Quelle gouvernance pour le numérique?

2 026 vues

Publié le

Quelle gouvernance pour le numérique?

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
2 026
Sur SlideShare
0
Issues des intégrations
0
Intégrations
895
Actions
Partages
0
Téléchargements
61
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Quelle gouvernance pour le numérique?

  1. 1. "Quelle gouvernance pour le numérique ?" Les jeudis de l’AFAI Patrick Stachtchenko 4 Décembre 2014 1 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  2. 2. Patrick Stachtchenko Coordonnées •Mobile : +33 6 86 68 35 76 •Email : pstachtchenko@orange.fr 2 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  3. 3. Agenda 1.Quelques tendances 2.Impact des tendances 3.Les référentiels / bonnes pratiques actuels répondent-ils au nouveau contexte? 4.Comment COBIT 5 peut répondre à ce nouveau contexte? 3 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  4. 4. Une interpellation, un espoir? Monde de la Technologie : en 10 ans ! Sociétés Valeur de marché Valeur de marché 2000 2011 •Intel 500/550 110 •Microsoft 450/500 220 •CISCO 400/450 90 •Nokia 200/250 20 •Blackberry 150/200 15 •Apple 10 350 •Google 50 170 •Samsung 20 100 •Amazon 5 100 •Facebook - 50/100 •Tencent QQ 1 50 •Baidu 15 40 MM$ •Pourtant, il s’agit de sociétés structurées ayant a priori de bonnes pratiques! •Pourquoi de telles différences? (Accès similaire aux compétences, aux outils, etc…) •Quels sont les facteurs qui ont conduit à une telle situation? •Problématique de gouvernance et de management? •Prise de décision, Leadership, Innovation, Agilité, Compétences, Comportements, Culture, Bureaucratie, Appétit au risque, « Business Model », Pratiques de Management, Processus, Valeur de l’Information, ...? Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 4
  5. 5. Quelques tendances 5 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  6. 6. •“Internet of things” : un monde hyper connecté •>10 MM unités avec accès internet, 20 - 50 MM unités en réseau, 3 MM mobiles avec accès internet •Explosion de l’information numérisée : un monde hyper “informé” •5 dernières années x 10, 10 prochaines x 50, > 90 MM d’emails/jour, > 1 MM recherches Google/jour, > 3 MM comptes réseaux sociaux, géolocalisation •Fournisseurs Cloud : un monde de services (HAAS, SAAS,.) accessible à tous •Présence croissante, dépendance plus forte •Rôle du DSI : un (des) rôle(s) à reinventer •Leader / Intégrateur de “business services”, Rôles mal définis entre business et informatique, Plus architectes de solutions et managers de fournisseurs •Focalisation plus importante sur les risques opérationnels : des opportunités fortes mais des risques forts 6 Tendances reconnues Gouverner/manager ces tendances, une des «top» préoccupations informatiques Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  7. 7. •“Internet of things” : un monde hyper connecté •Préoccupations de “User empowerment” et organisationnelles •Gartner : “Les utilisateurs vont prendre plus de contrôle des appareils qu’ils utilisent” •Explosion de l’information numérisée : un monde hyper “informé” •Préoccupations de vie privée, de valeur et organisationnelles •Gartner : “En 2015, plus de 85% des organisations du Fortune 500 vont échouer à exploiter efficacement le big data pour leur donner un avantage concurrentiel” •Fournisseurs Cloud : un monde de services (HAAS, SAAS, etc..) accessible •Gartner:“Fin 2016, > 50% des 1000 organisations les plus importantes, auront stocké des données clients sensibles dans le cloud public”. “40% des organisations vont demander la preuve de tests de sécurité, effectués de manière indépendante, une condition pour utiliser le cloud” •PWC (2013): Localisation des données, 31% savent leur localisation (quelles juridictions: impact sur tendance?), 34% savent où elles sont collectées/transmises/conservées •Rôle du DSI : un (des) rôle(s) à reinventer •Gartner : “En 2015, 35% des dépenses informatiques “corporate”, pour la plupart des organisations, seront managées en dehors de la DSI.”. “Comme l’univers informatique avance, les DSI vont s’apercevoir qu’ils devront coordonner ceux qui ont l’argent, ceux qui fournissent les services, ceux qui sécurisent les données, les usagers qui demandent d’établir leur propre rythme d’utilisation de l’informatique” •InformationWeek Priorité n°2 du DSI:“Faire que l’informatique et le business ne soient qu’un” 7 Tendances reconnues Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  8. 8. Autres Tendances •Parties prenantes : l’entreprise “étendu” –Multiples (internes et externes) –Volonté plus affirmée de faire valoir leurs intérêts, souvent divergents, conflictuels, mouvants, contradictoires, court terme vs long terme, (non/mal pris en compte et non mesurés), en tenant compte de niveaux d’appétence et de tolérance au risque spécifiques –Instances de gouvernance pour aboutir à des options de propositions de valeur équilibrées, pour résoudre les conflits, pour arbitrer, s’appuyant sur la confiance au système, aux informations (confiance en baisse!) •Dépendances / Inter-dépendances : l’entreprise “étendu” –Communication, énergie, RH, fournisseurs de services, information, … –Approche systémique, holistique, de confiance, … •Langage et terminologie : un langage commun pour l’entreprise étendue –Confusion, vue incomplète, problème de perception, … •Vue / Action / Décision intégrée : une vision étendue –Silos, responsibilités, désintermédiation, simple mais pas simpliste, … 8 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  9. 9. Autres Tendances •Intégration des fonctions et des préoccupations dans le business (ex. IT) : une vision étendue –Bureau du DSI, DF, RH, …, –Projets, directives, structures, compétences, risques, … •Information : des opportunités au coeur de l’entreprise étendue –TI/SI versus Information, Valeur, Big Data, Applications •Traitement du contexte et du changement : une entreprise étendue adaptée, mouvante et pérenne –Technologie, culture, législation, compétition, environnement business, …, –Agilité, innovation, conformité, …. •Mesure de Performance / Conformité : une entreprise étendue pilotée sous contrôle –Indicateurs, court terme/long terme, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, … 9 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Prise de décision : gouvernance Alignement / Exécution : management
  10. 10. Tendances Information : Prise de conscience de la valeur potentielle •Election OBAMA (Big Data : information privée) •Paris truqués (détection : analyses) •Cyberattaque (identification : information privée et comportements) •Voyance! (Belgique : information privée) •CIA (Petrus : vérification croisée) •Blomberg (espionnage : vérification croisée) •Google (INSEE : analyses, modèles de comportements) •Walmart (Big Data et vie privée : comportements) •Bijoutier L.A. (reconnaissance faciale : information privée) 10 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  11. 11. Tendances : L’information au coeur des « incidents » •Connaissance (avantage, torts) –Délits d’initié (Galleon, Heinz : 20%, Fed : millisecondes) –Vie privée (M4 UK : Facebook) –Enregistrements conversations (Bettencourt) –Listings volés (Fiscalité Suisse) •Non connaissance –Sous-traitance (Peugeot : vis) •Orientée –Conflits d’intérêts (Gaz de schiste, Publications scientifiques : + 6 000 % d’erreurs/fraudes en dix ans, Enron : Arthur Andersen) •Erreur (avantage, torts) –Outils mal contrôlés (FMI : erreur excel, plan d’austérité) –Pression des délais (Apple : géolocalisation) –Sondages/Etudes (Faux positif / Faux négatif (25%), Non Reproductible) 11 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  12. 12. Tendances : L’information au coeur des « incidents » •Manipulation (avantage, torts) –Rumeur (Obama : -136 MM$ en quelques minutes suite à un tweet), –Modification non valide (Clearstream) –Sabotage (Iran : Stuxnet et conséquences indirectes sur Air Liquide, Chevron) –Saisie fictive (Opinion Internet, Enquête, Sondage, …) –Ordre fictif (Coscia: trading à HF), –Fraude (SG, UBS, Madoff, Olympus, … Libor, Forex, …) –Communication de fausses infos (Toyota: tests qualité; Mattel : plomb, PMP : prothèses) –Traçabilité (Spanghero : viande, Oceana : poisson) –Trucage (Matchs sportifs) •Perception –Croyance / Biais : Temps de travail, Chômage, Croissance, Fiscalité, … –Formulation : Positif / Négatif, Gains / Pertes, Pro-forma 12 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  13. 13. Tendances : L’information au coeur des « incidents » •Analyses (avantage, torts) –Automatisation des analyses et des opérations (Bourse NY : - 862 MM$ en quelques mn, Kraft : + 7MM$ en quelques secondes) –Espionnage (Prism/Wikileaks,…; Times : scandale financier chinois; Renault : espionnage industriel) –Vie privée (Nominations : CIA (Petrus), OTAN (Allen)) •Destruction (avantage, torts) –Obligation légale : Enron, Google (droit à l’oubli, au déréférencement) •Opinion –Agences de notation (Enron, sub prime, …) –Audits (HP : -12 MM$) –Prévisions / Annonces : Analystes (AIG) 13 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 •Informatique « traditionnelle » plutôt absente •Nécessité d’un modèle spécifique pour traiter l’information
  14. 14. Editorial de Paul Krugman, prix Nobel d’Economie New York Times, Sept 2014 « First, Europe as a whole, is in deep trouble. Second, however, within that overall pattern of disaster, France’s performance is much better than you would guess from news report » « France hasn’t done well since 2008 … but its overall GDP growth has been much better than the European average, beating not only the troubled economies of southern Europe but creditor nations like the Netherlands. » « French job performance isn’t too bad. In fact, prime age adults are a lot more likely to be employed in France than in the United States. » « Nor does France’s situation seem particularly fragile. It doesn’t have a large trade deficit, and it can borrow at historically low interest rates » « France has big government and a generous welfare state, which free-market ideology says should lead to disaster. So disaster is what gets reported, even if it’s not what the numbers say » 14 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  15. 15. Tendances Pas de prise de risques, pas de succès ? •« You always must take the maximum risk, with the maximum precaution. » Rudyard Kipling •If you are « in control », then you are not going fast enough (Mario Andretti) •L’adversaire d’une vraie liberté est un désir excessif de sécurité (Jean de La Fontaine) •“Playing it safe is the riskiest choice we can ever make.” Sarah Ban Breathnach •“When you take risks you learn that there will be times when you succeed and there will be times when you fail, and both are equally important.” Ellen DeGeneres •“Don't listen to the malicious comments of those friends who, never taking any risks themselves, can only see other people's failures.” Paulo Coelho •“A woman's guess is much more accurate than a man's certainty.” Rudyard Kipling 15 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 •Prise de risque : Agressif vs Conservateur •Culture apprenante vs Culture du blâme •Conformité vs Non Conformité •Incitations et Aspects dissuasifs
  16. 16. Tendances Prise en compte des Incitations? Raghuram Rajan, current governor of the Reserve Bank of India (In 2006, Chief Economist IMF) : Statement in 2005 to Central Bankers Meeting •Under Greenspan, incentives had been artificially skewed in favor of the managers of the financial system, which reaped millenary rewards if things went fine but paid very little, if at all, when things turned sour. Things were likely to turn sour because the skewed incentives were offering incentive to those managers to take excessive risks. •He then focused on the “credit default swaps” which promised to repay delinquent loans in exchange for moderate insurance premiums. Noting that nobody really knew how realistically these swaps were priced, Rajan said that the banks were probably taking excessive risks because they trusted that the insurer would repay them. In these circumstances, a sudden increase in defaulting loans could exceed the reserves of the insurer, leading to a financial crisis. This is exactly what happened two years later, leading to the 2008 financial crisis NB. En 2003, il publie une étude controversée sur les risques de pertes extrêmes, qui lui valent de nombreuses critiques, dont celles de l’ancien secrétaire d’Etat au Trésor américain Lawrence Summers le qualifiant de "réactionnaire". 16 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  17. 17. Tendances Impératif 17 “…trust in, and value from, information and information systems…” Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  18. 18. Tendances Confiance 18 •Exigences : Transparence, Responsabilité, Preuves, Traçabilité, Spécifiques par partie prenante •Niveaux : Notion d’assurance raisonnable •Objets : Leviers, Résultats •Moyens internes : Gouvernance / Management / Contrôle interne / Gestion des risques / Sécurité / Référentiels / Bonnes pratiques •Moyens externes : Certifications / Audits / Niveaux de maturité / Niveaux de capacité / Benchmarks •Indicateurs de performance / conformité : moyens et résultats •Sans mesure, pas de contrôle, sans contrôle, pas de confiance •Cohérence : Maillon faible, Approche holistique, systémique, contextuelle, … •Pérennité : Court terme vs Long terme, Agilité, Continuité « La sécurité de la cité tient moins à la solidité de ses fortifications qu’à la fermeté d’esprit de ses habitants. » Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  19. 19. Impact des tendances 19 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  20. 20. Impacts des Tendances Passé Informatique Business Passé/Présent Informatique Business Présent/Future Informatique Business Numérique 20 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Focus Informatique Infrastructure Opérations Applications Services Business opérations Business bénéfices Complexité : Opportunité / Risques « 6V » Volume Variété Vélocité Virtualisation Valeur Vues ++ ++
  21. 21. Passé Informatique Business Passé/Présent Informatique Business Présent/Futur Informatique Business Numérique Impact des Tendances 21 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Environnement Informatique ERP, RH Manufacturing Accès Sécurisé Données de Ventes Infos Produits Estimés Tableaux de Bord Intégration données externes Intégration Macro Visual analytics Caractéristiques Informatiques Orienté Technicité Complication Rigueur Fiabilité « Add-ons » Business Rapide et simple Orienté Business Imagination Réactivité Agilité
  22. 22. Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num. 22 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Contexte Business •Support à l’automatisation des fonctions traditionnelles de gestion (facturation, paye, compta, …) •Gains d’efficacité, amélioration de la fiabilité, accès sécurisé •Support business «add-ons» aux fonctions traditionnelles (ventes, produits, infos financières, intelligence de marché, reporting) •Meilleure connaissance à jour et utilisation de cette connaissance pour la prise de décision et le suivi •Développement business et transformation. Le business est numérique. Tout est numérique. •mobilité, choix interactifs, accès intuitif, autonomie, jetable, réutilisable, … •partenaires, clients, fournisseurs, employés, communautés,… •interconnexion, partage, interaction, travail •Pertinence business et survie •innovation, avantage compétitif, croissance pérenne, nouveaux business modèles, bénéfices liés à la valeur de l’information, nouveaux modes de travail, expertise collective, règlementation croissante, vie privée, cyber
  23. 23. Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num. 23 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Rôle de la fonction Informatique •Central. Mène l’initiative. Plupart des préoccupations techniques. Reste responsable des services externalisés. •Environnement relativement stable •Tel que ci-dessus + support technique au business (sélection/validation application/technologie) ou laissé au business. •Business plus impliqué dans une mise en oeuvre plus simple et facile •Préoccupations spécifiques (fixation des priorités, responsabilité pour les « add-ons », gouvernance associée) •Intégrateur informatique dans business. Conseiller du business. Orchestration. Vision/Anticipation. Gouvernance tendances. •Plus complexe •Intérêts des parties prenantes, technologies et capacités multiples, divers, en recouvrement, conflictuels •Fixation des priorités, management des conflits, incitations pertinentes, contreparties, solutions imaginatives, agilité •Rôle plus flou business/informatique, responsabilité du business •Différents outils, directives, culture, structure, compétences •Environnement non stable •De plus, nécessité de manager l’infrastructure et opérations mentionnés au premier paragraphe (périmètre limité) de manière sécurisée
  24. 24. Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num. 24 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Solutions Informatiques •ERP. Management centralisé du développement et opérations •Add-ons intégrés au système central moins réactifs aux besoins spécifiques du business •Ou mise en oeuvre simple et facile d’applications « end-users » (Excell, Access,…) et de matériel « end-users » (PC, poste de travail). Outils analytiques spécialisés(type SAS) moins contrôlés et moins fiables •Mobiles/Apps multiples et puissants entre les mains du business (BYOD, BYOA) connectés en interne et en externe •Accès, utilisation et échange d’information étendus (big data, « analytics » à haute vitesse, réseaux sociaux, localisation, …) •Services IT étendus fournis par des sources externes mutualisées souvent à la demande (cloud, hybrid, HaaS, SaaS, consumérisation, puissance de calcul, communication et stockage) •Intégration des services IT (multicanal, interactions, « legacy ») •Intégration de l’utilisation de l’informations (professionnelle, personnelle, communautés, famille)
  25. 25. Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num. 25 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Réponse en matière de référentiel • Orienté informatique. Cycle de vie rigoureux. Bonnes pratiques informatiques. Contrôlé. Utilisation business prévue par informatique •CobiT 1, 2 and 3, ITIL, ISO, … bien adaptés. •Tel ci-dessus avec perspective business en plus (Gouvernance, priorités, bénéfices, risques et objectifs informatiques) ou effectué de manière séparée par business avec soutien limité référentiel informat. •COBIT 4, Val IT et Risk IT en combinaison, ITIL, ISO •Holistique, Systémique, Intégré au business. •Focalisé sur parties prenantes (value for many, gouvernance est clé) •Proposition de valeur intégrée (bénéfices, risques, ressources) •Focalisation sur information versus technologie •Ecosystème intégré : matériel, logiciel, services, technologies •Leviers intégrés (informatique intégrée aux structures, directives, référentiels, processus, compétences, langage, culture, services, projets, initiatives, indicateurs de performance, menaces business) •COBIT 5 référentiel holistique, systémique, contextuel, intégré efficace
  26. 26. Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num. 26 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Risques •Besoins matures, relativement stables. Solutions matures et efficaces. Chaîne de commande limitée. Référentiels et pratiques rigoureuses en place. Niveau de risque relativement faible. •Pour les services externalisés, utilisation de solutions et de pratiques matures (cf. ci-dessus) limite aussi le niveau de risques. •Lorsque « add-ons » intégrés au système central, risques similaires. Mais, besoins business associés moins matures. Plus d’implication business nécessaire. Niveau de risque plus élevé. Référentiels tels CobiT 4 limitent les risques. •Lorsque « add-ons » non intégrés, rôle du business plus élevé. Pratiques et méthodologies moins rigoureuses. Niveau de risque plus élevé. Mais, périmètre limité, simplicité d’utilisation et impact limité sur le système central, limitent quelque peu le niveau de risque. •Besoins non matures, implication multiples acteurs/organisations, intégration chaîne de valeur complète (besoins, technologies, capacités, fournisseurs, clients), responsabilités multiples, multiplicité et sophistication des solutions, utilisation référentiels et pratiques non matures, complexité pour gouverner et manager environnement avec expérience limitée engendrent un niveau très élevé des risques.
  27. 27. Les référentiels actuels répondent-ils au nouveau contexte? 27 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  28. 28. Les référentiels internationaux de SI Gouvernance et Management des SI Comparaison avec le périmètre de COBIT 5 28 Plusieurs organisations utilisent plusieurs référentiels en combinaison Copyright ISACA Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  29. 29. Plupart des référentiels actuels : Non prise en compte des tendances 29 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Prise de décision (Gouvernance) Exécution et alignement (Management) -- -- -- -- -- -- -- -- •Parties prenantes : multiples, différents intérêts, propositions de valeurs, niveaux d’appétence au risque, niveaux de tolérance au risque, sources d’approvisionnement, … •Dépendances / Inter-dépendances : communication, énergie, RH, fournisseurs de services, information, … systémique, holistique, confiance, … •Langage et terminologie : confusion, vue incomplète, perceptions, … •Vue/action/décision intégrée : silos, responsabilités, désintermédiation, simple mais pas simpliste, … •Intégration des fonctions et des préoccupations dans le business (ex. IT) : bureau du DSI, DF, RH, …, projets, directives, structures, compétences, risques, … •Information : TI/SI versus Information, Valeur, Big Data, Applications, … •Traitement du contexte et du changement : technologie, culture, législation, compétition, environnement business, …, agilité, innovation, conformité, …. •Mesure de Performance/Conformité: indicateurs, court terme/long terme, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, …
  30. 30. COBIT 5 potentiel : Prise en compte des tendances 30 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Prise de décision (Gouvernance) Exécution et alignement (Management) ++ ++ ++ ++ ++ ++ + ++ •Parties prenantes : multiples, différents intérêts, propositions de valeurs, niveaux d’appétence au risque, niveaux de tolérance au risque, sources d’approvisionnement •Dépendances / Inter-dépendances : communication, énergie, RH, fournisseurs de services, information, … systémique, holistique, confiance, … •Langage et terminologie : confusion, vue incomplète, perceptions, … •Vue/action/décision intégrée : silos, responsabilités, désintermédiation, simple mais pas simpliste, … •Intégration des fonctions et des préoccupations dans le business (ex. IT) : bureau du DSI, DF, RH, …, projets, directives, structures, compétences, risques, … •Information : TI/SI versus Information, Valeur, Big Data, Applications, … •Traitement du contexte et du changement : technologie, culture, législation, compétition, environnement business, …, agilité, innovation, conformité, …. •Mesure de Performance/Conformité: indicateurs, court terme/long terme, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, …
  31. 31. COBIT 5 avec aides actuels : Prise en compte partielle des tendances 31 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Prise de décision (Gouvernance) Exécution et alignement (Management) + + + + - + + + •Parties prenantes : multiples, différents intérêts, propositions de valeurs, niveaux d’appétence au risque, niveaux de tolérance au risque, sources d’approvisionnement, … •Dépendances / Inter-dépendances : communication, énergie, RH, fournisseurs de services, information, … systémique, holistique, confiance, … •Langage et terminologie : confusion, vue incomplète, perceptions, … •Vue/action/décision intégrée : silos, responsabilités, désintermédiation, simple mais pas simpliste, … •Intégration des fonctions et des préoccupations dans le business (ex. IT) : bureau du DSI, DF, RH, …, projets, directives, structures, compétences, risques, … •Information : TI/SI versus Information, Valeur, Big Data, Applications, … •Traitement du contexte et du changement : technologie, culture, législation, compétition, environnement business, …, agilité, innovation, conformité, …. •Mesure de Performance/Conformité: indicateurs, court terme/long terme, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, …
  32. 32. Comment COBIT 5 peut répondre à ce nouveau contexte? 32 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  33. 33. Governance and Management of Enterprise (Illustré pour l’IT) COBIT 5 IT Governance COBIT4.0/4.1 IT Management COBIT3 IT Control COBIT2 IT Audit COBIT1 COBIT 5 (5ème version depuis 1996) 2005/7 2000 1998 Evolution du périmètre 1996 2012 Val IT 2.0 (2008) Risk IT (2009) Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 33 CobiT 1, 2, 3, 4 : Information Technology COBIT 5 : Information and related Technology Copyright ISACA
  34. 34. COBIT 5 : Caractéristiques Clés •5 principes •Orienté Création de Valeur pour les Parties Prenantes •Couvrant l’Entreprise de Bout en Bout •Appliquant un Référentiel Intégré Unique •Favorisant une Approche Holistique •Distinguant la Gouvernance du Management •7 catégories de leviers •Processus •Information •Principes, Directives et Référentiels •Culture, Ethique et Comportements •Structures Organisationnelles •Aptitudes, Compétences , RH •Services, Infrastructure and Applic ations •Création de Valeur : 3 objectifs intégrés •Bénéfices, Risques, Ressources •Levier Processus •3 aspects de gouvernance (EDM) : 5 processus •4 aspects de management (PBRM) : 32 processus 34 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 •4 dimensions génériques par levier •Parties Prenantes •Buts / Objectifs •Cycle de Vie •Bonnes Pratiques (attributs) •2 types d’indicateurs de Perfromance •Indicateurs de Résultats •Indicateurs de Moyens
  35. 35. 35 COBIT 5 : Les 5 principes Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved.
  36. 36. Principe 1 : « Meeting Stakeholders Needs » Création de Valeur : La Cascade des Objectifs 36 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. • Mécanisme pour traduire •Les moteurs business contextuels (modifications de stratégie, environnement business et réglementaire changeant, évolutions technologiques, ….) •Les intérêts et besoins des parties prenantes en objectifs d’entreprise, informatiques et de leviers spécifiques, personnalisés et actionnables •Ces objectifs peuvent être liés aux objectifs de gouvernance de toute organisation : livrer des bénéfices, à un niveau de risque acceptable, en optimisant l’utilisation des ressources (Value for Many) •Cette traduction permet d’établir des objectifs spécifiques à chaque niveau et dans tous les domaines de l’entreprise en soutien aux objectifs généraux et aux besoins des parties prenantes •Aides concernant les objectifs Business, IT et des leviers et les indicateurs de performance (incluant les cartographies)
  37. 37. Principe 1 : « Meeting Stakeholders Needs » Création de Valeur et Gouvernance 37 •Quelles parties prenantes ? •Quels intérêts pour ces parties prenantes ? •Quels bénéfices / avantages ? •Tangibles et intangibles ? •Bénéfices / Avantages pour qui? •Quels risques ? •Risques pour qui ? •Appétence / Tolérance / Capacité ? •Quelles ressources ? •Ressources pour qui ? •Utilisation efficiente et responsable ? •Propositions de création de valeur •Préoccupation de gouvernance •Value for “Many” •Aides (Technologies émergentes, …) •Différents types et niveaux de valeur requis pour différentes parties prenantes •Opportunités? Risques? Qui prend les décisions ? Comment les décisions sont prises? Comment sont-elles influencées? Comment s’assure-t-on qu’elles sont mises en oeuvre? Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Copyright ISACA
  38. 38. Principe 2 : « Covering the Enterprise End to end » Les différents acteurs : activités, rôles et responsabilités 38 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. •Toutes les parties prenantes ont un rôle à jouer •Evaluation des options et orientations stratégiques arrêtées: type de bénéfices, niveau d’appétence et de tolérance au risque, niveau de ressources à mobiliser •Suivi de la performance et de la conformité à ces orientations •Alignement stratégique •Planification •Conception et mise en oeuvre des solutions •Exploitation •Suivi et contrôle •Exécution
  39. 39. Principe 3 : « Enabling a Holistic Approach » 39 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. •Les interconnections illustrent le fait qu’un levier •A besoin d’inputs des autres leviers pour être efficace (e.g. les processus ont besoin d’information, les structures organisationnelles ont besoin de personnes, les personnes ont besoin de compétences et de comportememts, et vice versa) •Livre des outputs au service d’autres leviers e.g. les processus livre de l’information, les compétences et les comportements font que les processus soient efficients,… •Ex : Le besoin d’une information sécurisée nécessite qu’un certain nombre de directives et de procédures soit créé et mis en oeuvre. Ces directives à leur tour nécessitent que des pratiques soient mis en oeuvre. Néanmoins, si la culture d’entreprise et du personnel n’est pas appropriée, les procédures et les processus ne seront pas très efficaces
  40. 40. Principe 3 : « Enabling a Holistic Approach » 40 Favorisant une approche holistique, systémique et contextuelle intégrée Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. Pour tous les leviers, un modèle générique qui procure une approche commune, simple et structurée, orienté résultats, permettant de prendre en compte leurs interactions complexes -Identification des parties prenantes externes et internes -Identification des intérêts et des objectifs des parties prenantes -Connexion au cycle de vie et aux bonnes pratiques -Identification des indicateurs de « résultats » et de « moyens » (Sans mesures, pas de contrôle)
  41. 41. Principe 4 : « Applying a Single Framework » 41 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. •COBIT 5 est aligné avec les derniers référentiels et standards utilisés pas les entreprises: •Enterprise: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 •IT: ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2, CMMI) •Ceci permet d’utiliser COBIT 5 comme le référentiel intégrateur de gouvernance and management de l’entreprise •Il est complet dans sa couverture de l’entreprise, procurant une base pour intégrer efficacement les autres référentiels, pratiques et standards utilisés (Cartographies) •Il procure une architecture simple pour structurer un ensemble cohérent d’aides dans un langage business non technique et intégrer l’ensemble des référentiels existants
  42. 42. Principe 5 : « Separating Governance from Management » 42 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. Gouvernance (EDM) La Gouvernance s’assure que •Les besoins, conditions et options des parties prenantes soient évalués pour déterminer les objectifs d’entreprise équilibrés et acceptés à atteindre •Les orientations soient fixées au travers de prioritisation et prise de décision •Le suivi de la perfomance et de la conformité soit effectué par rapport aux orientations et objectifs pré- déterminés Management (PBRM) Le Management planifie, construit, exploite et suit les activités de manière alignée avec les orientations fixées par les organes de gouvernance pour atteindre les objectifs de l’entreprise
  43. 43. Principe 5 : « Separating Governance from Management » 43 Copyright ISACA Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 •Il illustre tous les processus normalement trouvés dans une entreprise, fournissant un modèle de référence commun compréhensible aussi bien par les managers business et informatiques •Le modèle proposé est complet mais n’est pas le seul possible •Chaque entité doit définir ses propres processus en prenant en compte son contexte spécifique •Chaque processus traite son cycle de vie, identifie ses inputs et outputs, ses activités, les responsabilités et les indicateurs de performance
  44. 44. COBIT 5 : Vue d’ensemble –COBIT 5 Framework •A Business Framework for the Governance and Management of Enterprise IT (94 p) –COBIT 5 Enabler Guides •Processes (37 IT processes) (230 p), Information (Business and IT) (90 p), … –COBIT 5 Professional Guides •Implementation (78 p) + Toolkit (17 files), Risk (244 p) and Risk Scenarios (294 pages), Assurance (318 p), Security (220 p), … –Practices and Guidance using COBIT 5 •Configuration Management (88 p), Vendor Management, ... •COBIT Assessment Program : Model (144 p), Self Assessment (24 p), User Guide –White Papers / Vision Series / Studies / Surveys •Social Media, Business Benefits and Security, Governance and Assurance Perspectives (10 p) •Cloud Computing, Business Benefits with Security, Governance and Assurance Perspectives (10 p) •Big Data Impacts and Benefits (14 p), Top Business / Technology Issues Survey Results (34 p), … –Professionals Standards and Guidance •ITAF, A Professional Practices Framework for IS Audit / Assurance, 2nd Edition (93 p) –Audit/Assurance Programs •Software Assurance (35 p), Outsourcing IT Environments (39 p), BYOD (39 p), … –Knowledge Center (Over 100 topics : for each topic discussions, documents and publications, events, journal articles, external links, wikis, blog posts) •Performance Management, Business Analytics, Casinos and Gambling, Solvency 2, OS/400,… –COBIT Focus (4 x year) : COBIT Case studies, Articles, Updates, … –COBIT 5 Online : Multiphase project. Capabilities for accessing, understanding and applying COBIT 5 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 44
  45. 45. COBIT 5 : Vue spécifique (Sécurité de l’ Information) –COBIT 5 Professional Guides •Information Security (220 p) –Practices and Guidance using COBIT 5 •Securing Mobile Devices (138 p), Transforming Cyber Security (190 p), … –White Papers / Vision Series / Studies / Surveys •Security as a Service: Business Benefits with Security, Governance and Assurance Perspectives (18p) •Business Continuity Management, Emerging Trends (15 p) •Web Application Security, Business and Risk Considerations (16 p) •Security Considerations for Cloud Computing (80 p) •Advanced Persistent Threat (APT) Awareness Study Results (20 p), … –Audit / Assurance programs •VPN Security (33 p), Biometrics (47 p), Voice-over Internet Protocol (VoIP) (42 p), … –Knowledge Center •Security Tools, Physical Security, Network Security, … –COBIT 5 Online •Vue spécifique sécurité Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 45
  46. 46. COBIT 5 : Etude Globale sur la Gouvernance (ISACA 2014) 46 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014

×