Gouvernance du Système d'Information IT

1 NOTION DE GOUVERNANCE

Le terme « Gouvernance » désigne la capacité d'une organisation d'être en mesure de contrôler et de réguler son propre fonctionnement afin

d'éviter les conflits d'intérêts liés à la séparation entre les ayants droits (actionnaires) et les acteurs.

Dans le cas d'une société ou un groupe industriel, on parle de « gouvernance d'entreprise ».

2 GOUVERNANCE DES SI

La « Gouvernance des Systèmes d'Information » ou « Gouvernance informatique » (en anglais « IT gouvernance ») renvoie aux moyens

de gestion et de régulation des Systèmes d'Information (SI) mises en place dans une entreprise pour atteindre ses objectifs. A ce titre, la

gouvernance IT fait partie intégrante de la gouvernance d'entreprise.

Si la gouvernance d'entreprise (corporate governance) est devenue une urgence suite aux différents scandales financiers ( Enron, Worldcom,

Tyco...), transposer le concept à la gestion du système d'information n'est pas si surprenant.

Il s'agit en effet de s'assurer que le système d'information en action soit bien piloté avec rigueur et transparence.

Il s'agit de s'assurer que le système d'information réponde bien, aujourd'hui et demain, aux attentes des différentes parties prenantes internes

et externes: utilisateurs et clients, financiers et financeurs, concepteurs et techniciens...

Aligner le système d'information sur la stratégie d'entreprise, on en parle depuis bien longtemps.

Ainsi, tous ceux qui considèrent encore aujourd'hui l'informatique comme un centre de coût à juguler compromettent la mise en oeuvre des

stratégies gagnantes du 21ème siècle. L’entreprise est toujours plus intégrée. Quels que soient les activités, les métiers et les marchés, les

processus sont de plus en plus dépendants de la technologie. Les questions de services, de qualité, de sécurité et d'évolution de concert avec

les exigences stratégiques, sont désormais des impératifs.

La question de la gouvernance des systèmes d'information est particulièrement complexe. Et comme pour toutes questions complexes, les

décideurs sont plutôt enclins à se reposer sur les experts et les méthodes du moment. La tendance est particulièrement forte, en tout cas pour

les moins risqueurs d'entre-eux.

Pourtant, cette question touche à l'essentiel. Elle concerne l'ensemble des décideurs même s'ils sont encore relativement nombreux à ne pas

considérer ce point à sa juste valeur et continuent à penser que l'informatique n'est qu'une affaire de technicien.

La gouvernance des technologies de l'information s'articule autour de cinq domaines principaux:

- Gestion de la valeur

- Gestion des risques

- Gestion de la performance

- Gestion des ressources

- Alignement stratégique

La première action est de vous assurer d’une compréhension approfondie des objectifs de votre entreprise. Ces objectifs vous permettront

d’identifier les objectifs TI les plus importants pour votre organisation.

RECHERCHE SUR LA GOUVERNANCE DES SI 1 IBRAHIM OUAHBI

Par exemple, si la protection des renseignements personnels est un objectif primordial de votre organisation, alors la gestion de la sécurité

informatique devient un élément essentiel de votre stratégie informatique.

Vous pourrez ensuite analyser le niveau de maturité de vos activités : comment votre gestion de la sécurité informatique se compare par

rapport aux meilleures pratiques de l’industrie. Vous allez ainsi déterminer les actions à prendre, et mettre en place votre plan d’action.

3 RÈGLES DE GOUVERNANCE

loi Sarbanes-Oxley

Aux États-Unis d’Amérique, la loi de 2002 sur la réforme de la comptabilité des sociétés cotées et la protection des investisseurs est une loi

fédérale imposant de nouvelles règles sur la comptabilité et la transparence financière. Elle fait suite aux différents scandales financiers

révélés dans le pays aux débuts des années 2000, tels ceux d'Enron et de Worldcom. Le texte est couramment appelé loi Sarbanes-Oxley, du

nom de ses promoteurs les sénateurs Paul Sarbanes et Mike Oxley. Ce nom peut être abrégé en SOX, Sarbox, ou SOA.

La loi du 31 juillet 2002 dite Sarbanes-Oxley Act a introduit :

• l'obligation pour les présidents et les directeurs financiers de certifier personnellement les comptes ;

• l'obligation de nommer des administrateurs indépendants au comité d’audit du conseil d’administration ;

• l'encadrement des avantages particuliers des dirigeants (perte de l’intéressement en cas de diffusion d’informations inexactes,

interdiction des emprunts auprès de l’entreprise, possibilité donnée à la SEC - Securities and Exchange Commission, l'autorité de

régulation des marchés boursiers américains - d’interdire tout mandat social pour les dirigeants soupçonnés de fraude).

Cette loi oblige aussi à mettre en œuvre un contrôle interne s'appuyant sur un cadre conceptuel. En pratique le COSO est le référentiel le plus

utilisé.

Le référentiel COSO

Le référentiel COSO est basé sur les principes de base suivants :

• Le contrôle interne est un process : c’est un moyen, pas une fin ; il ne se cantonne pas à un recueil de procédures mais nécessite

l’implication de tous à chaque niveau de l’organisation.

• Le contrôle interne doit procurer l’assurance raisonnable (mais non absolue) d’un management et d’une direction respectueuse des

lois.

• Le contrôle interne est adapté à la réalisation effective des objectifs

Le référentiel COSO "Internal Control – Integrated Framework" définit le contrôle interne comme un processus mis en œuvre par les

dirigeants à tous les niveaux de l’entreprise et destiné à fournir une assurance raisonnable quant à la réalisation des trois objectifs suivants :

• la réalisation et l'optimisation des opérations,

• la fiabilité des informations financières,

• et la conformité aux lois et règlements

On notera que ces objectifs correspondent en grande partie aux préoccupations des investisseurs.

Le COSO 2, "Enterprise Risk Management Framework" est aujourd'hui le cadre de référence de la gestion des risques.

RECHERCHE SUR LA GOUVERNANCE DES SI 2 IBRAHIM OUAHBI

Le COSO 2 propose un cadre de référence pour la gestion des risques de l’entreprise (Enterprise Risk Management Framework). La gestion

des risques de l’entreprise est un processus mis en œuvre par le conseil d’administration, les dirigeants et le personnel d’une organisation,

exploité pour l’élaboration de la stratégie et transversal à l’entreprise, destiné à

• identifier les événements potentiels pouvant affecter l’organisation,

• maîtriser les risques afin qu’ils soient dans les limites du « Risk Appetite (appétence au risque)» (cf. ci-dessous) de l’organisation,

• fournir une assurance raisonnable quant à la réalisation des objectifs de l’organisation.

Il apparaît que le COSO 2 inclut les éléments du COSO 1 au travers du troisième point et le complète sur le concept de gestion des risques.

Le COSO 2 est basé sur une vision orientée risques de l’entreprise.

4. COBIT

COBIT (Control Objectives for Information and related Technologies, traduisez contrôler les objectifs des technologies de l'information) est

une méthodologie d'évaluation des services informatiques au sein de l'entreprise, publiée en 1996 par l'IT Governance Institute et l'ISACA

(Information Systems Audit and Control Association)

Pour que l’informatique réponde correctement aux attentes de l’entreprise les dirigeants doivent mettre en place un système de contrôle ou de

référence interne qui les guidera dans la gouvernance des SI. COBIT est devenu l’intégrateur des meilleures pratiques en technologies de

l’information et le référentiel général de la gouvernance des SI qui aide à comprendre et à gérer les risques et les bénéfices qui leur sont

associés. Les bonnes pratiques de CobiT sont le fruit d’un consensus d’experts. Elles sont très axées sur le contrôle au sens maîtrise et moins

sur l’exécution. Elles ont pour but d’aider à optimiser les investissements informatiques, à assurer la fourniture des services et à fournir des

métriques auxquelles se référer pour évaluer les dysfonctionnements. COBIT est en permanence tenu à jour et harmonisé avec les autres

standards.

COBIT concerne différents types d’utilisateurs :

• les directions générales : pour que l’investissement informatique produise de la valeur et pour trouver le bon équilibre entre risques

et investissements en contrôles dans un environnement informatique souvent imprévisible,

• les directions métiers : pour obtenir des assurances sur la gestion et le contrôle des services informatiques fournis en interne ou par

des tiers,

• les directions informatiques : pour fournir les services informatiques dont les métiers ont besoin pour répondre à la stratégie de

l’entreprise, et pour contrôler et bien gérer ces services,

• les auditeurs et consultants : pour justifier leurs opinions et/ou donner des conseils au management sur les contrôles internes et la

gouvernance des SI.

Le cadre de référence de contrôle de COBIT facilite la mise en place d’une gouvernance des SI en :

• établissant un lien avec les exigences métier de l’entreprise,

• structurant les activités informatiques selon un modèle de processus largement reconnu,

• identifiant les principales ressources informatiques à mobiliser,

• définissant les objectifs de contrôle à prendre en compte.

RECHERCHE SUR LA GOUVERNANCE DES SI 3 IBRAHIM OUAHBI

L’orientation métier de COBIT consiste à lier les objectifs métier aux objectifs informatiques, à fournir les métriques (définir ce qui doit être

mesuré et comment) et les modèles de maturité pour faire apparaître leur degré de réussite, et à identifier les responsabilités communes aux

responsables de processus métier et de processus informatiques.

L’orientation processus de COBIT est illustrée par un modèle de processus qui subdivise l’informatique en 34 processus répartis entre les

quatre domaines de responsabilités que sont planifier, mettre en place, faire fonctionner et surveiller, donnant ainsi une vision complète

de l’activité informatique. Les concepts d’architecture d’entreprise aident à identifier les ressources essentielles au bon déroulement des

processus comme les applications, l’information, les infrastructures et les personnes. Pour fournir les informations dont l'entreprise a besoin

pour réaliser ses objectifs, les ressources informatiques doivent être gérées par un ensemble de processus regroupés selon une certaine

logique.

Les dirigeants ont besoin d’objectifs de contrôle pour fournir l’assurance raisonnable que les objectifs de l’entreprise seront atteints et que

des dispositifs sont en place pour prévenir ou détecter et corriger des événements indésirables. Les entreprises ont besoin de pouvoir mesurer

objectivement où elles en sont et où elles doivent apporter des améliorations, et elles ont besoin d’implémenter des outils de gestion pour

surveiller ces améliorations. La réponse à ce besoin de déterminer et de surveiller les niveaux de contrôle et de performance de

l’informatique appropriés est apportée par COBIT sous forme de :

• Tests comparatifs de la capacité des processus informatiques présentés sous la forme de modèles de maturité inspirés du Capability

Maturity Model du Software Engineering Institute,

• Objectifs et métriques des processus informatiques pour définir et mesurer leurs résultats et leurs performances (capacité à

atteindre les objectifs métiers et informatiques) selon les principes du tableau de bord équilibré de Robert Kaplan et David Norton,

• Objectifs des activités pour mettre ces processus sous contrôle en se basant sur des objectifs de contrôle détaillés.

L’évaluation de la capacité des processus au moyen des modèles de maturité de COBIT est un élément clé de la mise en place d’une

gouvernance des SI. Lorsqu’on a identifié les processus et les contrôles informatiques essentiels, le modèle de maturité permet de mettre en

évidence les défauts de capacité et d’en faire la démonstration au management. On peut alors concevoir des plans d’action pour amener ces

processus au niveau de capacité désiré.

COBIT concourt à la gouvernance des SI en aidant à s’assurer que les :

• les SI sont alignés sur le métier de l'entreprise,

• les SI apportent un plus au métier, et maximisent ses résultats,

• les ressources des SI sont utilisées de façon responsable,

• les risques liés aux SI sont gérés comme il convient.

La mesure de la performance est essentielle à la gouvernance des SI. Elle est un élément de CobiT et consiste entre autres à fixer et à

surveiller des objectifs mesurables pour ce que les processus informatiques sont censés fournir (résultat du processus) et pour la façon dont

ils le fournissent (capacité et performance du processus).

Pour que cette gouvernance soit efficace, les dirigeants doivent obtenir des directions opérationnelles qu’elles mettent en place des contrôles

dans un cadre de référence défini pour tous les processus informatiques.

En conclusion, parmi les avantages à adopter COBIT comme cadre de gouvernance des SI on peut citer :

RECHERCHE SUR LA GOUVERNANCE DES SI 4 IBRAHIM OUAHBI

 • un meilleur alignement de l’informatique sur l’activité de l’entreprise du fait de son orientation métier,

• une vision compréhensible par le management de ce que fait l’informatique,

• une attribution claire de la propriété et des responsabilités, du fait de l’approche par processus,

• un préjugé favorable de la part des tiers et des organismes de contrôle,

• une bonne compréhension de toutes les parties prenantes grâce à un langage commun,

• le respect des exigences du COSO pour le contrôle de l’environnement informatique.

5 Gouvernance DES SI ET CHANGEMENT ORGANISATIONNEL

La GTI vise à réduire les risques reliés à l’utilisation des TI, par le biais du contrôle et de l’audit pour atteindre les objectifs du système:

l’intégrité, la disponibilité, la confidentialité, la sécurité et la maintenabilité.

Une transformation organisationnelle telle qu’une implantation de prologiciel, ou des efforts d’amélioration de la productivité, de réduction

des coûts ou d’amélioration du niveau de service, nécessite une série de changements qui devraient être mis en place. Qui dit changement dit

résistance au changement.

L'entreprise à la demande se concentre sur ce qui la distingue : les biens et les services qu'elle produit mieux que ses concurrents, et les

consommateurs qu'elle peut toucher le plus efficacement. Les autres fonctions et processus sont externalisés auprès d'un réseau de partenaires

stratégiques étroitement intégré. L'entreprise devient ainsi une machine à fabriquer de la valeur ajoutée : ses ressources sont directement

investies dans les activités les plus rentables.

• L'entreprise est capable d'anticiper l'avenir... Elle reçoit en temps réel les données issues de ses fournisseurs, de ses clients et

d'autres sources externes. Les données sont saisies, analysées et transmises rapidement aux personnes qui savent les exploiter.

• … et de réagir en conséquence. Les usines peuvent rapidement réajuster leur production - sans réunions ni formalités inutiles.

Grâce à des actions promotionnelles, les marchandises dont la rotation est la plus lente ne traînent plus dans l'entrepôt. Chaque

segment de clientèle, grand ou petit, est potentiellement rentable.

• Les décisions sont plus rapides. Des outils de collaboration en ligne facilitent et accélèrent la communication - avec un

interlocuteur ou un million de consommateurs. L'intégration des processus abolit les cloisonnements. La productivité monte en

flèche, la bureaucratie disparaît et le chiffre d'affaires par employé augmente.

• Volatilité ne signifie pas désordre. Grâce à des structures de coûts variables, à des processus externalisés et à d'autres mécanismes

souples, les aléas du monde extérieur ne dégénèrent pas en crises internes. Les systèmes comptables et juridiques de l'entreprise sont

conçus pour établir une corrélation dynamique entre les coûts et les ventes. Et parce que ces changements interviennent avant qu'ils

ne soient nécessaires, l'entreprise prévient toutes sortes de catastrophes - plans sociaux, hémorragies financières, etc.

• L'innovation est payante. La capacité d'anticiper les attentes des clients et de réagir rapidement ancre la recherche et le

développement dans la réalité. Les produits sont commercialisés plus rapidement, à moindre coût.

RECHERCHE SUR LA GOUVERNANCE DES SI 5 IBRAHIM OUAHBI