CONTRAT DINFOGRANCE


NOUS A PERMIS DE DIVISER NOS COTS PAR QUATRE, AVEC
UN GAIN SENSIBLE EN MATIRE DE RACTIVIT
FRANCK TARRAGNAT, DSI M6

40

SYNTHSE

L E N T R E P R I S E F A C E S E S E N J E U X
ET RISQUES NUMRIQUES

CHAPITRE
N. 5

41

LENTREPRISE FACE SES ENJEUX


ET RISQUES NUMRIQUES

SYNTHSE
Drle de numro dquilibriste que celui du DSI,

personnalisation

dont le rle est daccompagner lvolution des

maintenant tre pour lui des enjeux majeurs. Il doit

mtiers et linnovation ! Il se positionne tout la fois

avoir une vision marketing, encourager le time to

de

la

relation

client

doivent

comme DSI stratge, risk manager et contrleur de

market, le cross canal, la dmatrialisation des

gestion, confront aux multiples exigences de son

processus, et se positionner comme un vritable

environnement :

business partner.

- Alignement stratgique sur les enjeux de lentreprise

En

et le business quil doit intgrer,

parallle

aux

enjeux

de

performance

oprationnelle, le DSI risk manager doit matriser

- Excellence oprationnelle quil doit atteindre,

lensemble des risques, sappuyer plus sur des

- Conformit technique et rglementaire quil doit

rfrentiels de bonnes pratiques : ITIL, ISO

respecter,

2700x, CMMI ou COBIT5, ce dernier tant encore

- Evolutions technologiques, nouveaux usages quil

insuffisamment connu et utilis.

doit acclrer.
Le DSI stratge sappuie sur des schmas directeurs,

La culture du risque apparat clairement insuffisante

points dancrage dune vision long terme et

dans de nombreuses entreprises mme si elle se

dune trajectoire mieux matrise de son SI par une

dveloppe sous limpulsion combine du DSI, du

urbanisation fonctionnelle, applicative et technique

directeur de laudit, du risk manager ou du RSSI.

devenue prioritaire.

Le risque SI est peru mais bien insuffisamment au


regard des menaces lies au numrique.

Il doit conjuguer la fois cohrence et agilit entre


patrimoine SI et innovation, et il a pris conscience

Le DSI doit intgrer la gestion des risques au

de limprative ncessit de faire voluer son

portefeuille de projets, il doit systmatiser la

modle daffaires. Les enjeux dinnovation, loin dtre

revue des risques. La confiance indispensable

uniquement technologiques (Systmes Multi-Agents

Coopratifs, rseaux sociaux, mobilit, Big Data,

communication et un accompagnement important,

la

transformation

numrique

ncessite

une

Cloud; objets connects, SAAS..) sont galement

sans oublier la mise en place de KPI permettant dagir

mthodologiques (la mthode agile, le real time

simplement et efficacement pour rduire les risques.

develops, le co-design,).

Les serious games peuvent tre utiliss profit pour


sensibiliser les utilisateurs aux diffrentes menaces.
Le DSI contrleur de gestion va accompagner la

La prise en compte de lexprience client et la

42

transition numrique tout en amliorant la qualit

rapide. Il reste encore un cost killer sur lexistant afin

de service et en optimisant les cots. Le schma

dinvestir plus facilement sur le numrique.

directeur prcdemment voqu est galement un

Un vrai numro dquilibriste !

outil de matrise des cots.


ANTOINE VIGNERON

De nombreuses mesures ont dj t prises :

SECRTAIRE GNRAL DE LAFAI

ngociation des achats, politique de licencing,


stratgie de sourcing. Mais le sujet est loin dtre
puis et les entreprises continuent daffiner le
contrle budgtaire : renforcement de la globalisation
(Centre de Services Partags), mutualisation des
moyens, externalisation de la messagerie et de
certaines applications, parfois internalisation de
quelques services critiques, utilisation du catalogue
de services comme outil de gestion, challenge en
continu des prestataires.
La mthode ABC et le Lean IT donnent des rsultats
intressants. Le modle de benchmarking des cots
informatiques , initialement dvelopp en commun
par lAFAI et le CIGREF et bas sur la mthode ABC,
est un outil efficace daide la dcision pour dtecter
les pistes damlioration les plus pertinentes en
facilitant les comparaisons avec dautres entreprises
ou avec les bonnes pratiques du march.
Le DSI doit valuer son portefeuille dactifs SI en
termes de cration de valeur, de risques et bien
entendu de retour sur investissement. Tout projet non
stratgique ou rglementaire doit justifier dun ROI

43

ANNEXES

L E N T R E P R I S E F A C E S E S E N J E U X
ET RISQUES NUMRIQUES

44

LENTREPRISE FACE SES ENJEUX


ET RISQUES NUMRIQUES

MTHODOLOGIE
Cette consultation a t ralise sur la base dun

qualifis auprs des DSI, lui permettant de recueillir

questionnaire destination des DSI et des Respon-

des tmoignages directs et des bonnes pratiques.

sables de la gouvernance informatique.

Lexploitation de lensemble des rponses a permis


dcrire cette tude et de faire le point sur les

Le questionnaire proprement dit est inspir du Guide

diffrentes priorits des DSI.

dAudit de la Gouvernance des Systmes dInformation


(AFAI/IFACI/CIGREF, 2011) ; 3 vecteurs du guide ont

Soucieux de traiter de faon exhaustive la richesse

t utiliss pour formuler les questions :

de linformation recueillie, nous avons fait le choix de

- Vecteur 2 : Urbanisation et architecture du SI de

respecter dans le dtail le fil directeur de lenqute,

lentreprise au service des enjeux stratgiques,

afin que chaque rpondant puisse retrouver les

- Vecteur 4 : Management des risques SI en fonction

questions poses et situer sa position par rapport aux

de leurs impacts mtiers ) et des bonnes pratiques

autres socits. Nous avons aussi dcid dcarter les

associes,

questionnaires remplis de faon incomplte et limiter

- Vecteur 5 : Alignement de la fonction informatique

notre analyse 52 socits qui ont rpondu la totalit

par rapport aux processus mtiers.

des questions.
Pour autant, afin de rester synthtiques, nous navons

La mise au point du questionnaire a fait lobjet de

effectu des analyses de donnes croises, ou des

nombreux changes au sein du Comit de Pilotage,

confrontations de rsultats que dans la mesure o les

son articulation finale reposant sur les 3 priorits des

tendances observes pouvaient paratre paradoxales

DSI ressortant dune enqute CIGREF mene en 2013 :

ou mriter un complment danalyse.

- La stratgie numrique,
- La gestion des risques,

La

consultation

dexperts

et

de

responsables

- La matrise des cots,

informatiques a permis dclairer les rsultats dtaills


de lenqute. La contribution de chaque association

Notre questionnaire ciblait des entreprises ayant

sous forme de tribune en tte de chapitre, fournit une

un chiffre daffaires suprieur 300 M ; certaines

mise en perspective et une prise de recul sur les trois

administrations et tablissements publics de taille

axes :

significative ont galement t consults.

- CIGREF pour la stratgie numrique,

Le questionnaire a fait lobjet dune large diffusion,

- IFACI pour la gestion des risques,

chaque Association ladressant ses adhrents. Des

- AFAI pour la matrise des cots.

contacts directs ont permis au cabinet Crowe Risk


Consulting de mener une quinzaine dentretiens

45

FIG 20. PROFIL DES ENTREPRISES AYANT RPONDU

Une majorit de DSI a rpondu

Cartographie des entreprises qui ont rpondu par


effectif
Au total, 52 entreprises ont rpondu lensemble du
questionnaire, reprsentant un bon quilibre entre
entreprises cotes, non cotes, ou secteur public.

Plus des 2/3 des rpondants sont des DSI, ce qui


prouve une bonne mobilisation et un intrt port
au sujet. Parmi les autres rpondants, on relve
des responsables de la gouvernance informatique,
quelques

On constate une bonne couverture des diffrents


segments en termes de tailles dentreprises :

dAudit

Interne,

Directeurs

Des DSI majoritairement rattachs la Direction

- Effectifs infrieurs 2500 personnes : 13 rpondants,


- Entre 2500 et 10 000 personnes : 16 rpondants,
- Entre 10 000 et 50 000 personnes : 13 rpondants,
- Au-del de 50 000 personnes : 10 rpondants.

Gnrale
Les informations fournies par les rpondants ont
permis dtablir, que dans plus de 60% des cas, les DSI
sont rattaches aux Directions Gnrales ; dans 20%

Cette reprsentativit se retrouve aussi au niveau des

des cas, elles dpendent de la Direction Financire,

secteurs dactivit :

le reste se rpartissant entre Secrtariat Gnral,


Direction des Oprations ou Services Gnraux.

On note toutefois une prdominance des secteurs


services aux entreprises, transports, administration,
assurances, nergie, sant.

Directeurs

Gnraux ou RSSI.

Des secteurs tels que

banque, technologie de linformation, distribution,


agro-alimentaire, chimie ou pharmacie ont rpondu en
plus faible nombre.
Parmi les Autres rpondants , on note: ingnierie,
mcnat, jeu, secteur associatif.

46

FIG 21. SECTEURS DACTIVIT DES ENTREPRISES AYANT RPONDU

FIG 22. PROFIL DES PERSONNES AYANT RPONDU

47

FIG 23. RATTACHEMENT DES DSI

48

LENTREPRISE FACE SES ENJEUX


ET RISQUES NUMRIQUES

BIBLIOGRAPHIE THMATIQUE
numriques : www.entreprises-et-cultures-

Numrique

numeriques.org/eduquer-les-acteurs-de-l-

- Entreprises et culture numrique : www.cigref.fr/

entreprise-aux-risques-numeriques/

entreprises-et-culture-numerique-un-nouveau-defi

Rfrentiels

- Cadre de rfrence CIGREF sur la culture numrique :

www.cigref.fr/cadre-de-reference-cigref-culture-

- Cadre de rfrence international des pratiques

numerique

professionnelles de lAudit interne / IIA, IFACI 2014.

- Gouvernance du numrique : www.cigref.fr/

Notamment :

gouvernance-du-numerique-creation-de-valeur-

La Norme 2110.A2 LAudit interne doit valuer

maitrise-des-risques-allocation-des-ressources

si la gouvernance des systmes dinformation de

- Nouveaux rles de la fonction SI : www.cigref.fr/

lorganisation soutient et supporte la stratgie et

nouveaux-roles-fonction-si-missions-competences-

les objectifs de lorganisation . [commente dans

marketing-de-la-fonction

la Fiche technique N29 de la Revue Audit interne


N 199 de mars-avril 2010].

- Sret et risques numriques : scenario dun serious

Les GTAGs Global Technologie Audit Guides.

game : www.cigref.fr/surete-risque-numerique-

IIA. (www.ifaci.com).:

scenario-serious-game

GTAG15 : Information Security Governance

- La scurit numrique : www.cigref.fr/la-securite-

GTAG 17 : Auditing IT Governance

numerique

- Cobit 5 : Un rfrentiel orient affaires pour la

- Cloud et protection des donnes, guide pratique

gouvernance et la gestion des TI de lentreprise /

lattention des directions oprationnelles et

ISACA 2012

gnrales (AFAI-CIGREF-IFACI) : www.cigref.

- Gouvernance du Systme dinformation : Guide

fr/cloud-protection-donnees-guide-pratique-

daudit /CIGREF / IFACI / AFAI 2011

direction-operationnelle-generale

- Le Contrle interne du systme dinformation des

- Protection de linformation et Cloud Computing :

organisations : Guide oprationnel dapplication du

www.entreprises-et-cultures-numeriques.org/

cadre de rfrence AMF relatif au contrle interne /

protection-de-l-information-et-cloud-computing/

IFACI, CIGREF 2009

- Les risques numriques pour lentreprise : www.

- TOGAF Version 9.1: The Book. / The Open Group. I - 2011

cigref.fr/les-risques-numeriques-pour-lentreprise

- ITIL Version 3

- Eduquer les acteurs de lentreprise aux risques

49

Communication et systme dinformation


- BYOD : Quels risques et enjeux pour laudit et le
contrle internes ? (IFACI 2014)
- Colloques Continuit dactivit, continuit
informatique et gestion de la crise : Comment matriser
vos dispositifs ? [Colloque du 21 mars 2012] / IFACI
- Revue Audit interne N 206 de septembre 2011 : La
gouvernance des systmes dinformation : Quel rle
pour lAudit interne ?
- Colloques De la gouvernance du systme
dinformation... la gouvernance de lentreprise
numrique : Quels enjeu pour les fonctions S.I. et
Audit interne ? [Colloque du 23 juin 2011] / AFAI ;
IFACI ; CIGREF.
Gouvernance / Stratgie
- Prise de position IFA / IFACI sur le rle de lAudit
interne dans le gouvernement dentreprise. 2009
- L Articulation

gouvernance

des

systmes

dinformation / gouvernance dentreprise. / Georges


Epinette in LIncidence de la mise en uvre dun dispositif
de contrle interne sur les systmes dinformation : Du
cadre de rfrence de lAMF aux bonnes pratiques.
- Guide dAudit de la Gouvernance des Systmes
dInformation, et outil associ, publication CIGREF/
IFACI/AFAI - 2011

50

15 RUE DE LA BAUME 75008 PARIS


+33 (0)1 53 53 03 92

2015 CROWE HORWATH GRC


RALISATION : ANTONIN LORAIN

WWW.CROWEHORWATHGRC.COM
CONTACT@CROWEHORWATHGRC.COM