Ce qu'il faut savoir sur la gouvernance TI
On définit la gouvernance TI comme la structure visant à aligner les stratégies TI et commerciale d’une organisation par l’application d’un cadre formel, afin de produire des résultats mesurables dans la réalisation des stratégies et objectifs. Un programme formel prend également en compte les intérêts des parties prenantes, ainsi que les besoins du personnel et les processus qu’ils suivent. Dans l’ensemble, la gouvernance informatique fait partie intégrante de la gouvernance globale de l’entreprise.
La relation entre la gouvernance TI et la gestion des risques et de la conformité (GRC)
La gestion des risques et de la conformité est souvent le programme parent, qui détermine le cadre de référence qui sera utilisé pour la gouvernance TI. Le champ d’application de la GRC est souvent axé sur l’informatique, sauf dans les cas où la sécurité se rapporte à l’extérieur des TI, et dans ce cas couvre davantage les risques commerciaux.
Les raisons de sa mise en œuvre
Les organisations sont aujourd’hui soumises à de nombreuses réglementations régissant la protection des informations confidentielles, la responsabilité financière, la conservation des données et la reprise après sinistre, entre autres. Elles subissent également la pression des actionnaires, des parties prenantes et des clients. Pour s’assurer qu’elles répondent aux exigences internes et externes, de nombreuses organisations mettent en œuvre un programme formel de gouvernance informatique qui fournit un cadre de meilleures pratiques et de contrôles.
La clientèle visée
Les organisations du secteur public et privé ont besoin d’un moyen de s’assurer que leurs fonctions informatiques soutiennent leurs stratégies et objectifs. Un programme formel de gouvernance informatique devrait être sur le radar de toute organisation qui doit se conformer aux réglementations liées à la responsabilité financière et technologique. Cependant, la mise en œuvre d’un programme de gouvernance informatique complet nécessite beaucoup de temps et d’efforts. Alors que de très petites entités peuvent pratiquer uniquement des méthodes de gouvernance informatique essentielles, l’objectif des organisations plus grandes et plus réglementées devrait être un programme de gouvernance informatique à part entière.
« La plupart des cadres de gouvernance informatique sont conçus pour aider à déterminer le fonctionnement global du service TI : les indicateurs clés dont la gestion a besoin et le rendement que le service informatique apporte à l'entreprise grâce à ses investissements. »
Par quoi commencer?
Le moyen le plus simple est de commencer avec un cadre qui a été créé par des experts du secteur et utilisé par des milliers d’organisations. De nombreux cadres de référence incluent des guides de mise en œuvre pour aider les organisations à mettre en place un programme de gouvernance informatique avec moins d’accélérations, dont voici les principaux.
COBIT (Control OBjectives for Information and related Technology) : Publié par l’ISACA, COBIT est un cadre complet de pratiques, outils analytiques et modèles mondialement acceptés, conçu pour la gouvernance et la gestion de l’informatique d’entreprise. Avec ses racines dans l’audit informatique, l’ISACA a élargi la portée de COBIT au fil des ans pour prendre pleinement en charge la gouvernance informatique.
ITIL (Information Technology Infrastructure Library) : ITIL se concentre sur la gestion des services informatiques. Il vise à garantir que les services informatiques prennent en charge les processus de base de l’entreprise. ITIL comprend cinq ensembles de meilleures pratiques de gestion pour la stratégie de service, la conception, la transition (comme la gestion du changement), l’exploitation et l’amélioration continue.
COSO (Committee of Sponsoring Organization for the Threadway Commission) : L’accent de COSO est moins spécifique à l’informatique que les autres cadres, se concentrant davantage sur des aspects commerciaux tels que la gestion des risques d’entreprise (GRE) et la dissuasion de la fraude.
CMMI (Capability Maturity Model Integration) : Développé par le Software Engineering Institute, le CMMI est une approche d’amélioration des performances qui utilise une échelle de 1 à 5 pour évaluer le niveau de maturité des performances, de la qualité et de la rentabilité d’une organisation. Ce système permet l’ajout de mesures pour les risques de nature qualitative.
FAIR (Factor Analysis of Information Risk) : FAIR (et OpenFair) est un modèle relativement nouveau qui aide les organisations à quantifier les risques. L’accent est mis sur la cybersécurité et le risque opérationnel, dans le but de prendre des décisions plus éclairées. Bien qu’il soit plus récent que les autres cadres mentionnés ici, on le voit déjà gagner en popularité auprès des entreprises du Fortune 500.
Choisir le bon cadre de référence
Là où COBIT et COSO sont principalement utilisés pour les risques, ITIL contribue à rationaliser le service et les opérations. Bien que CMMI était à l’origine destiné à l’ingénierie logicielle, il implique désormais des processus de développement de matériel, de prestation de services et d’achat. Comme mentionné précédemment, FAIR sert uniquement à évaluer les risques opérationnels et de cybersécurité.
Lors de l’examen des cadres, il faut tenir compte de la culture d’entreprise. Un cadre ou un modèle devrait normalement s’imposer naturellement pour une organisation. Il devrait résonner avec les parties prenantes.
Cela dit, il est tout à fait possible de ne choisir que les éléments qui nous intéresse dans chacun des cadres de gouvernance. Par exemple, COBIT et ITIL se complètent en ce sens que COBIT explique souvent « pourquoi » quelque chose est fait ou nécessaire là où ITIL fournit le « comment ». Certaines organisations utilisent COBIT et COSO, ainsi que la norme ISO 27001, pour la gestion de la sécurité de l’information.
Les services-conseils stratégiques d’un partenaire de confiance vous permettront d’identifier le cadre de référence optimal pour mettre au point votre programme de gouvernance TI.
Bernard Plante
Conseiller stratégique
ESI Technologies
Vous pourriez aussi aimer
Identifier et établir les priorités des investissements en cybersécurité
Pour produire le plan d’action en sécurité de l’information, il faut échelonner dans le temps la réalisation des initiatives en fonction de divers facteurs bien connus de la gestion de portefeuille de projets tels que les orientations stratégiques de l’entreprise, la disponibilité des ressources, etc.
L'excellence commerciale passe par les TI
Le rôle de la gouvernance des TI consiste à traduire les objectifs et la stratégie de l’entreprise en investissements TI, en assurer le suivi et contrôler leurs résultats.