RAPPORT DU SEMINAIRE DE FORMATION SUR LA GOUVERNANCE SI ET LA DIGITALISATION

Casablanca, Gray Boutique Hôtel & Spa, 13 au 14 février 2020

Ce rapport rend compte du séminaire de formation sur la gouvernance des systèmes d’information et la
digitalisation qui s’est tenu à Casablanca, au Maroc du 13 au 14 février 2020. Ledit séminaire a été
organisé par la structure i-Performances, en partenariat avec le cabinet DEROCHE CONSULTING GROUP
dans le cadre de son programme inter-entreprises. Durant cette période, ce sont des directeurs et
responsables de service qui ont bénéficié de l’expertise de M. ESSAID FASSY FEHRY, certifié ITIL
Foundation, CSI, OSA, Practitioner, PRINCE2, ISO 27001 LI & LA, ISO27005 RM & MÉHARI, ISO 20000, ISO
27002, CobiT 5, RGPD.

Le présent rapport est structuré comme suit :

 Vue d’ensemble
 Introduction à la gouvernance SI
 Les principes
 Les facilitateurs
 Introduction à la mise en œuvre de la gouvernance SI
 Transformation digitale

1. Vue d’ensemble

Selon le formateur, la gouvernance d’entreprise pourrait être définie comme le processus par lequel les
objectifs de l’entreprise sont atteints tout en ralliant l’évaluation des besoins des parties prenantes, la
définition des directives et la surveillance de la performance, de la conformité et des progrès par rapport
aux plans.

La gouvernance des systèmes d’information (SI), faisant donc partie intégrante de la gouvernance
d’entreprise, est sujette à de nombreux défis, tels que :

a) Le fonctionnement de l’IT (information technology)

Lors de l’introduction de changements (ajouts, modifications et suppressions de modules), des erreurs

de fonctionnement peuvent être constatées. Cela pourrait être du fait d’un manque de tests suffisants
avant tout changement, ou une mauvaise planification des besoins en capacité réseau ou de stockage.
Ou alors, une résilience ou sauvegarde insuffisante quand un composant informatique critique est
défaillant.

Il est donc du ressort du service informatique d’anticiper et/ou de remédier à ces éventuels scénarios. La
continuité des services informatiques pour les opérations critiques de l'entreprise étant une nécessité.

b) Aligner l’IT avec les métiers

L'écart entre les attentes des métiers et des capacités informatiques existent pour les raisons suivantes :

 Incapacité de s’aligner sur les priorités d'affaires

 Exigences opérationnelles mal définies
  Les lacunes de communication entre les métiers et IT
 Le manque de connaissances sur les solutions informatiques potentielles

Il est donc essentiel pour l'entreprise de conduire des initiatives informatiques afin d'offrir des avantages
et de réaliser les objectifs d'affaires.

c) Délivrer de la valeur

Très souvent, les projets IT ne délivrent pas de la valeur pour les raisons suivantes :

 Manque de sponsors engagés

 Faible programme et gestion de projets
 Surveillance inadéquate de la réalisation des bénéfices
 Manque de dossiers d'affaires définies pour les initiatives liées aux TI

De ce fait Identifier les bons projets informatiques, définir clairement les avantages escomptés, et suivre
la création de ces bénéfices, dans les délais et le budget pourraient apporter de la valeur aux projets IT.

d) La sécurité

On ne le dira jamais assez, la sécurité est l’affaire de tous. Il est primordial de réduire, voire enrayer, les
failles de sécurité au sein d’une organisation. Ainsi, les facteurs responsables de l’augmentation du
risque des failles de sécurité sont principalement :

 Les politiques de sécurité mal définies

 Suivi insuffisant des événements potentiels liés à la sécurité
 Manque de sensibilisation des utilisateurs sur les risques de sécurité
 Le manque de sensibilisation auprès de la direction de la nécessité de protéger les informations

Il faut donc assurer (continuellement) la sensibilisation sur les responsabilités et les risques autour de la
sécurité informatique.

e) La conformité réglementaire

Compte tenu de l'omniprésence de l'informatique, les entreprises doivent faire en sorte que les aspects
légaux, réglementaires et les exigences contractuelles relatifs à l’IT soient compris et que des mesures
raisonnables soient mises en œuvre.

Cela inclut les responsabilités des fournisseurs de services externalisés et les partenaires commerciaux.

Il est essentiel de garantir le respect des exigences légales et contractuelles, à la fois en interne et avec
les fournisseurs de services et les partenaires commerciaux.

f) Maîtriser la complexité
Il s’agit ici de gérer l'informatique comme une entreprise et optimiser les personnes, les processus et les
coûts liés à la technologie. Cela implique donc de relever les défis suivants :

 Manque de compétences en gestion financière

 De grandes pertes financières en raison de l’échec des projets
 Des coûts excessifs dus à une mauvaise gestion des actifs informatiques
 Des dépenses informatiques incontrôlées par les unités d'affaires
 Procédures inefficaces d’approvisionnement, d'acquisition et de contractualisation
 Coûts excessifs des personnes aggravés par une forte rotation et un pauvre développement de
carrière

2. Introduction à la gouvernance SI

La gouvernance concerne :

 Performance : améliorer la rentabilité, l'efficience, l'efficacité et la croissance

 Conformité : adhérer à la législation, les politiques internes et les exigences contractuelles

Et a pour objectif de :

 Réaliser des bénéfices

 Optimiser les risques
 Optimiser les ressources

En sus, elle repose d’une part, en interne, sur les parties prenantes clés que sont :

 Conseil d'administration et haute direction : Comment puis-je obtenir de la valeur de l’IT ?

 Auditeur IT : Comment puis-je fournir une assurance indépendante ?
 Dirigeant d’entreprise et propriétaire de processus : Comment puis-je exploiter l’IT pour des
avantages stratégiques ?
 Gestionnaire de risque et de conformité : Comment puis-je assurer la conformité avec les
politiques, les règlements et les lois ?
 IT Manager : Comment gérer la performance des TI ?

Et d’autre part, en externe, sur :

 Régulateurs : Est-ce que vous respectez les réglementations ?

 Fournisseurs : mon partenaire d'affaires est-il sûr et fiable ?
 Commissaire aux comptes : Y a-t-il des contrôles financiers adéquats ?
 Clients : Mes informations personnelles sont-elles sécurisées et privées ?

Une bonne gouvernance SI a de nombreux avantages tels que :

 Une efficacité accrue et des coûts optimisés

 De meilleurs rendements sur les investissements liés aux TI
 La confiance de la haute direction
 Information de gestion transparente et significative sur la performance des TI
  Solutions et services fiables, sûrs, et alignées avec les besoins métiers et les priorités
 Une entreprise agile qui répond rapidement à l'évolution des besoins liés aux TI

Pour ce faire, le référentiel CoBiT, Control objectives for information and technology, a été conçu par
l'ISACA (Information Systems Audit and Control Association) il y a déjà une bonne dizaine d'années.

Il s'agit d'un cadre de référence ainsi que d'un ensemble d'outils jugés indispensables pour assurer la
maîtrise et surtout le suivi (audit) de la gouvernance du SI dans la durée. CoBiT est fondé sur un
ensemble de bonnes pratiques collectées auprès d'experts SI de divers secteurs (industrie et services).

L'information étant la monnaie des affaires du 21ème siècle, elle a un cycle de vie : Elle est créée,
utilisée, conservée, communiquée et détruite. Puisque la technologie joue un rôle principal dans ces
actions, elle devient omniprésente dans tous les aspects de la vie professionnelle et personnelle. Chaque
forme d'entreprise doit être en mesure de s’appuyer sur des informations de qualité pour supporter les
décisions de la haute direction !

3. Les principes

Les principes du référentiel CoBiT 5 sont les suivants :

 Répondre aux besoins des parties prenantes

 Couvrir l’entreprise de bout en bout
 Appliquer un référentiel unique et intégré
 Faciliter une approche globale
 Distinguer la gouvernance de la gestion

4. Les facilitateurs

Afin de faciliter une vue globale, il faut :

 Des principes, politiques et référentiels

 Des processus
 Des structures organisationnelles
 Une culture, éthique et comportement
 L’information
 Des services, des infrastructures et applications
 Des personnes, des aptitudes et des compétences

5. Introduction à la mise en œuvre de la gouvernance des SI

Chaque approche d'implémentation est assortie d’un lot de défis particuliers, dont la gestion des
changements culturels et comportementaux. Toute entreprise peut optimiser sa valeur en tirant profit
de COBIT, pour autant qu’elle se l’approprie et l’adapte à son contexte particulier. L’ISACA fournit des
orientations de mise en œuvre pratiques et approfondies dans sa publication COBIT 5 Mise en œuvre,
qui se base sur une approche d’amélioration continue.

Pour la mise en œuvre de la gouvernance des SI, il faut :

 Tenir Compte du contexte de l’entreprise

 Reconnaître les points sensibles et les événements déclencheurs (changement dans le marché,
ou dans le modèle de fonctionnement de l’entreprise, changement technologique important,
nouvelle stratégie ou priorité d’entreprise, etc…)

6. Transformation digitale

Selon les termes de M. FASSY, la transformation digitale fait référence au « changement organisationnel
induit par l’utilisation d’outils et modèles d’affaires digitaux en vue d’améliorer la performance ». Elle
implique donc des changements profonds dans la manière de fonctionner de l’entreprise, mais pas
n’importe lesquels. Il s’agit de mettre en place de nouvelles pratiques, liées au monde du digital, qui
apportent une valeur ajoutée et qui améliorent la façon dont l’entreprise conduit ses affaires. Pour
illustrer ses propos, le formateur a pris l’exemple de la 4 ème révolution, celle de l’introduction des
nouvelles technologies.

A la question de savoir pourquoi la nécessité de cette transformation digitale, M. FASSY a évoqué

diverses raisons. De manière générale, on distingue deux types de comportements :

 Actif : l’entreprise est proactive et cherche à tirer profit des possibilités offertes par les nouvelles
technologies.
 Réactif : l’entreprise fait face à une pression émanant du marché qui la pousse à adopter de
nouvelles technologies.

Dans une optique « réactive », deux sources majeures de pression existent :

 Les clients : Les entreprises doivent donc constamment améliorer leurs offres pour satisfaire des
besoins toujours plus sophistiqués.
 Les concurrents : La pression peut venir de l’industrie dans laquelle se trouve l’entreprise, mais
également d’autres secteurs d’activités.

La transformation digitale implique des changements dans la façon de fonctionner de l’entreprise. Ces
changements peuvent concerner les facilitateurs énoncés un peu plus haut dans le rapport.

Par ailleurs, la digitalisation fait face, elle aussi, à des défis majeurs qui sont :

 L’étendue de la digitalisation : La difficulté d’organiser la fonction digitale réside dans le fait

qu’elle est présente à tous les niveaux de l’entreprise
 L'évolution constante du monde digital : le domaine technologique évoluant à grande vitesse, il
est indispensable de se mettre à jour sans cesse.
 L’aspect nouveau : la digitalisation est fortement liée à l’innovation
 Une forte demande de collaboration et de coordination
Cela dit, le formateur s’est étalé sur la manière, générale, de s’y prendre afin d’organiser le digital :

Convergence : consiste à concentrer toutes les ressources et les investissements dédiés au digital dans
une unité sous la direction d’une personne, le Chief Digital Officer. Cette approche procure des
avantages évidents : des synergies sont réalisées, les coûts et les risques sont réduits, une certaine
cohérence existe et un contrôle effectif est appliqué

Coordination : La coordination ne modifie pas la structure organisationnelle actuelle de l’entreprise. Elle

ajoute tout simplement des mécanismes, sous la forme de comités, pour coordonner les activités.

Pôles d’innovation digitale séparés : Dans cette approche, il n’y a pas de coordination. Chaque unité est
libre de gérer la fonction digitale indépendamment, le but étant de soutenir l’innovation et de maximiser
la valeur à travers un management localisé.

Pour finir, une étude de cas a été faite avec le modèle de la SNCF (Société Nationale des Chemins de Fer
de France).

Le séminaire a pris fin le vendredi 14 février à exactement 17h. par