SlideShare une entreprise Scribd logo
1  sur  46
Télécharger pour lire hors ligne
"Quelle gouvernance pour le numérique ?" Les jeudis de l’AFAI 
Patrick Stachtchenko 4 Décembre 2014 
1 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Patrick Stachtchenko Coordonnées 
•Mobile : +33 6 86 68 35 76 
•Email : pstachtchenko@orange.fr 
2 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Agenda 
1.Quelques tendances 
2.Impact des tendances 
3.Les référentiels / bonnes pratiques actuels répondent-ils au nouveau contexte? 
4.Comment COBIT 5 peut répondre à ce nouveau contexte? 
3 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Une interpellation, un espoir? Monde de la Technologie : en 10 ans ! 
Sociétés Valeur de marché Valeur de marché 
2000 2011 
•Intel 500/550 110 
•Microsoft 450/500 220 
•CISCO 400/450 90 
•Nokia 200/250 20 
•Blackberry 150/200 15 
•Apple 10 350 
•Google 50 170 
•Samsung 20 100 
•Amazon 5 100 
•Facebook - 50/100 
•Tencent QQ 1 50 
•Baidu 15 40 
MM$ 
•Pourtant, il s’agit de sociétés structurées ayant a priori de bonnes pratiques! 
•Pourquoi de telles différences? (Accès similaire aux compétences, aux outils, etc…) 
•Quels sont les facteurs qui ont conduit à une telle situation? 
•Problématique de gouvernance et de management? 
•Prise de décision, Leadership, Innovation, Agilité, Compétences, Comportements, Culture, Bureaucratie, Appétit au risque, « Business Model », Pratiques de Management, Processus, Valeur de l’Information, ...? 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
4
Quelques tendances 
5 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
•“Internet of things” : un monde hyper connecté 
•>10 MM unités avec accès internet, 20 - 50 MM unités en réseau, 3 MM mobiles avec accès internet 
•Explosion de l’information numérisée : un monde hyper “informé” 
•5 dernières années x 10, 10 prochaines x 50, > 90 MM d’emails/jour, > 1 MM recherches Google/jour, > 3 MM comptes réseaux sociaux, géolocalisation 
•Fournisseurs Cloud : un monde de services (HAAS, SAAS,.) accessible à tous 
•Présence croissante, dépendance plus forte 
•Rôle du DSI : un (des) rôle(s) à reinventer 
•Leader / Intégrateur de “business services”, Rôles mal définis entre business et informatique, Plus architectes de solutions et managers de fournisseurs 
•Focalisation plus importante sur les risques opérationnels : des opportunités fortes mais des risques forts 
6 
Tendances reconnues 
Gouverner/manager ces tendances, une des «top» préoccupations informatiques 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
•“Internet of things” : un monde hyper connecté 
•Préoccupations de “User empowerment” et organisationnelles 
•Gartner : “Les utilisateurs vont prendre plus de contrôle des appareils qu’ils utilisent” 
•Explosion de l’information numérisée : un monde hyper “informé” 
•Préoccupations de vie privée, de valeur et organisationnelles 
•Gartner : “En 2015, plus de 85% des organisations du Fortune 500 vont échouer à exploiter efficacement le big data pour leur donner un avantage concurrentiel” 
•Fournisseurs Cloud : un monde de services (HAAS, SAAS, etc..) accessible 
•Gartner:“Fin 2016, > 50% des 1000 organisations les plus importantes, auront stocké des données clients sensibles dans le cloud public”. “40% des organisations vont demander la preuve de tests de sécurité, effectués de manière indépendante, une condition pour utiliser le cloud” 
•PWC (2013): Localisation des données, 31% savent leur localisation (quelles juridictions: impact sur tendance?), 34% savent où elles sont collectées/transmises/conservées 
•Rôle du DSI : un (des) rôle(s) à reinventer 
•Gartner : “En 2015, 35% des dépenses informatiques “corporate”, pour la plupart des organisations, seront managées en dehors de la DSI.”. “Comme l’univers informatique avance, les DSI vont s’apercevoir qu’ils devront coordonner ceux qui ont l’argent, ceux qui fournissent les services, ceux qui sécurisent les données, les usagers qui demandent d’établir leur propre rythme d’utilisation de l’informatique” 
•InformationWeek Priorité n°2 du DSI:“Faire que l’informatique et le business ne soient qu’un” 
7 
Tendances reconnues 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Autres Tendances 
•Parties prenantes : l’entreprise “étendu” 
–Multiples (internes et externes) 
–Volonté plus affirmée de faire valoir leurs intérêts, souvent divergents, conflictuels, mouvants, contradictoires, court terme vs long terme, (non/mal pris en compte et non mesurés), en tenant compte de niveaux d’appétence et de tolérance au risque spécifiques 
–Instances de gouvernance pour aboutir à des options de propositions de valeur équilibrées, pour résoudre les conflits, pour arbitrer, s’appuyant sur la confiance au système, aux informations (confiance en baisse!) 
•Dépendances / Inter-dépendances : l’entreprise “étendu” 
–Communication, énergie, RH, fournisseurs de services, information, … 
–Approche systémique, holistique, de confiance, … 
•Langage et terminologie : un langage commun pour l’entreprise étendue 
–Confusion, vue incomplète, problème de perception, … 
•Vue / Action / Décision intégrée : une vision étendue 
–Silos, responsibilités, désintermédiation, simple mais pas simpliste, … 
8 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Autres Tendances 
•Intégration des fonctions et des préoccupations dans le business (ex. IT) : une vision étendue 
–Bureau du DSI, DF, RH, …, 
–Projets, directives, structures, compétences, risques, … 
•Information : des opportunités au coeur de l’entreprise étendue 
–TI/SI versus Information, Valeur, Big Data, Applications 
•Traitement du contexte et du changement : une entreprise étendue adaptée, mouvante et pérenne 
–Technologie, culture, législation, compétition, environnement business, …, 
–Agilité, innovation, conformité, …. 
•Mesure de Performance / Conformité : une entreprise étendue pilotée sous contrôle 
–Indicateurs, court terme/long terme, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, … 
9 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Prise de décision : gouvernance 
Alignement / Exécution : management
Tendances Information : Prise de conscience de la valeur potentielle 
•Election OBAMA (Big Data : information privée) 
•Paris truqués (détection : analyses) 
•Cyberattaque (identification : information privée et comportements) 
•Voyance! (Belgique : information privée) 
•CIA (Petrus : vérification croisée) 
•Blomberg (espionnage : vérification croisée) 
•Google (INSEE : analyses, modèles de comportements) 
•Walmart (Big Data et vie privée : comportements) 
•Bijoutier L.A. (reconnaissance faciale : information privée) 
10 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Tendances : L’information au coeur des « incidents » 
•Connaissance (avantage, torts) 
–Délits d’initié (Galleon, Heinz : 20%, Fed : millisecondes) 
–Vie privée (M4 UK : Facebook) 
–Enregistrements conversations (Bettencourt) 
–Listings volés (Fiscalité Suisse) 
•Non connaissance 
–Sous-traitance (Peugeot : vis) 
•Orientée 
–Conflits d’intérêts (Gaz de schiste, Publications scientifiques : + 6 000 % d’erreurs/fraudes en dix ans, Enron : Arthur Andersen) 
•Erreur (avantage, torts) 
–Outils mal contrôlés (FMI : erreur excel, plan d’austérité) 
–Pression des délais (Apple : géolocalisation) 
–Sondages/Etudes (Faux positif / Faux négatif (25%), Non Reproductible) 
11 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Tendances : L’information au coeur des « incidents » 
•Manipulation (avantage, torts) 
–Rumeur (Obama : -136 MM$ en quelques minutes suite à un tweet), 
–Modification non valide (Clearstream) 
–Sabotage (Iran : Stuxnet et conséquences indirectes sur Air Liquide, Chevron) 
–Saisie fictive (Opinion Internet, Enquête, Sondage, …) 
–Ordre fictif (Coscia: trading à HF), 
–Fraude (SG, UBS, Madoff, Olympus, … Libor, Forex, …) 
–Communication de fausses infos (Toyota: tests qualité; Mattel : plomb, PMP : prothèses) 
–Traçabilité (Spanghero : viande, Oceana : poisson) 
–Trucage (Matchs sportifs) 
•Perception 
–Croyance / Biais : Temps de travail, Chômage, Croissance, Fiscalité, … 
–Formulation : Positif / Négatif, Gains / Pertes, Pro-forma 
12 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Tendances : L’information au coeur des « incidents » 
•Analyses (avantage, torts) 
–Automatisation des analyses et des opérations (Bourse NY : - 862 MM$ en quelques mn, Kraft : + 7MM$ en quelques secondes) 
–Espionnage (Prism/Wikileaks,…; Times : scandale financier chinois; Renault : espionnage industriel) 
–Vie privée (Nominations : CIA (Petrus), OTAN (Allen)) 
•Destruction (avantage, torts) 
–Obligation légale : Enron, Google (droit à l’oubli, au déréférencement) 
•Opinion 
–Agences de notation (Enron, sub prime, …) 
–Audits (HP : -12 MM$) 
–Prévisions / Annonces : Analystes (AIG) 
13 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
•Informatique « traditionnelle » plutôt absente 
•Nécessité d’un modèle spécifique pour traiter l’information
Editorial de Paul Krugman, prix Nobel d’Economie New York Times, Sept 2014 
« First, Europe as a whole, is in deep trouble. Second, however, within that overall pattern of disaster, France’s performance is much better than you would guess from news report » 
« France hasn’t done well since 2008 … but its overall GDP growth has been much better than the European average, beating not only the troubled economies of southern Europe but creditor nations like the Netherlands. » 
« French job performance isn’t too bad. In fact, prime age adults are a lot more likely to be employed in France than in the United States. » 
« Nor does France’s situation seem particularly fragile. It doesn’t have a large trade deficit, and it can borrow at historically low interest rates » 
« France has big government and a generous welfare state, which free-market ideology says should lead to disaster. So disaster is what gets reported, even if it’s not what the numbers say » 
14 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Tendances Pas de prise de risques, pas de succès ? 
•« You always must take the maximum risk, with the maximum precaution. » Rudyard Kipling 
•If you are « in control », then you are not going fast enough (Mario Andretti) 
•L’adversaire d’une vraie liberté est un désir excessif de sécurité (Jean de La Fontaine) 
•“Playing it safe is the riskiest choice we can ever make.” Sarah Ban Breathnach 
•“When you take risks you learn that there will be times when you succeed and there will be times when you fail, and both are equally important.” Ellen DeGeneres 
•“Don't listen to the malicious comments of those friends who, never taking any risks themselves, can only see other people's failures.” Paulo Coelho 
•“A woman's guess is much more accurate than a man's certainty.” Rudyard Kipling 
15 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
•Prise de risque : Agressif vs Conservateur 
•Culture apprenante vs Culture du blâme 
•Conformité vs Non Conformité 
•Incitations et Aspects dissuasifs
Tendances Prise en compte des Incitations? 
Raghuram Rajan, current governor of the Reserve Bank of India (In 2006, Chief Economist IMF) : Statement in 2005 to Central Bankers Meeting 
•Under Greenspan, incentives had been artificially skewed in favor of the managers of the financial system, which reaped millenary rewards if things went fine but paid very little, if at all, when things turned sour. Things were likely to turn sour because the skewed incentives were offering incentive to those managers to take excessive risks. 
•He then focused on the “credit default swaps” which promised to repay delinquent loans in exchange for moderate insurance premiums. Noting that nobody really knew how realistically these swaps were priced, Rajan said that the banks were probably taking excessive risks because they trusted that the insurer would repay them. In these circumstances, a sudden increase in defaulting loans could exceed the reserves of the insurer, leading to a financial crisis. 
This is exactly what happened two years later, leading to the 2008 financial crisis 
NB. En 2003, il publie une étude controversée sur les risques de pertes extrêmes, qui lui valent de nombreuses critiques, dont celles de l’ancien secrétaire d’Etat au Trésor américain Lawrence Summers le qualifiant de "réactionnaire". 
16 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Tendances Impératif 
17 
“…trust in, and value from, information and information systems…” 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Tendances Confiance 
18 
•Exigences : Transparence, Responsabilité, Preuves, Traçabilité, Spécifiques par partie prenante 
•Niveaux : Notion d’assurance raisonnable 
•Objets : Leviers, Résultats 
•Moyens internes : Gouvernance / Management / Contrôle interne / Gestion des risques / Sécurité / Référentiels / Bonnes pratiques 
•Moyens externes : Certifications / Audits / Niveaux de maturité / Niveaux de capacité / Benchmarks 
•Indicateurs de performance / conformité : moyens et résultats 
•Sans mesure, pas de contrôle, sans contrôle, pas de confiance 
•Cohérence : Maillon faible, Approche holistique, systémique, contextuelle, … 
•Pérennité : Court terme vs Long terme, Agilité, Continuité « La sécurité de la cité tient moins à la solidité de ses fortifications qu’à la fermeté d’esprit de ses habitants. » 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Impact des tendances 
19 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Impacts des Tendances 
Passé 
Informatique Business 
Passé/Présent 
Informatique Business 
Présent/Future 
Informatique Business 
Numérique 
20 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Focus Informatique 
Infrastructure 
Opérations 
Applications 
Services 
Business opérations 
Business bénéfices 
Complexité : Opportunité / 
Risques 
« 6V » 
Volume 
Variété 
Vélocité 
Virtualisation 
Valeur 
Vues 
++ 
++
Passé 
Informatique Business 
Passé/Présent 
Informatique Business 
Présent/Futur 
Informatique Business 
Numérique 
Impact des Tendances 
21 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Environnement Informatique 
ERP, RH 
Manufacturing 
Accès Sécurisé 
Données de Ventes 
Infos Produits 
Estimés 
Tableaux de Bord 
Intégration données externes 
Intégration Macro 
Visual analytics 
Caractéristiques 
Informatiques 
Orienté Technicité 
Complication 
Rigueur 
Fiabilité 
« Add-ons » Business 
Rapide et simple 
Orienté Business Imagination 
Réactivité 
Agilité
Impacts des Tendances 
Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num. 
22 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Contexte Business 
•Support à l’automatisation des fonctions traditionnelles de gestion (facturation, paye, compta, …) 
•Gains d’efficacité, amélioration de la fiabilité, accès sécurisé 
•Support business «add-ons» aux fonctions traditionnelles (ventes, produits, infos financières, intelligence de marché, reporting) 
•Meilleure connaissance à jour et utilisation de cette connaissance pour la prise de décision et le suivi 
•Développement business et transformation. Le business est numérique. Tout est numérique. 
•mobilité, choix interactifs, accès intuitif, autonomie, jetable, réutilisable, … 
•partenaires, clients, fournisseurs, employés, communautés,… 
•interconnexion, partage, interaction, travail 
•Pertinence business et survie 
•innovation, avantage compétitif, croissance pérenne, nouveaux business modèles, bénéfices liés à la valeur de l’information, nouveaux modes de travail, expertise collective, règlementation croissante, vie privée, cyber
Impacts des Tendances 
Passé 
Inf. Bus. 
Passé/Présent 
Inf. Bus. 
Présent/Futur 
Inf. Bus. 
Num. 
23 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Rôle de la fonction Informatique 
•Central. Mène l’initiative. Plupart des préoccupations techniques. Reste responsable des services externalisés. 
•Environnement relativement stable 
•Tel que ci-dessus + support technique au business (sélection/validation application/technologie) ou laissé au business. 
•Business plus impliqué dans une mise en oeuvre plus simple et facile 
•Préoccupations spécifiques (fixation des priorités, responsabilité pour les « add-ons », gouvernance associée) 
•Intégrateur informatique dans business. Conseiller du business. Orchestration. Vision/Anticipation. Gouvernance tendances. 
•Plus complexe 
•Intérêts des parties prenantes, technologies et capacités multiples, divers, en recouvrement, conflictuels 
•Fixation des priorités, management des conflits, incitations pertinentes, contreparties, solutions imaginatives, agilité 
•Rôle plus flou business/informatique, responsabilité du business 
•Différents outils, directives, culture, structure, compétences 
•Environnement non stable 
•De plus, nécessité de manager l’infrastructure et opérations mentionnés au premier paragraphe (périmètre limité) de manière sécurisée
Impacts des Tendances 
Passé 
Inf. Bus. 
Passé/Présent 
Inf. Bus. 
Présent/Futur 
Inf. Bus. 
Num. 
24 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Solutions Informatiques 
•ERP. Management centralisé du développement et opérations 
•Add-ons intégrés au système central moins réactifs aux besoins spécifiques du business 
•Ou mise en oeuvre simple et facile d’applications « end-users » (Excell, Access,…) et de matériel « end-users » (PC, poste de travail). Outils analytiques spécialisés(type SAS) moins contrôlés et moins fiables 
•Mobiles/Apps multiples et puissants entre les mains du business (BYOD, BYOA) connectés en interne et en externe 
•Accès, utilisation et échange d’information étendus (big data, « analytics » à haute vitesse, réseaux sociaux, localisation, …) 
•Services IT étendus fournis par des sources externes mutualisées souvent à la demande (cloud, hybrid, HaaS, SaaS, consumérisation, puissance de calcul, communication et stockage) 
•Intégration des services IT (multicanal, interactions, « legacy ») 
•Intégration de l’utilisation de l’informations (professionnelle, personnelle, communautés, famille)
Impacts des Tendances 
Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num. 
25 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Réponse en matière de référentiel 
• Orienté informatique. Cycle de vie rigoureux. Bonnes pratiques informatiques. Contrôlé. Utilisation business prévue par informatique 
•CobiT 1, 2 and 3, ITIL, ISO, … bien adaptés. 
•Tel ci-dessus avec perspective business en plus (Gouvernance, priorités, bénéfices, risques et objectifs informatiques) ou effectué de manière séparée par business avec soutien limité référentiel informat. 
•COBIT 4, Val IT et Risk IT en combinaison, ITIL, ISO 
•Holistique, Systémique, Intégré au business. 
•Focalisé sur parties prenantes (value for many, gouvernance est clé) 
•Proposition de valeur intégrée (bénéfices, risques, ressources) 
•Focalisation sur information versus technologie 
•Ecosystème intégré : matériel, logiciel, services, technologies 
•Leviers intégrés (informatique intégrée aux structures, directives, référentiels, processus, compétences, langage, culture, services, projets, initiatives, indicateurs de performance, menaces business) 
•COBIT 5 référentiel holistique, systémique, contextuel, intégré efficace
Impacts des Tendances 
Passé 
Inf. Bus. 
Passé/Présent 
Inf. Bus. 
Présent/Futur 
Inf. Bus. 
Num. 
26 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Risques 
•Besoins matures, relativement stables. Solutions matures et efficaces. Chaîne de commande limitée. Référentiels et pratiques rigoureuses en place. Niveau de risque relativement faible. 
•Pour les services externalisés, utilisation de solutions et de pratiques matures (cf. ci-dessus) limite aussi le niveau de risques. 
•Lorsque « add-ons » intégrés au système central, risques similaires. Mais, besoins business associés moins matures. Plus d’implication business nécessaire. Niveau de risque plus élevé. Référentiels tels CobiT 4 limitent les risques. 
•Lorsque « add-ons » non intégrés, rôle du business plus élevé. Pratiques et méthodologies moins rigoureuses. Niveau de risque plus élevé. Mais, périmètre limité, simplicité d’utilisation et impact limité sur le système central, limitent quelque peu le niveau de risque. 
•Besoins non matures, implication multiples acteurs/organisations, intégration chaîne de valeur complète (besoins, technologies, capacités, fournisseurs, clients), responsabilités multiples, multiplicité et sophistication des solutions, utilisation référentiels et pratiques non matures, complexité pour gouverner et manager environnement avec expérience limitée engendrent un niveau très élevé des risques.
Les référentiels actuels répondent-ils au nouveau contexte? 
27 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Les référentiels internationaux de SI Gouvernance et Management des SI Comparaison avec le périmètre de COBIT 5 
28 
Plusieurs organisations utilisent plusieurs référentiels en combinaison 
Copyright ISACA 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Plupart des référentiels actuels : Non prise en compte des tendances 
29 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Prise de décision (Gouvernance) 
Exécution et alignement (Management) 
-- -- -- -- -- -- -- -- 
•Parties prenantes : multiples, différents intérêts, propositions de valeurs, niveaux d’appétence au risque, niveaux de tolérance au risque, sources d’approvisionnement, … 
•Dépendances / Inter-dépendances : communication, énergie, RH, fournisseurs de services, information, … systémique, holistique, confiance, … 
•Langage et terminologie : confusion, vue incomplète, perceptions, … 
•Vue/action/décision intégrée : silos, responsabilités, désintermédiation, simple mais pas simpliste, … 
•Intégration des fonctions et des préoccupations dans le business (ex. IT) : bureau du DSI, DF, RH, …, projets, directives, structures, compétences, risques, … 
•Information : TI/SI versus Information, Valeur, Big Data, Applications, … 
•Traitement du contexte et du changement : technologie, culture, législation, compétition, environnement business, …, agilité, innovation, conformité, …. 
•Mesure de Performance/Conformité: indicateurs, court terme/long terme, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, …
COBIT 5 potentiel : Prise en compte des tendances 
30 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Prise de décision (Gouvernance) 
Exécution et alignement (Management) 
++ 
++ 
++ 
++ 
++ 
++ 
+ 
++ 
•Parties prenantes : multiples, différents intérêts, propositions de valeurs, niveaux d’appétence au risque, niveaux de tolérance au risque, sources d’approvisionnement 
•Dépendances / Inter-dépendances : communication, énergie, RH, fournisseurs de services, information, … systémique, holistique, confiance, … 
•Langage et terminologie : confusion, vue incomplète, perceptions, … 
•Vue/action/décision intégrée : silos, responsabilités, désintermédiation, simple mais pas simpliste, … 
•Intégration des fonctions et des préoccupations dans le business (ex. IT) : bureau du DSI, DF, RH, …, projets, directives, structures, compétences, risques, … 
•Information : TI/SI versus Information, Valeur, Big Data, Applications, … 
•Traitement du contexte et du changement : technologie, culture, législation, compétition, environnement business, …, agilité, innovation, conformité, …. 
•Mesure de Performance/Conformité: indicateurs, court terme/long terme, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, …
COBIT 5 avec aides actuels : Prise en compte partielle des tendances 
31 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Prise de décision (Gouvernance) 
Exécution et alignement (Management) 
+ + + + - + + + 
•Parties prenantes : multiples, différents intérêts, propositions de valeurs, niveaux d’appétence au risque, niveaux de tolérance au risque, sources d’approvisionnement, … 
•Dépendances / Inter-dépendances : communication, énergie, RH, fournisseurs de services, information, … systémique, holistique, confiance, … 
•Langage et terminologie : confusion, vue incomplète, perceptions, … 
•Vue/action/décision intégrée : silos, responsabilités, désintermédiation, simple mais pas simpliste, … 
•Intégration des fonctions et des préoccupations dans le business (ex. IT) : bureau du DSI, DF, RH, …, projets, directives, structures, compétences, risques, … 
•Information : TI/SI versus Information, Valeur, Big Data, Applications, … 
•Traitement du contexte et du changement : technologie, culture, législation, compétition, environnement business, …, agilité, innovation, conformité, …. 
•Mesure de Performance/Conformité: indicateurs, court terme/long terme, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, …
Comment COBIT 5 peut répondre à ce nouveau contexte? 
32 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
Governance and Management of Enterprise 
(Illustré pour l’IT) 
COBIT 5 
IT Governance 
COBIT4.0/4.1 
IT Management 
COBIT3 
IT Control 
COBIT2 
IT Audit 
COBIT1 
COBIT 5 (5ème version depuis 1996) 
2005/7 
2000 
1998 
Evolution du périmètre 
1996 
2012 
Val IT 2.0 
(2008) 
Risk IT (2009) 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
33 
CobiT 1, 2, 3, 4 : Information Technology 
COBIT 5 : Information and related Technology 
Copyright ISACA
COBIT 5 : Caractéristiques Clés 
•5 principes 
•Orienté Création de Valeur pour les Parties Prenantes 
•Couvrant l’Entreprise de Bout en Bout 
•Appliquant un Référentiel Intégré Unique 
•Favorisant une Approche Holistique 
•Distinguant la Gouvernance du Management 
•7 catégories de leviers 
•Processus 
•Information 
•Principes, Directives et Référentiels 
•Culture, Ethique et Comportements 
•Structures Organisationnelles 
•Aptitudes, Compétences , RH 
•Services, Infrastructure and Applic ations 
•Création de Valeur : 3 objectifs intégrés 
•Bénéfices, Risques, Ressources 
•Levier Processus 
•3 aspects de gouvernance (EDM) : 5 processus 
•4 aspects de management (PBRM) : 32 processus 
34 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
•4 dimensions génériques par levier 
•Parties Prenantes 
•Buts / Objectifs 
•Cycle de Vie 
•Bonnes Pratiques (attributs) 
•2 types d’indicateurs de Perfromance 
•Indicateurs de Résultats 
•Indicateurs de Moyens
35 
COBIT 5 : Les 5 principes 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved.
Principe 1 : « Meeting Stakeholders Needs » Création de Valeur : La Cascade des Objectifs 
36 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. 
• Mécanisme pour traduire 
•Les moteurs business contextuels (modifications de stratégie, environnement business et réglementaire changeant, évolutions technologiques, ….) 
•Les intérêts et besoins des parties prenantes en objectifs d’entreprise, informatiques et de leviers spécifiques, personnalisés et actionnables 
•Ces objectifs peuvent être liés aux objectifs de gouvernance de toute organisation : livrer des bénéfices, à un niveau de risque acceptable, en optimisant l’utilisation des ressources (Value for Many) 
•Cette traduction permet d’établir des objectifs spécifiques à chaque niveau et dans tous les domaines de l’entreprise en soutien aux objectifs généraux et aux besoins des parties prenantes 
•Aides concernant les objectifs Business, IT et des leviers et les indicateurs de performance (incluant les cartographies)
Principe 1 : « Meeting Stakeholders Needs » Création de Valeur et Gouvernance 
37 
•Quelles parties prenantes ? 
•Quels intérêts pour ces parties prenantes ? 
•Quels bénéfices / avantages ? 
•Tangibles et intangibles ? 
•Bénéfices / Avantages pour qui? 
•Quels risques ? 
•Risques pour qui ? 
•Appétence / Tolérance / Capacité ? 
•Quelles ressources ? 
•Ressources pour qui ? 
•Utilisation efficiente et responsable ? 
•Propositions de création de valeur 
•Préoccupation de gouvernance 
•Value for “Many” 
•Aides (Technologies émergentes, …) 
•Différents types et niveaux de valeur requis pour différentes parties prenantes 
•Opportunités? Risques? Qui prend les décisions ? Comment les décisions sont prises? Comment sont-elles influencées? Comment s’assure-t-on qu’elles sont mises en oeuvre? 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Copyright ISACA
Principe 2 : « Covering the Enterprise End to end » Les différents acteurs : activités, rôles et responsabilités 
38 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. 
•Toutes les parties prenantes ont un rôle à jouer 
•Evaluation des options et orientations stratégiques arrêtées: type de bénéfices, niveau d’appétence et de tolérance au risque, niveau de ressources à mobiliser 
•Suivi de la performance et de la conformité à ces orientations 
•Alignement stratégique 
•Planification 
•Conception et mise en oeuvre des solutions 
•Exploitation 
•Suivi et contrôle 
•Exécution
Principe 3 : « Enabling a Holistic Approach » 
39 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. 
•Les interconnections illustrent le fait qu’un levier 
•A besoin d’inputs des autres leviers pour être efficace (e.g. les processus ont besoin d’information, les structures organisationnelles ont besoin de personnes, les personnes ont besoin de compétences et de comportememts, et vice versa) 
•Livre des outputs au service d’autres leviers e.g. les processus livre de l’information, les compétences et les comportements font que les processus soient efficients,… 
•Ex : Le besoin d’une information sécurisée nécessite qu’un certain nombre de directives et de procédures soit créé et mis en oeuvre. Ces directives à leur tour nécessitent que des pratiques soient mis en oeuvre. Néanmoins, si la culture d’entreprise et du personnel n’est pas appropriée, les procédures et les processus ne seront pas très efficaces
Principe 3 : « Enabling a Holistic Approach » 
40 
Favorisant une approche holistique, systémique et contextuelle intégrée 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. 
Pour tous les leviers, un modèle générique qui procure une approche commune, simple et structurée, orienté résultats, permettant de prendre en compte leurs interactions complexes 
-Identification des parties prenantes externes et internes 
-Identification des intérêts et des objectifs des parties prenantes 
-Connexion au cycle de vie et aux bonnes pratiques 
-Identification des indicateurs de « résultats » et de « moyens » (Sans mesures, pas de contrôle)
Principe 4 : « Applying a Single Framework » 
41 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. 
•COBIT 5 est aligné avec les derniers référentiels et standards utilisés pas les entreprises: 
•Enterprise: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 
•IT: ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2, CMMI) 
•Ceci permet d’utiliser COBIT 5 comme le référentiel intégrateur de gouvernance and management de l’entreprise 
•Il est complet dans sa couverture de l’entreprise, procurant une base pour intégrer efficacement les autres référentiels, pratiques et standards utilisés (Cartographies) 
•Il procure une architecture simple pour structurer un ensemble cohérent d’aides dans un langage business non technique et intégrer l’ensemble des référentiels existants
Principe 5 : « Separating Governance from Management » 
42 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. 
Gouvernance (EDM) La Gouvernance s’assure que 
•Les besoins, conditions et options des parties prenantes soient évalués pour déterminer les objectifs d’entreprise équilibrés et acceptés à atteindre 
•Les orientations soient fixées au travers de prioritisation et prise de décision 
•Le suivi de la perfomance et de la conformité soit effectué par rapport aux orientations et objectifs pré- déterminés Management (PBRM) Le Management planifie, construit, exploite et suit les activités de manière alignée avec les orientations fixées par les organes de gouvernance pour atteindre les objectifs de l’entreprise
Principe 5 : « Separating Governance from Management » 
43 
Copyright ISACA 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
•Il illustre tous les processus normalement trouvés dans une entreprise, fournissant un modèle de référence commun compréhensible aussi bien par les managers business et informatiques 
•Le modèle proposé est complet mais n’est pas le seul possible 
•Chaque entité doit définir ses propres processus en prenant en compte son contexte spécifique 
•Chaque processus traite son cycle de vie, identifie ses inputs et outputs, ses activités, les responsabilités et les indicateurs de performance
COBIT 5 : Vue d’ensemble 
–COBIT 5 Framework 
•A Business Framework for the Governance and Management of Enterprise IT (94 p) 
–COBIT 5 Enabler Guides 
•Processes (37 IT processes) (230 p), Information (Business and IT) (90 p), … 
–COBIT 5 Professional Guides 
•Implementation (78 p) + Toolkit (17 files), Risk (244 p) and Risk Scenarios (294 pages), Assurance (318 p), Security (220 p), … 
–Practices and Guidance using COBIT 5 
•Configuration Management (88 p), Vendor Management, ... 
•COBIT Assessment Program : Model (144 p), Self Assessment (24 p), User Guide 
–White Papers / Vision Series / Studies / Surveys 
•Social Media, Business Benefits and Security, Governance and Assurance Perspectives (10 p) 
•Cloud Computing, Business Benefits with Security, Governance and Assurance Perspectives (10 p) 
•Big Data Impacts and Benefits (14 p), Top Business / Technology Issues Survey Results (34 p), … 
–Professionals Standards and Guidance 
•ITAF, A Professional Practices Framework for IS Audit / Assurance, 2nd Edition (93 p) 
–Audit/Assurance Programs 
•Software Assurance (35 p), Outsourcing IT Environments (39 p), BYOD (39 p), … 
–Knowledge Center (Over 100 topics : for each topic discussions, documents and publications, events, journal articles, external links, wikis, blog posts) 
•Performance Management, Business Analytics, Casinos and Gambling, Solvency 2, OS/400,… 
–COBIT Focus (4 x year) : COBIT Case studies, Articles, Updates, … 
–COBIT 5 Online : Multiphase project. Capabilities for accessing, understanding and applying COBIT 5 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
44
COBIT 5 : Vue spécifique (Sécurité de l’ Information) 
–COBIT 5 Professional Guides 
•Information Security (220 p) 
–Practices and Guidance using COBIT 5 
•Securing Mobile Devices (138 p), Transforming Cyber Security (190 p), … 
–White Papers / Vision Series / Studies / Surveys 
•Security as a Service: Business Benefits with Security, Governance and Assurance Perspectives (18p) 
•Business Continuity Management, Emerging Trends (15 p) 
•Web Application Security, Business and Risk Considerations (16 p) 
•Security Considerations for Cloud Computing (80 p) 
•Advanced Persistent Threat (APT) Awareness Study Results (20 p), … 
–Audit / Assurance programs 
•VPN Security (33 p), Biometrics (47 p), Voice-over Internet Protocol (VoIP) (42 p), … 
–Knowledge Center 
•Security Tools, Physical Security, Network Security, … 
–COBIT 5 Online 
•Vue spécifique sécurité 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 
45
COBIT 5 : Etude Globale sur la Gouvernance (ISACA 2014) 
46 
Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014

Contenu connexe

Tendances

Entreprise troispointzeropublicjan2015
Entreprise troispointzeropublicjan2015Entreprise troispointzeropublicjan2015
Entreprise troispointzeropublicjan2015Yves Caseau
 
livre-blanc-infogerance-solution-complexe-valorisation-donnee
livre-blanc-infogerance-solution-complexe-valorisation-donneelivre-blanc-infogerance-solution-complexe-valorisation-donnee
livre-blanc-infogerance-solution-complexe-valorisation-donneeOlivier Bourgeois
 
Innovations it et recrutements
Innovations it et recrutementsInnovations it et recrutements
Innovations it et recrutementsRobert Half France
 
9 defis entreprise-2020-cigref
9 defis entreprise-2020-cigref9 defis entreprise-2020-cigref
9 defis entreprise-2020-cigrefChristophe Monnier
 
Relever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en EuropeRelever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en EuropeAntoine Vigneron
 
Le cloud joue-t-il avec nos libertés ?
Le cloud joue-t-il avec nos libertés ?Le cloud joue-t-il avec nos libertés ?
Le cloud joue-t-il avec nos libertés ?Genève Lab
 
HUBFORUM : 8 Tendances de la transformation digitale pour 2018
HUBFORUM : 8 Tendances de la transformation digitale pour 2018 HUBFORUM : 8 Tendances de la transformation digitale pour 2018
HUBFORUM : 8 Tendances de la transformation digitale pour 2018 HUB INSTITUTE
 

Tendances (8)

Entreprise troispointzeropublicjan2015
Entreprise troispointzeropublicjan2015Entreprise troispointzeropublicjan2015
Entreprise troispointzeropublicjan2015
 
livre-blanc-infogerance-solution-complexe-valorisation-donnee
livre-blanc-infogerance-solution-complexe-valorisation-donneelivre-blanc-infogerance-solution-complexe-valorisation-donnee
livre-blanc-infogerance-solution-complexe-valorisation-donnee
 
Innovations it et recrutements
Innovations it et recrutementsInnovations it et recrutements
Innovations it et recrutements
 
Group DIS - Datacenter
Group DIS - DatacenterGroup DIS - Datacenter
Group DIS - Datacenter
 
9 defis entreprise-2020-cigref
9 defis entreprise-2020-cigref9 defis entreprise-2020-cigref
9 defis entreprise-2020-cigref
 
Relever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en EuropeRelever le défi SI de la transformation numérique en Europe
Relever le défi SI de la transformation numérique en Europe
 
Le cloud joue-t-il avec nos libertés ?
Le cloud joue-t-il avec nos libertés ?Le cloud joue-t-il avec nos libertés ?
Le cloud joue-t-il avec nos libertés ?
 
HUBFORUM : 8 Tendances de la transformation digitale pour 2018
HUBFORUM : 8 Tendances de la transformation digitale pour 2018 HUBFORUM : 8 Tendances de la transformation digitale pour 2018
HUBFORUM : 8 Tendances de la transformation digitale pour 2018
 

En vedette

Canadian Healthcare Codes and Terminology Standards
Canadian Healthcare Codes and Terminology StandardsCanadian Healthcare Codes and Terminology Standards
Canadian Healthcare Codes and Terminology Standards Intelliware Development Inc.
 
I2 Argentina Unitech
I2 Argentina UnitechI2 Argentina Unitech
I2 Argentina UnitechUNITECH S.A.
 
Environmental Law for Road Builders
Environmental Law for Road Builders Environmental Law for Road Builders
Environmental Law for Road Builders DSaxe
 
Clinical development, contract & outsourcing in mena & asia pac webinar-l aju...
Clinical development, contract & outsourcing in mena & asia pac webinar-l aju...Clinical development, contract & outsourcing in mena & asia pac webinar-l aju...
Clinical development, contract & outsourcing in mena & asia pac webinar-l aju...Larry Ajuwon
 
Enterprise Wearables: Wearing Our Parts On Our Sleeves - How Wearable Technol...
Enterprise Wearables: Wearing Our Parts On Our Sleeves - How Wearable Technol...Enterprise Wearables: Wearing Our Parts On Our Sleeves - How Wearable Technol...
Enterprise Wearables: Wearing Our Parts On Our Sleeves - How Wearable Technol...Intelliware Development Inc.
 
Add 2009 10
Add 2009 10Add 2009 10
Add 2009 10RUAULT
 
Coding is the new literacy to make a difference in the world
Coding is the new literacy to make a difference in the worldCoding is the new literacy to make a difference in the world
Coding is the new literacy to make a difference in the worldmcd_boulanger
 
5 mythes de la marche au ralenti
5 mythes de la marche au ralenti5 mythes de la marche au ralenti
5 mythes de la marche au ralentiellipsos inc.
 
U.S. Economic Sanctions Update
U.S. Economic Sanctions UpdateU.S. Economic Sanctions Update
U.S. Economic Sanctions UpdateJon Yormick
 
Power Pointless How To Make An Amazing Presentation
Power Pointless How To Make An Amazing PresentationPower Pointless How To Make An Amazing Presentation
Power Pointless How To Make An Amazing PresentationJoan Shi
 

En vedette (20)

Canadian Healthcare Codes and Terminology Standards
Canadian Healthcare Codes and Terminology StandardsCanadian Healthcare Codes and Terminology Standards
Canadian Healthcare Codes and Terminology Standards
 
I2 Argentina Unitech
I2 Argentina UnitechI2 Argentina Unitech
I2 Argentina Unitech
 
Why Nortel Went Bankrupt
Why Nortel Went BankruptWhy Nortel Went Bankrupt
Why Nortel Went Bankrupt
 
Environmental Law for Road Builders
Environmental Law for Road Builders Environmental Law for Road Builders
Environmental Law for Road Builders
 
Hong kong
Hong kongHong kong
Hong kong
 
City of deception
City of deceptionCity of deception
City of deception
 
Clinical development, contract & outsourcing in mena & asia pac webinar-l aju...
Clinical development, contract & outsourcing in mena & asia pac webinar-l aju...Clinical development, contract & outsourcing in mena & asia pac webinar-l aju...
Clinical development, contract & outsourcing in mena & asia pac webinar-l aju...
 
Enterprise Wearables: Wearing Our Parts On Our Sleeves - How Wearable Technol...
Enterprise Wearables: Wearing Our Parts On Our Sleeves - How Wearable Technol...Enterprise Wearables: Wearing Our Parts On Our Sleeves - How Wearable Technol...
Enterprise Wearables: Wearing Our Parts On Our Sleeves - How Wearable Technol...
 
Add 2009 10
Add 2009 10Add 2009 10
Add 2009 10
 
Coding is the new literacy to make a difference in the world
Coding is the new literacy to make a difference in the worldCoding is the new literacy to make a difference in the world
Coding is the new literacy to make a difference in the world
 
Proyecto de Protección Ambiental de Bosawas, NIcaragua
Proyecto de Protección Ambiental de Bosawas, NIcaraguaProyecto de Protección Ambiental de Bosawas, NIcaragua
Proyecto de Protección Ambiental de Bosawas, NIcaragua
 
Xerox Corporation Fraud Case
Xerox Corporation Fraud CaseXerox Corporation Fraud Case
Xerox Corporation Fraud Case
 
5 mythes de la marche au ralenti
5 mythes de la marche au ralenti5 mythes de la marche au ralenti
5 mythes de la marche au ralenti
 
U.S. Economic Sanctions Update
U.S. Economic Sanctions UpdateU.S. Economic Sanctions Update
U.S. Economic Sanctions Update
 
Agile Story Writing
Agile Story WritingAgile Story Writing
Agile Story Writing
 
Agile Release & Iteration Planning
Agile Release & Iteration Planning   Agile Release & Iteration Planning
Agile Release & Iteration Planning
 
Power Pointless How To Make An Amazing Presentation
Power Pointless How To Make An Amazing PresentationPower Pointless How To Make An Amazing Presentation
Power Pointless How To Make An Amazing Presentation
 
Agile Testing
Agile Testing  Agile Testing
Agile Testing
 
Master of deception (mod)
Master of deception (mod)Master of deception (mod)
Master of deception (mod)
 
Bioterrorism
BioterrorismBioterrorism
Bioterrorism
 

Similaire à Quelle gouvernance pour le numérique?

La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...Antoine Vigneron
 
Enjeux de la donnee 21 novembre18
Enjeux de la donnee 21 novembre18Enjeux de la donnee 21 novembre18
Enjeux de la donnee 21 novembre18Laetitia Lycke
 
Livre blanc big data écosystème français
Livre blanc big data écosystème françaisLivre blanc big data écosystème français
Livre blanc big data écosystème françaisMatthias Fille
 
Festival Online de la Data 2020 - La data devient l'affaire de tous
Festival Online de la Data 2020 - La data devient l'affaire de tousFestival Online de la Data 2020 - La data devient l'affaire de tous
Festival Online de la Data 2020 - La data devient l'affaire de tousAlexandra Loria
 
Nuit du Big Data, 10 Décembre 2014
Nuit du Big Data, 10 Décembre 2014Nuit du Big Data, 10 Décembre 2014
Nuit du Big Data, 10 Décembre 2014Alexandre Weisz
 
Le CDO est-il le meilleurs ami/ennemi de l'archiviste ?
Le CDO est-il le meilleurs ami/ennemi de l'archiviste ?Le CDO est-il le meilleurs ami/ennemi de l'archiviste ?
Le CDO est-il le meilleurs ami/ennemi de l'archiviste ?AssociationAF
 
Présentation-Analyse-données-aide-décision-Apicube-Metro'num2015
Présentation-Analyse-données-aide-décision-Apicube-Metro'num2015Présentation-Analyse-données-aide-décision-Apicube-Metro'num2015
Présentation-Analyse-données-aide-décision-Apicube-Metro'num2015Metro'num 2015
 
Analyse-données-aide-à-la-décision-apicube-metro'num2015
Analyse-données-aide-à-la-décision-apicube-metro'num2015Analyse-données-aide-à-la-décision-apicube-metro'num2015
Analyse-données-aide-à-la-décision-apicube-metro'num2015Metro'num 2015
 
L'émergence d'une nouvelle filière de formation : data science
L'émergence d'une nouvelle filière de formation : data scienceL'émergence d'une nouvelle filière de formation : data science
L'émergence d'une nouvelle filière de formation : data scienceKezhan SHI
 
Compte rendu AI Paris 2017
Compte rendu AI Paris 2017Compte rendu AI Paris 2017
Compte rendu AI Paris 2017FacilisPro
 
Evolutions des compétences des professionnels de l'information
Evolutions des compétences des professionnels de l'informationEvolutions des compétences des professionnels de l'information
Evolutions des compétences des professionnels de l'informationADBS
 
Métiers compétences
Métiers compétencesMétiers compétences
Métiers compétencesADBS
 
Evolutions Métiers/Compétences en gestion de l'information
Evolutions Métiers/Compétences en gestion de l'informationEvolutions Métiers/Compétences en gestion de l'information
Evolutions Métiers/Compétences en gestion de l'informationLoïc Lebigre
 
Big Data Des méandres des outils au potentiel business
Big Data   Des méandres des outils au potentiel businessBig Data   Des méandres des outils au potentiel business
Big Data Des méandres des outils au potentiel businessMouhsine LAKHDISSI
 
Action Tank Data Responsable
Action Tank Data ResponsableAction Tank Data Responsable
Action Tank Data ResponsableUtopies
 
Web predictif-ertzscheid
Web predictif-ertzscheidWeb predictif-ertzscheid
Web predictif-ertzscheidolivier
 
Google case study
Google case studyGoogle case study
Google case studypellat
 

Similaire à Quelle gouvernance pour le numérique? (20)

La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
La gouvernance au cœur de la transformation numérique - Le contexte et la sit...
 
Enjeux de la donnee 21 novembre18
Enjeux de la donnee 21 novembre18Enjeux de la donnee 21 novembre18
Enjeux de la donnee 21 novembre18
 
Parcours Big Data @ Cetic (6 mai 2014)
Parcours Big Data @ Cetic (6 mai 2014)Parcours Big Data @ Cetic (6 mai 2014)
Parcours Big Data @ Cetic (6 mai 2014)
 
Livre blanc big data écosystème français
Livre blanc big data écosystème françaisLivre blanc big data écosystème français
Livre blanc big data écosystème français
 
Festival Online de la Data 2020 - La data devient l'affaire de tous
Festival Online de la Data 2020 - La data devient l'affaire de tousFestival Online de la Data 2020 - La data devient l'affaire de tous
Festival Online de la Data 2020 - La data devient l'affaire de tous
 
Nuit du Big Data, 10 Décembre 2014
Nuit du Big Data, 10 Décembre 2014Nuit du Big Data, 10 Décembre 2014
Nuit du Big Data, 10 Décembre 2014
 
Le CDO est-il le meilleurs ami/ennemi de l'archiviste ?
Le CDO est-il le meilleurs ami/ennemi de l'archiviste ?Le CDO est-il le meilleurs ami/ennemi de l'archiviste ?
Le CDO est-il le meilleurs ami/ennemi de l'archiviste ?
 
PdfHandler
PdfHandlerPdfHandler
PdfHandler
 
Présentation-Analyse-données-aide-décision-Apicube-Metro'num2015
Présentation-Analyse-données-aide-décision-Apicube-Metro'num2015Présentation-Analyse-données-aide-décision-Apicube-Metro'num2015
Présentation-Analyse-données-aide-décision-Apicube-Metro'num2015
 
Analyse-données-aide-à-la-décision-apicube-metro'num2015
Analyse-données-aide-à-la-décision-apicube-metro'num2015Analyse-données-aide-à-la-décision-apicube-metro'num2015
Analyse-données-aide-à-la-décision-apicube-metro'num2015
 
L'émergence d'une nouvelle filière de formation : data science
L'émergence d'une nouvelle filière de formation : data scienceL'émergence d'une nouvelle filière de formation : data science
L'émergence d'une nouvelle filière de formation : data science
 
Compte rendu AI Paris 2017
Compte rendu AI Paris 2017Compte rendu AI Paris 2017
Compte rendu AI Paris 2017
 
Evolutions des compétences des professionnels de l'information
Evolutions des compétences des professionnels de l'informationEvolutions des compétences des professionnels de l'information
Evolutions des compétences des professionnels de l'information
 
Métiers compétences
Métiers compétencesMétiers compétences
Métiers compétences
 
Evolutions Métiers/Compétences en gestion de l'information
Evolutions Métiers/Compétences en gestion de l'informationEvolutions Métiers/Compétences en gestion de l'information
Evolutions Métiers/Compétences en gestion de l'information
 
Big Data Des méandres des outils au potentiel business
Big Data   Des méandres des outils au potentiel businessBig Data   Des méandres des outils au potentiel business
Big Data Des méandres des outils au potentiel business
 
Action Tank Data Responsable
Action Tank Data ResponsableAction Tank Data Responsable
Action Tank Data Responsable
 
Web predictif-ertzscheid
Web predictif-ertzscheidWeb predictif-ertzscheid
Web predictif-ertzscheid
 
Google case study
Google case studyGoogle case study
Google case study
 
2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite2012 07-05-spn-sgi-v1-lite
2012 07-05-spn-sgi-v1-lite
 

Plus de Antoine Vigneron

L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéAntoine Vigneron
 
La signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesLa signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesAntoine Vigneron
 
La signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASLa signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASAntoine Vigneron
 
La signature électronique chez les notaires
La signature électronique chez les notairesLa signature électronique chez les notaires
La signature électronique chez les notairesAntoine Vigneron
 
La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?Antoine Vigneron
 
Internet des objets - Doc@Post
Internet des objets - Doc@PostInternet des objets - Doc@Post
Internet des objets - Doc@PostAntoine Vigneron
 
Objets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreObjets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreAntoine Vigneron
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPRAntoine Vigneron
 
La transition numérique un des facteurs clé vers une performance globale des...
 La transition numérique un des facteurs clé vers une performance globale des... La transition numérique un des facteurs clé vers une performance globale des...
La transition numérique un des facteurs clé vers une performance globale des...Antoine Vigneron
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOTautomobile et aéronautiqueCybersécurité, IOTautomobile et aéronautique
Cybersécurité, IOT automobile et aéronautiqueAntoine Vigneron
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitaleAntoine Vigneron
 
Les ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieLes ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieAntoine Vigneron
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteAntoine Vigneron
 
CFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteCFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteAntoine Vigneron
 
Galtier Concilier securite et simplicite
Galtier Concilier securite et simpliciteGaltier Concilier securite et simplicite
Galtier Concilier securite et simpliciteAntoine Vigneron
 
Challenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital eraChallenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital eraAntoine Vigneron
 

Plus de Antoine Vigneron (20)

L'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécuritéL'automatisation au service de la cybersécurité
L'automatisation au service de la cybersécurité
 
La signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usagesLa signature électronique et eIDAS - De nouveaux usages
La signature électronique et eIDAS - De nouveaux usages
 
La signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDASLa signature électronique et les nouveaux services eIDAS
La signature électronique et les nouveaux services eIDAS
 
La signature électronique chez les notaires
La signature électronique chez les notairesLa signature électronique chez les notaires
La signature électronique chez les notaires
 
Bitcoin et le bitcoin
Bitcoin et le bitcoinBitcoin et le bitcoin
Bitcoin et le bitcoin
 
La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?La Blockchain: la fin des tiers de confiance?
La Blockchain: la fin des tiers de confiance?
 
CIO advisory English
CIO advisory English CIO advisory English
CIO advisory English
 
Les objets connectés
Les objets connectésLes objets connectés
Les objets connectés
 
Internet des objets - Doc@Post
Internet des objets - Doc@PostInternet des objets - Doc@Post
Internet des objets - Doc@Post
 
Objets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendreObjets connectés: un 360° pour les comprendre
Objets connectés: un 360° pour les comprendre
 
Données personnelles et SI - GDPR
Données personnelles et SI - GDPRDonnées personnelles et SI - GDPR
Données personnelles et SI - GDPR
 
La transition numérique un des facteurs clé vers une performance globale des...
 La transition numérique un des facteurs clé vers une performance globale des... La transition numérique un des facteurs clé vers une performance globale des...
La transition numérique un des facteurs clé vers une performance globale des...
 
Cybersécurité, IOT automobile et aéronautique
Cybersécurité, IOTautomobile et aéronautiqueCybersécurité, IOTautomobile et aéronautique
Cybersécurité, IOT automobile et aéronautique
 
Paiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitalePaiement mobile et biométrie, deux piliers de la transformation digitale
Paiement mobile et biométrie, deux piliers de la transformation digitale
 
Les ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussieLes ECNi : une transformation numérique réussie
Les ECNi : une transformation numérique réussie
 
DSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simpliciteDSBrowser Concilier securité et simplicite
DSBrowser Concilier securité et simplicite
 
CFAO Concilier securité et simplicite
CFAO Concilier securité et simpliciteCFAO Concilier securité et simplicite
CFAO Concilier securité et simplicite
 
Galtier Concilier securite et simplicite
Galtier Concilier securite et simpliciteGaltier Concilier securite et simplicite
Galtier Concilier securite et simplicite
 
Cloud and compliance REX
Cloud and compliance REXCloud and compliance REX
Cloud and compliance REX
 
Challenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital eraChallenges and Risks for the CIO from Outsourcing in the digital era
Challenges and Risks for the CIO from Outsourcing in the digital era
 

Quelle gouvernance pour le numérique?

  • 1. "Quelle gouvernance pour le numérique ?" Les jeudis de l’AFAI Patrick Stachtchenko 4 Décembre 2014 1 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 2. Patrick Stachtchenko Coordonnées •Mobile : +33 6 86 68 35 76 •Email : pstachtchenko@orange.fr 2 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 3. Agenda 1.Quelques tendances 2.Impact des tendances 3.Les référentiels / bonnes pratiques actuels répondent-ils au nouveau contexte? 4.Comment COBIT 5 peut répondre à ce nouveau contexte? 3 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 4. Une interpellation, un espoir? Monde de la Technologie : en 10 ans ! Sociétés Valeur de marché Valeur de marché 2000 2011 •Intel 500/550 110 •Microsoft 450/500 220 •CISCO 400/450 90 •Nokia 200/250 20 •Blackberry 150/200 15 •Apple 10 350 •Google 50 170 •Samsung 20 100 •Amazon 5 100 •Facebook - 50/100 •Tencent QQ 1 50 •Baidu 15 40 MM$ •Pourtant, il s’agit de sociétés structurées ayant a priori de bonnes pratiques! •Pourquoi de telles différences? (Accès similaire aux compétences, aux outils, etc…) •Quels sont les facteurs qui ont conduit à une telle situation? •Problématique de gouvernance et de management? •Prise de décision, Leadership, Innovation, Agilité, Compétences, Comportements, Culture, Bureaucratie, Appétit au risque, « Business Model », Pratiques de Management, Processus, Valeur de l’Information, ...? Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 4
  • 5. Quelques tendances 5 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 6. •“Internet of things” : un monde hyper connecté •>10 MM unités avec accès internet, 20 - 50 MM unités en réseau, 3 MM mobiles avec accès internet •Explosion de l’information numérisée : un monde hyper “informé” •5 dernières années x 10, 10 prochaines x 50, > 90 MM d’emails/jour, > 1 MM recherches Google/jour, > 3 MM comptes réseaux sociaux, géolocalisation •Fournisseurs Cloud : un monde de services (HAAS, SAAS,.) accessible à tous •Présence croissante, dépendance plus forte •Rôle du DSI : un (des) rôle(s) à reinventer •Leader / Intégrateur de “business services”, Rôles mal définis entre business et informatique, Plus architectes de solutions et managers de fournisseurs •Focalisation plus importante sur les risques opérationnels : des opportunités fortes mais des risques forts 6 Tendances reconnues Gouverner/manager ces tendances, une des «top» préoccupations informatiques Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 7. •“Internet of things” : un monde hyper connecté •Préoccupations de “User empowerment” et organisationnelles •Gartner : “Les utilisateurs vont prendre plus de contrôle des appareils qu’ils utilisent” •Explosion de l’information numérisée : un monde hyper “informé” •Préoccupations de vie privée, de valeur et organisationnelles •Gartner : “En 2015, plus de 85% des organisations du Fortune 500 vont échouer à exploiter efficacement le big data pour leur donner un avantage concurrentiel” •Fournisseurs Cloud : un monde de services (HAAS, SAAS, etc..) accessible •Gartner:“Fin 2016, > 50% des 1000 organisations les plus importantes, auront stocké des données clients sensibles dans le cloud public”. “40% des organisations vont demander la preuve de tests de sécurité, effectués de manière indépendante, une condition pour utiliser le cloud” •PWC (2013): Localisation des données, 31% savent leur localisation (quelles juridictions: impact sur tendance?), 34% savent où elles sont collectées/transmises/conservées •Rôle du DSI : un (des) rôle(s) à reinventer •Gartner : “En 2015, 35% des dépenses informatiques “corporate”, pour la plupart des organisations, seront managées en dehors de la DSI.”. “Comme l’univers informatique avance, les DSI vont s’apercevoir qu’ils devront coordonner ceux qui ont l’argent, ceux qui fournissent les services, ceux qui sécurisent les données, les usagers qui demandent d’établir leur propre rythme d’utilisation de l’informatique” •InformationWeek Priorité n°2 du DSI:“Faire que l’informatique et le business ne soient qu’un” 7 Tendances reconnues Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 8. Autres Tendances •Parties prenantes : l’entreprise “étendu” –Multiples (internes et externes) –Volonté plus affirmée de faire valoir leurs intérêts, souvent divergents, conflictuels, mouvants, contradictoires, court terme vs long terme, (non/mal pris en compte et non mesurés), en tenant compte de niveaux d’appétence et de tolérance au risque spécifiques –Instances de gouvernance pour aboutir à des options de propositions de valeur équilibrées, pour résoudre les conflits, pour arbitrer, s’appuyant sur la confiance au système, aux informations (confiance en baisse!) •Dépendances / Inter-dépendances : l’entreprise “étendu” –Communication, énergie, RH, fournisseurs de services, information, … –Approche systémique, holistique, de confiance, … •Langage et terminologie : un langage commun pour l’entreprise étendue –Confusion, vue incomplète, problème de perception, … •Vue / Action / Décision intégrée : une vision étendue –Silos, responsibilités, désintermédiation, simple mais pas simpliste, … 8 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 9. Autres Tendances •Intégration des fonctions et des préoccupations dans le business (ex. IT) : une vision étendue –Bureau du DSI, DF, RH, …, –Projets, directives, structures, compétences, risques, … •Information : des opportunités au coeur de l’entreprise étendue –TI/SI versus Information, Valeur, Big Data, Applications •Traitement du contexte et du changement : une entreprise étendue adaptée, mouvante et pérenne –Technologie, culture, législation, compétition, environnement business, …, –Agilité, innovation, conformité, …. •Mesure de Performance / Conformité : une entreprise étendue pilotée sous contrôle –Indicateurs, court terme/long terme, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, … 9 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Prise de décision : gouvernance Alignement / Exécution : management
  • 10. Tendances Information : Prise de conscience de la valeur potentielle •Election OBAMA (Big Data : information privée) •Paris truqués (détection : analyses) •Cyberattaque (identification : information privée et comportements) •Voyance! (Belgique : information privée) •CIA (Petrus : vérification croisée) •Blomberg (espionnage : vérification croisée) •Google (INSEE : analyses, modèles de comportements) •Walmart (Big Data et vie privée : comportements) •Bijoutier L.A. (reconnaissance faciale : information privée) 10 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 11. Tendances : L’information au coeur des « incidents » •Connaissance (avantage, torts) –Délits d’initié (Galleon, Heinz : 20%, Fed : millisecondes) –Vie privée (M4 UK : Facebook) –Enregistrements conversations (Bettencourt) –Listings volés (Fiscalité Suisse) •Non connaissance –Sous-traitance (Peugeot : vis) •Orientée –Conflits d’intérêts (Gaz de schiste, Publications scientifiques : + 6 000 % d’erreurs/fraudes en dix ans, Enron : Arthur Andersen) •Erreur (avantage, torts) –Outils mal contrôlés (FMI : erreur excel, plan d’austérité) –Pression des délais (Apple : géolocalisation) –Sondages/Etudes (Faux positif / Faux négatif (25%), Non Reproductible) 11 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 12. Tendances : L’information au coeur des « incidents » •Manipulation (avantage, torts) –Rumeur (Obama : -136 MM$ en quelques minutes suite à un tweet), –Modification non valide (Clearstream) –Sabotage (Iran : Stuxnet et conséquences indirectes sur Air Liquide, Chevron) –Saisie fictive (Opinion Internet, Enquête, Sondage, …) –Ordre fictif (Coscia: trading à HF), –Fraude (SG, UBS, Madoff, Olympus, … Libor, Forex, …) –Communication de fausses infos (Toyota: tests qualité; Mattel : plomb, PMP : prothèses) –Traçabilité (Spanghero : viande, Oceana : poisson) –Trucage (Matchs sportifs) •Perception –Croyance / Biais : Temps de travail, Chômage, Croissance, Fiscalité, … –Formulation : Positif / Négatif, Gains / Pertes, Pro-forma 12 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 13. Tendances : L’information au coeur des « incidents » •Analyses (avantage, torts) –Automatisation des analyses et des opérations (Bourse NY : - 862 MM$ en quelques mn, Kraft : + 7MM$ en quelques secondes) –Espionnage (Prism/Wikileaks,…; Times : scandale financier chinois; Renault : espionnage industriel) –Vie privée (Nominations : CIA (Petrus), OTAN (Allen)) •Destruction (avantage, torts) –Obligation légale : Enron, Google (droit à l’oubli, au déréférencement) •Opinion –Agences de notation (Enron, sub prime, …) –Audits (HP : -12 MM$) –Prévisions / Annonces : Analystes (AIG) 13 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 •Informatique « traditionnelle » plutôt absente •Nécessité d’un modèle spécifique pour traiter l’information
  • 14. Editorial de Paul Krugman, prix Nobel d’Economie New York Times, Sept 2014 « First, Europe as a whole, is in deep trouble. Second, however, within that overall pattern of disaster, France’s performance is much better than you would guess from news report » « France hasn’t done well since 2008 … but its overall GDP growth has been much better than the European average, beating not only the troubled economies of southern Europe but creditor nations like the Netherlands. » « French job performance isn’t too bad. In fact, prime age adults are a lot more likely to be employed in France than in the United States. » « Nor does France’s situation seem particularly fragile. It doesn’t have a large trade deficit, and it can borrow at historically low interest rates » « France has big government and a generous welfare state, which free-market ideology says should lead to disaster. So disaster is what gets reported, even if it’s not what the numbers say » 14 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 15. Tendances Pas de prise de risques, pas de succès ? •« You always must take the maximum risk, with the maximum precaution. » Rudyard Kipling •If you are « in control », then you are not going fast enough (Mario Andretti) •L’adversaire d’une vraie liberté est un désir excessif de sécurité (Jean de La Fontaine) •“Playing it safe is the riskiest choice we can ever make.” Sarah Ban Breathnach •“When you take risks you learn that there will be times when you succeed and there will be times when you fail, and both are equally important.” Ellen DeGeneres •“Don't listen to the malicious comments of those friends who, never taking any risks themselves, can only see other people's failures.” Paulo Coelho •“A woman's guess is much more accurate than a man's certainty.” Rudyard Kipling 15 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 •Prise de risque : Agressif vs Conservateur •Culture apprenante vs Culture du blâme •Conformité vs Non Conformité •Incitations et Aspects dissuasifs
  • 16. Tendances Prise en compte des Incitations? Raghuram Rajan, current governor of the Reserve Bank of India (In 2006, Chief Economist IMF) : Statement in 2005 to Central Bankers Meeting •Under Greenspan, incentives had been artificially skewed in favor of the managers of the financial system, which reaped millenary rewards if things went fine but paid very little, if at all, when things turned sour. Things were likely to turn sour because the skewed incentives were offering incentive to those managers to take excessive risks. •He then focused on the “credit default swaps” which promised to repay delinquent loans in exchange for moderate insurance premiums. Noting that nobody really knew how realistically these swaps were priced, Rajan said that the banks were probably taking excessive risks because they trusted that the insurer would repay them. In these circumstances, a sudden increase in defaulting loans could exceed the reserves of the insurer, leading to a financial crisis. This is exactly what happened two years later, leading to the 2008 financial crisis NB. En 2003, il publie une étude controversée sur les risques de pertes extrêmes, qui lui valent de nombreuses critiques, dont celles de l’ancien secrétaire d’Etat au Trésor américain Lawrence Summers le qualifiant de "réactionnaire". 16 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 17. Tendances Impératif 17 “…trust in, and value from, information and information systems…” Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 18. Tendances Confiance 18 •Exigences : Transparence, Responsabilité, Preuves, Traçabilité, Spécifiques par partie prenante •Niveaux : Notion d’assurance raisonnable •Objets : Leviers, Résultats •Moyens internes : Gouvernance / Management / Contrôle interne / Gestion des risques / Sécurité / Référentiels / Bonnes pratiques •Moyens externes : Certifications / Audits / Niveaux de maturité / Niveaux de capacité / Benchmarks •Indicateurs de performance / conformité : moyens et résultats •Sans mesure, pas de contrôle, sans contrôle, pas de confiance •Cohérence : Maillon faible, Approche holistique, systémique, contextuelle, … •Pérennité : Court terme vs Long terme, Agilité, Continuité « La sécurité de la cité tient moins à la solidité de ses fortifications qu’à la fermeté d’esprit de ses habitants. » Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 19. Impact des tendances 19 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 20. Impacts des Tendances Passé Informatique Business Passé/Présent Informatique Business Présent/Future Informatique Business Numérique 20 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Focus Informatique Infrastructure Opérations Applications Services Business opérations Business bénéfices Complexité : Opportunité / Risques « 6V » Volume Variété Vélocité Virtualisation Valeur Vues ++ ++
  • 21. Passé Informatique Business Passé/Présent Informatique Business Présent/Futur Informatique Business Numérique Impact des Tendances 21 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Environnement Informatique ERP, RH Manufacturing Accès Sécurisé Données de Ventes Infos Produits Estimés Tableaux de Bord Intégration données externes Intégration Macro Visual analytics Caractéristiques Informatiques Orienté Technicité Complication Rigueur Fiabilité « Add-ons » Business Rapide et simple Orienté Business Imagination Réactivité Agilité
  • 22. Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num. 22 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Contexte Business •Support à l’automatisation des fonctions traditionnelles de gestion (facturation, paye, compta, …) •Gains d’efficacité, amélioration de la fiabilité, accès sécurisé •Support business «add-ons» aux fonctions traditionnelles (ventes, produits, infos financières, intelligence de marché, reporting) •Meilleure connaissance à jour et utilisation de cette connaissance pour la prise de décision et le suivi •Développement business et transformation. Le business est numérique. Tout est numérique. •mobilité, choix interactifs, accès intuitif, autonomie, jetable, réutilisable, … •partenaires, clients, fournisseurs, employés, communautés,… •interconnexion, partage, interaction, travail •Pertinence business et survie •innovation, avantage compétitif, croissance pérenne, nouveaux business modèles, bénéfices liés à la valeur de l’information, nouveaux modes de travail, expertise collective, règlementation croissante, vie privée, cyber
  • 23. Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num. 23 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Rôle de la fonction Informatique •Central. Mène l’initiative. Plupart des préoccupations techniques. Reste responsable des services externalisés. •Environnement relativement stable •Tel que ci-dessus + support technique au business (sélection/validation application/technologie) ou laissé au business. •Business plus impliqué dans une mise en oeuvre plus simple et facile •Préoccupations spécifiques (fixation des priorités, responsabilité pour les « add-ons », gouvernance associée) •Intégrateur informatique dans business. Conseiller du business. Orchestration. Vision/Anticipation. Gouvernance tendances. •Plus complexe •Intérêts des parties prenantes, technologies et capacités multiples, divers, en recouvrement, conflictuels •Fixation des priorités, management des conflits, incitations pertinentes, contreparties, solutions imaginatives, agilité •Rôle plus flou business/informatique, responsabilité du business •Différents outils, directives, culture, structure, compétences •Environnement non stable •De plus, nécessité de manager l’infrastructure et opérations mentionnés au premier paragraphe (périmètre limité) de manière sécurisée
  • 24. Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num. 24 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Solutions Informatiques •ERP. Management centralisé du développement et opérations •Add-ons intégrés au système central moins réactifs aux besoins spécifiques du business •Ou mise en oeuvre simple et facile d’applications « end-users » (Excell, Access,…) et de matériel « end-users » (PC, poste de travail). Outils analytiques spécialisés(type SAS) moins contrôlés et moins fiables •Mobiles/Apps multiples et puissants entre les mains du business (BYOD, BYOA) connectés en interne et en externe •Accès, utilisation et échange d’information étendus (big data, « analytics » à haute vitesse, réseaux sociaux, localisation, …) •Services IT étendus fournis par des sources externes mutualisées souvent à la demande (cloud, hybrid, HaaS, SaaS, consumérisation, puissance de calcul, communication et stockage) •Intégration des services IT (multicanal, interactions, « legacy ») •Intégration de l’utilisation de l’informations (professionnelle, personnelle, communautés, famille)
  • 25. Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num. 25 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Réponse en matière de référentiel • Orienté informatique. Cycle de vie rigoureux. Bonnes pratiques informatiques. Contrôlé. Utilisation business prévue par informatique •CobiT 1, 2 and 3, ITIL, ISO, … bien adaptés. •Tel ci-dessus avec perspective business en plus (Gouvernance, priorités, bénéfices, risques et objectifs informatiques) ou effectué de manière séparée par business avec soutien limité référentiel informat. •COBIT 4, Val IT et Risk IT en combinaison, ITIL, ISO •Holistique, Systémique, Intégré au business. •Focalisé sur parties prenantes (value for many, gouvernance est clé) •Proposition de valeur intégrée (bénéfices, risques, ressources) •Focalisation sur information versus technologie •Ecosystème intégré : matériel, logiciel, services, technologies •Leviers intégrés (informatique intégrée aux structures, directives, référentiels, processus, compétences, langage, culture, services, projets, initiatives, indicateurs de performance, menaces business) •COBIT 5 référentiel holistique, systémique, contextuel, intégré efficace
  • 26. Impacts des Tendances Passé Inf. Bus. Passé/Présent Inf. Bus. Présent/Futur Inf. Bus. Num. 26 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Risques •Besoins matures, relativement stables. Solutions matures et efficaces. Chaîne de commande limitée. Référentiels et pratiques rigoureuses en place. Niveau de risque relativement faible. •Pour les services externalisés, utilisation de solutions et de pratiques matures (cf. ci-dessus) limite aussi le niveau de risques. •Lorsque « add-ons » intégrés au système central, risques similaires. Mais, besoins business associés moins matures. Plus d’implication business nécessaire. Niveau de risque plus élevé. Référentiels tels CobiT 4 limitent les risques. •Lorsque « add-ons » non intégrés, rôle du business plus élevé. Pratiques et méthodologies moins rigoureuses. Niveau de risque plus élevé. Mais, périmètre limité, simplicité d’utilisation et impact limité sur le système central, limitent quelque peu le niveau de risque. •Besoins non matures, implication multiples acteurs/organisations, intégration chaîne de valeur complète (besoins, technologies, capacités, fournisseurs, clients), responsabilités multiples, multiplicité et sophistication des solutions, utilisation référentiels et pratiques non matures, complexité pour gouverner et manager environnement avec expérience limitée engendrent un niveau très élevé des risques.
  • 27. Les référentiels actuels répondent-ils au nouveau contexte? 27 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 28. Les référentiels internationaux de SI Gouvernance et Management des SI Comparaison avec le périmètre de COBIT 5 28 Plusieurs organisations utilisent plusieurs référentiels en combinaison Copyright ISACA Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 29. Plupart des référentiels actuels : Non prise en compte des tendances 29 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Prise de décision (Gouvernance) Exécution et alignement (Management) -- -- -- -- -- -- -- -- •Parties prenantes : multiples, différents intérêts, propositions de valeurs, niveaux d’appétence au risque, niveaux de tolérance au risque, sources d’approvisionnement, … •Dépendances / Inter-dépendances : communication, énergie, RH, fournisseurs de services, information, … systémique, holistique, confiance, … •Langage et terminologie : confusion, vue incomplète, perceptions, … •Vue/action/décision intégrée : silos, responsabilités, désintermédiation, simple mais pas simpliste, … •Intégration des fonctions et des préoccupations dans le business (ex. IT) : bureau du DSI, DF, RH, …, projets, directives, structures, compétences, risques, … •Information : TI/SI versus Information, Valeur, Big Data, Applications, … •Traitement du contexte et du changement : technologie, culture, législation, compétition, environnement business, …, agilité, innovation, conformité, …. •Mesure de Performance/Conformité: indicateurs, court terme/long terme, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, …
  • 30. COBIT 5 potentiel : Prise en compte des tendances 30 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Prise de décision (Gouvernance) Exécution et alignement (Management) ++ ++ ++ ++ ++ ++ + ++ •Parties prenantes : multiples, différents intérêts, propositions de valeurs, niveaux d’appétence au risque, niveaux de tolérance au risque, sources d’approvisionnement •Dépendances / Inter-dépendances : communication, énergie, RH, fournisseurs de services, information, … systémique, holistique, confiance, … •Langage et terminologie : confusion, vue incomplète, perceptions, … •Vue/action/décision intégrée : silos, responsabilités, désintermédiation, simple mais pas simpliste, … •Intégration des fonctions et des préoccupations dans le business (ex. IT) : bureau du DSI, DF, RH, …, projets, directives, structures, compétences, risques, … •Information : TI/SI versus Information, Valeur, Big Data, Applications, … •Traitement du contexte et du changement : technologie, culture, législation, compétition, environnement business, …, agilité, innovation, conformité, …. •Mesure de Performance/Conformité: indicateurs, court terme/long terme, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, …
  • 31. COBIT 5 avec aides actuels : Prise en compte partielle des tendances 31 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Prise de décision (Gouvernance) Exécution et alignement (Management) + + + + - + + + •Parties prenantes : multiples, différents intérêts, propositions de valeurs, niveaux d’appétence au risque, niveaux de tolérance au risque, sources d’approvisionnement, … •Dépendances / Inter-dépendances : communication, énergie, RH, fournisseurs de services, information, … systémique, holistique, confiance, … •Langage et terminologie : confusion, vue incomplète, perceptions, … •Vue/action/décision intégrée : silos, responsabilités, désintermédiation, simple mais pas simpliste, … •Intégration des fonctions et des préoccupations dans le business (ex. IT) : bureau du DSI, DF, RH, …, projets, directives, structures, compétences, risques, … •Information : TI/SI versus Information, Valeur, Big Data, Applications, … •Traitement du contexte et du changement : technologie, culture, législation, compétition, environnement business, …, agilité, innovation, conformité, …. •Mesure de Performance/Conformité: indicateurs, court terme/long terme, benchmark, capacités/résultats, bénéfices/risques/ressources, incitations/aspects dissuasifs, …
  • 32. Comment COBIT 5 peut répondre à ce nouveau contexte? 32 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014
  • 33. Governance and Management of Enterprise (Illustré pour l’IT) COBIT 5 IT Governance COBIT4.0/4.1 IT Management COBIT3 IT Control COBIT2 IT Audit COBIT1 COBIT 5 (5ème version depuis 1996) 2005/7 2000 1998 Evolution du périmètre 1996 2012 Val IT 2.0 (2008) Risk IT (2009) Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 33 CobiT 1, 2, 3, 4 : Information Technology COBIT 5 : Information and related Technology Copyright ISACA
  • 34. COBIT 5 : Caractéristiques Clés •5 principes •Orienté Création de Valeur pour les Parties Prenantes •Couvrant l’Entreprise de Bout en Bout •Appliquant un Référentiel Intégré Unique •Favorisant une Approche Holistique •Distinguant la Gouvernance du Management •7 catégories de leviers •Processus •Information •Principes, Directives et Référentiels •Culture, Ethique et Comportements •Structures Organisationnelles •Aptitudes, Compétences , RH •Services, Infrastructure and Applic ations •Création de Valeur : 3 objectifs intégrés •Bénéfices, Risques, Ressources •Levier Processus •3 aspects de gouvernance (EDM) : 5 processus •4 aspects de management (PBRM) : 32 processus 34 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 •4 dimensions génériques par levier •Parties Prenantes •Buts / Objectifs •Cycle de Vie •Bonnes Pratiques (attributs) •2 types d’indicateurs de Perfromance •Indicateurs de Résultats •Indicateurs de Moyens
  • 35. 35 COBIT 5 : Les 5 principes Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved.
  • 36. Principe 1 : « Meeting Stakeholders Needs » Création de Valeur : La Cascade des Objectifs 36 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. • Mécanisme pour traduire •Les moteurs business contextuels (modifications de stratégie, environnement business et réglementaire changeant, évolutions technologiques, ….) •Les intérêts et besoins des parties prenantes en objectifs d’entreprise, informatiques et de leviers spécifiques, personnalisés et actionnables •Ces objectifs peuvent être liés aux objectifs de gouvernance de toute organisation : livrer des bénéfices, à un niveau de risque acceptable, en optimisant l’utilisation des ressources (Value for Many) •Cette traduction permet d’établir des objectifs spécifiques à chaque niveau et dans tous les domaines de l’entreprise en soutien aux objectifs généraux et aux besoins des parties prenantes •Aides concernant les objectifs Business, IT et des leviers et les indicateurs de performance (incluant les cartographies)
  • 37. Principe 1 : « Meeting Stakeholders Needs » Création de Valeur et Gouvernance 37 •Quelles parties prenantes ? •Quels intérêts pour ces parties prenantes ? •Quels bénéfices / avantages ? •Tangibles et intangibles ? •Bénéfices / Avantages pour qui? •Quels risques ? •Risques pour qui ? •Appétence / Tolérance / Capacité ? •Quelles ressources ? •Ressources pour qui ? •Utilisation efficiente et responsable ? •Propositions de création de valeur •Préoccupation de gouvernance •Value for “Many” •Aides (Technologies émergentes, …) •Différents types et niveaux de valeur requis pour différentes parties prenantes •Opportunités? Risques? Qui prend les décisions ? Comment les décisions sont prises? Comment sont-elles influencées? Comment s’assure-t-on qu’elles sont mises en oeuvre? Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Copyright ISACA
  • 38. Principe 2 : « Covering the Enterprise End to end » Les différents acteurs : activités, rôles et responsabilités 38 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. •Toutes les parties prenantes ont un rôle à jouer •Evaluation des options et orientations stratégiques arrêtées: type de bénéfices, niveau d’appétence et de tolérance au risque, niveau de ressources à mobiliser •Suivi de la performance et de la conformité à ces orientations •Alignement stratégique •Planification •Conception et mise en oeuvre des solutions •Exploitation •Suivi et contrôle •Exécution
  • 39. Principe 3 : « Enabling a Holistic Approach » 39 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. •Les interconnections illustrent le fait qu’un levier •A besoin d’inputs des autres leviers pour être efficace (e.g. les processus ont besoin d’information, les structures organisationnelles ont besoin de personnes, les personnes ont besoin de compétences et de comportememts, et vice versa) •Livre des outputs au service d’autres leviers e.g. les processus livre de l’information, les compétences et les comportements font que les processus soient efficients,… •Ex : Le besoin d’une information sécurisée nécessite qu’un certain nombre de directives et de procédures soit créé et mis en oeuvre. Ces directives à leur tour nécessitent que des pratiques soient mis en oeuvre. Néanmoins, si la culture d’entreprise et du personnel n’est pas appropriée, les procédures et les processus ne seront pas très efficaces
  • 40. Principe 3 : « Enabling a Holistic Approach » 40 Favorisant une approche holistique, systémique et contextuelle intégrée Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. Pour tous les leviers, un modèle générique qui procure une approche commune, simple et structurée, orienté résultats, permettant de prendre en compte leurs interactions complexes -Identification des parties prenantes externes et internes -Identification des intérêts et des objectifs des parties prenantes -Connexion au cycle de vie et aux bonnes pratiques -Identification des indicateurs de « résultats » et de « moyens » (Sans mesures, pas de contrôle)
  • 41. Principe 4 : « Applying a Single Framework » 41 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. •COBIT 5 est aligné avec les derniers référentiels et standards utilisés pas les entreprises: •Enterprise: COSO, COSO ERM, ISO/IEC 9000, ISO/IEC 31000 •IT: ISO/IEC 38500, ITIL, ISO/IEC 27000 series, TOGAF, PMBOK/PRINCE2, CMMI) •Ceci permet d’utiliser COBIT 5 comme le référentiel intégrateur de gouvernance and management de l’entreprise •Il est complet dans sa couverture de l’entreprise, procurant une base pour intégrer efficacement les autres référentiels, pratiques et standards utilisés (Cartographies) •Il procure une architecture simple pour structurer un ensemble cohérent d’aides dans un langage business non technique et intégrer l’ensemble des référentiels existants
  • 42. Principe 5 : « Separating Governance from Management » 42 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 Source: COBIT® 5, figure 8. © 2012 ISACA® All rights reserved. Gouvernance (EDM) La Gouvernance s’assure que •Les besoins, conditions et options des parties prenantes soient évalués pour déterminer les objectifs d’entreprise équilibrés et acceptés à atteindre •Les orientations soient fixées au travers de prioritisation et prise de décision •Le suivi de la perfomance et de la conformité soit effectué par rapport aux orientations et objectifs pré- déterminés Management (PBRM) Le Management planifie, construit, exploite et suit les activités de manière alignée avec les orientations fixées par les organes de gouvernance pour atteindre les objectifs de l’entreprise
  • 43. Principe 5 : « Separating Governance from Management » 43 Copyright ISACA Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 •Il illustre tous les processus normalement trouvés dans une entreprise, fournissant un modèle de référence commun compréhensible aussi bien par les managers business et informatiques •Le modèle proposé est complet mais n’est pas le seul possible •Chaque entité doit définir ses propres processus en prenant en compte son contexte spécifique •Chaque processus traite son cycle de vie, identifie ses inputs et outputs, ses activités, les responsabilités et les indicateurs de performance
  • 44. COBIT 5 : Vue d’ensemble –COBIT 5 Framework •A Business Framework for the Governance and Management of Enterprise IT (94 p) –COBIT 5 Enabler Guides •Processes (37 IT processes) (230 p), Information (Business and IT) (90 p), … –COBIT 5 Professional Guides •Implementation (78 p) + Toolkit (17 files), Risk (244 p) and Risk Scenarios (294 pages), Assurance (318 p), Security (220 p), … –Practices and Guidance using COBIT 5 •Configuration Management (88 p), Vendor Management, ... •COBIT Assessment Program : Model (144 p), Self Assessment (24 p), User Guide –White Papers / Vision Series / Studies / Surveys •Social Media, Business Benefits and Security, Governance and Assurance Perspectives (10 p) •Cloud Computing, Business Benefits with Security, Governance and Assurance Perspectives (10 p) •Big Data Impacts and Benefits (14 p), Top Business / Technology Issues Survey Results (34 p), … –Professionals Standards and Guidance •ITAF, A Professional Practices Framework for IS Audit / Assurance, 2nd Edition (93 p) –Audit/Assurance Programs •Software Assurance (35 p), Outsourcing IT Environments (39 p), BYOD (39 p), … –Knowledge Center (Over 100 topics : for each topic discussions, documents and publications, events, journal articles, external links, wikis, blog posts) •Performance Management, Business Analytics, Casinos and Gambling, Solvency 2, OS/400,… –COBIT Focus (4 x year) : COBIT Case studies, Articles, Updates, … –COBIT 5 Online : Multiphase project. Capabilities for accessing, understanding and applying COBIT 5 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 44
  • 45. COBIT 5 : Vue spécifique (Sécurité de l’ Information) –COBIT 5 Professional Guides •Information Security (220 p) –Practices and Guidance using COBIT 5 •Securing Mobile Devices (138 p), Transforming Cyber Security (190 p), … –White Papers / Vision Series / Studies / Surveys •Security as a Service: Business Benefits with Security, Governance and Assurance Perspectives (18p) •Business Continuity Management, Emerging Trends (15 p) •Web Application Security, Business and Risk Considerations (16 p) •Security Considerations for Cloud Computing (80 p) •Advanced Persistent Threat (APT) Awareness Study Results (20 p), … –Audit / Assurance programs •VPN Security (33 p), Biometrics (47 p), Voice-over Internet Protocol (VoIP) (42 p), … –Knowledge Center •Security Tools, Physical Security, Network Security, … –COBIT 5 Online •Vue spécifique sécurité Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014 45
  • 46. COBIT 5 : Etude Globale sur la Gouvernance (ISACA 2014) 46 Patrick Stachtchenko Jeudis de l'AFAI 4 Déc 2014