Mettre en place une gouvernance du système d’information est une réponse pertinente pour les PME si ses particularités (contraintes techniques, ressources internes, périmètre opérationnel, budget, …) sont prises en compte … on vous en parle !

Force est de constater que les technologies évoluent rapidement en trouvant usage dans les métiers comme ceux de la Supply Chain : le système d’information est ainsi devenu essentiel à l’activité d’une entreprise, quelle que soit sa taille, ceci dans un contexte économique et technique en perpétuel changement.

D’autre part, les PME n’ont pas toujours les ressources nécessaires pour gérer efficacement ce SI, considéré trop souvent comme un centre de coût malgré son incidence incontestable sur la productivité de l’entreprise … Mais comment faire pour adapter et aligner son SI à ces évolutions ?

…

Aujourd’hui, l’informatique est étroitement liée à toutes les fonctions et facettes de l’entreprise, elle-même confrontée à un contexte économique, social et environnemental en perpétuel changement.

Ainsi, le service informatique d’une PME joue un rôle clé et d’importance grandissante : sans ressource (le dirigeant faisant office de), souvent seul, ou avec quelques ressources techniques, le responsable informatique doit gérer le système d’information au quotidien tout en essayant de l’améliorer pour suivre les évolutions techniques appropriées aux besoins des autres services métier.

L’un des rôles principaux est de garantir de façon efficace l’exécution des processus métier et d’assurer un support à la gestion de l’entreprise. 

Pour y arriver, mettre en place une gouvernance de son SI permet d’assurer que les investissements mis en œuvre soient générateurs de valeurs et que les risques inhérents soient mieux contrôlés tant au niveau des actifs que des projets (pilotage avec indicateurs, bonnes pratiques, …).

Pourquoi mettre en œuvre une gouvernance du système d’information dans le contexte de la PME ?

Partons de quelques caractéristiques des petites et moyennes entreprises qui se distinguent des plus importantes, à prendre en compte dans le cadre de la mise en place d’une gouvernance :

• Centralisation des décisions
• Faible niveau de formalisation (absence de règles ou de procédures) et de complexité 
• Processus métier plus simples
• Interaction entre les personnes de différents niveaux de responsabilité sous une apparence moins formelle et avec plus de transparence relationnelle
• Décisions en regard de l’informatique prises par le dirigeant (style opérationnel), souvent sous contraintes des ressources financières
• Connaissances informatiques, technologiques des ressources souvent limitées (appels à spécialistes externes en fonction des besoins)

La mise en place d’un cadre de gouvernance informatique est de la responsabilité de ses dirigeants, et définit l’ensemble des mesures, règles, organes de décision, d’information et de surveillance qui permettent d’assurer le bon fonctionnement de cette nouvelle entité interne, c’est-à-dire : 

• Introduire de nouveaux mécanismes pour coordonner les prises de décisions en phase (investissements notamment) en phase avec la stratégie globale de la PME et ses projets.
• Réaliser l’alignement du système d’information avec les projets de la PME
• Gérer la valeur des actifs informatiques
• Gérer les risques liés à l’infrastructure informatique
• Gérer les ressources associées

Le tout avec une vision stratégique à moyen terme.

Ce principe de gouvernance n’est plus considéré comme uniquement accessible aux grandes entreprises, car il s’est adapté aux organisations réduites : dynamisme et faculté d’adaptation aux changements souvent présentes dans les petites entreprises complétées par la capacité d’initiative de leurs cadres et dirigeants facilitent sa mise en œuvre.

Correctement implémentée, elle participe à la performance globale de l’organisation, par la rationalisation des coûts, l’évolution des pratiques métier et l’amélioration des architectures techniques.

Pour se faire, il faut positionner le SI comme une activité créatrice de valeurs auprès des directions opérationnelles, et non comme un centre de coûts.

Pour que le SI soit efficient, il est nécessaire qu’il soit géré selon des méthodes rigoureuses, qui impliquent :

• Une disponibilité continue pour les services fournis,
• La nécessité d’être opérationnel en toutes circonstances,
• Une innovation dans le développement de solutions et de compétences utiles pour l’avenir de l’entreprise,
• Une garantie sur les risques et les traitements de protection efficaces
• Avec un coût optimal.

Aussi, la gouvernance du système d’information dans une PME comporte plusieurs domaines à traiter en parallèle pour une efficacité accrue, à savoir :

• L’alignement stratégique
• La gestion des ressources
• La gestion des risques
• L’audit du SI et la maturité du SI
• L’apport de valeurs et La mesure de sa performance.

Les domaines de la gouvernance d’un SI

L’alignement stratégique

Il se caractérise par la mise en valeur de son SI pour réaliser les objectifs métier (amélioration de sa compétitivité commerciale, technologique, performance industrielle…).

Parfois, certains objectifs du SI peuvent être en contradiction avec les contraintes, notamment financière de la PME (investissements onéreux sans retour escompté). Ce processus d’alignement doit montrer son efficacité et utiliser les avantages proposés par les technologies présentes sur le marché : il faut s’assurer que toutes les opérations courantes et quotidiennes sont consistantes avec les stratégies liées à l’informatique et de fournir des feed-back par rapport aux décisions prises.

Cela comprend des propositions d’investissements et des processus d’évaluation, des accords de niveau de service (SLA), des refacturations et des indicateurs clés.

D’autre part, aligner le SI avec la gouvernance de la PME doit amener à une réflexion sur le fonctionnement actuel de l’organisation : évaluation des procédures et processus mis en place.

La conduite du changement prend tout son sens à ce stade.

Parmi les outils utilisés, le référentiel ITIL (IT Infrasctuture Library) fournit un cadre formel et complet qui aide une organisation à améliorer ses performances dans le cadre de son SI. Il peut être piloté via un comité de pilotage du SI.

Dans cette approche, le domaine interne du SI est divisé en 3 composantes que sont :

1. L’architecture ou l’infrastructure technique : choix qui déterminent l’ensemble des applications, la configuration des matériels et des logiciels, du réseau, de l’architecture de données.
2. Les processus : mécanismes opérationnels de l’infrastructure du SI, développements d’applications selon les principes des cycles de vie (en V, en cascade, agile, …), maintenance des matériels et applications, systèmes de contrôle et de supervision
3.  Les composantes internes : acquisition d’actifs (matériels, logiciels…), formation, développement des connaissances requises pour gérer de manière opérationnelle les missions du service informatique.

Il faut donner de la cohérence aux activités opérationnelles du SI, tout en prévoyant et en répondant aux besoins futurs de la PME. Pour la direction générale et les directions opérationnelles, cet alignement stratégique permet d’utiliser les services informatiques au mieux de leurs possibilités dans le respect des budgets, ressources et délais.

La gestion des ressources

La gestion des ressources comporte l’administration de ses capacités fonctionnelles et techniques. 

Il nous semble important que la stratégie de gouvernance soit basée sur une logique de capitalisation humaine et de ses actifs : une bonne gestion de ces RH implique la mise en place de formations en fonction de l’infrastructure existante et des nouvelles technologies.

Dans certains cas, faire appel à des compétences externes spécialisées est nécessaire.

La gestion des risques

Le SI est confronté graduellement à un certain nombre de risques affectant plusieurs domaines :

• Risques financiers : coûts non contrôlés
• Risques opérationnels : absence ou insuffisance de niveau de services, évolution des compétences et de ressources internes
• Risques de sécurité : conformités légales ou réglementaires, changement de contexte, problèmes de pratiques sur les données

Parmi les outils utilisés, les normes relatives à la sécurité du SI (ISO 27005) sont un bon support pour évaluer les menaces et vulnérabilités et leurs impacts (interruption partielle ou totale des services), à partir de la cartographie des actifs (matériels, logiciels, applications, …schémas d’urbanisation).

Une bonne pratique est de réaliser de la veille technologique pour conduire les changements concernant les actifs.

Pour gérer efficacement les risques inhérents à son SI, la PME doit :

• Avoir la connaissance de l’état permanent de ses actifs et des changements en cours, des personnels opérationnels, des processus et des contrôles mis en place.
• Avoir une direction d’entreprise consciente des impacts pouvant affecter le SI
• Disposer d’une stratégie de gouvernance associée et bien élaborée, impliquant l’entreprise en globalité.

Évaluer ces risques passe souvent par un audit du SI. Chez Marula Conseil, nous y ajoutons un baromètre de maturité du SI.

L’audit du SI et la maturité du SI

Prévoir un contrôle ou un audit permet de mieux comprendre le SI : c’est une démarche pour s’assurer de la qualité des systèmes au regard des processus métier, des rôles et responsabilités de chacun et des vulnérabilités. En parallèle, il est intéressant de définir l’état des processus et des standards utilisés par niveaux pour évaluer sa maturité.

La transformation digitale est un chantier complexe qui peut être abordé de façon très différentes en fonction de la situation de l’entreprise et de son environnement.  

Aussi, en tant que dirigeant, posez-vous les bonnes questions afin de clarifier votre point de départ et vous fixer un nombre restreint de chantiers prioritaires. C’est à quoi les outils de  diagnostic de maturité SI ou digitale peuvent vous aider…

Très simple à prendre en main, l’outil d’auto-diagnostic de Marula Conseil vous permet d’avoir un aperçu de votre maturité digitale et des propositions d’axes de progression en quelques clics. 

Son analyse est axée sur les moteurs principaux de la transition digitale : 

• l’adaptation face aux attentes des clients, fournisseurs et employés : votre entreprise est-elle préparée à un écosystème de plus en plus numérique ? Cela passe par la dématérialisation de l’ensemble de vos méthodes de travail et la digitalisation des processus de suivis (édition des devis, factures, bulletins de paie, gestion des données personnelles…).
• l’augmentation  d’efficience : comment optimiser une ou plusieurs de vos pratiques en interne et en externe afin d’en réduire le temps et le coût ?
• l’accélération de la croissance : comment accroître votre développement marketing et commercial en ligne avec la mise en place de nouveaux canaux de communication et de vente (sites e-commerce, réseaux sociaux, emailing…) ? 
• la réinvention concertée des modèles d’affaires ou l’évolution du vôtre : Comment utiliser vos datas au mieux pour générer de nouveaux business modèles ?

Une fois votre auto-évaluation effectuée, Marula Conseil vous remet un rapport qui évalue votre maturité, identifie les principaux axes de vigilance ou d’amélioration et vous propose des recommandations d’actions à considérer en fonction de vos priorités. Marula Conseil peut vous accompagner avec ces consultants experts certifiés à même de vous conseiller et de vous assister pas à pas dans ces différents projets.

L’apport de valeurs et la mesure de la performance

La mise en place d’une gouvernance du SI permet de créer de la valeur pour l’organisation. Il faut ainsi la mesurer (revenus, transformation opérationnelle, meilleure pratique..) par des indicateurs propres à chaque PME.Un retour sur investissement peut même être établi.

Comment mettre en œuvre une gouvernance SI ?

C’est un vrai projet d’implémentation avec un cadre, des critères de réussite, une méthode, des étapes, des rôles, une approche … commencez par 

• Définir les critères de réussite du projet 
  • Définir un sponsor et avoir son appui inconditionnel (DG)
  • Impliquer des utilisateurs de l’organisation
  • Bien comprendre et poser le problème
  • Déterminer une cible atteignable
  • Réfléchir à la solution optimale
  • Mettre en place un tableau de bord de suivi des projets, portefeuille associé voire des actions à mener
• Établir les étapes du projets, plutôt progressives qu’un Big Bang
• Réaliser un état des lieux (recensement, cartographie des processus de l’organisation, évaluation des besoins de l’organisation, …)
• Communiquer sur les actions menées et à venir

Dans cette approche de la gouvernance du SI, il est fondamental de définir l’architecture de chaque solution (dans chaque projet) au regard des besoins de l’organisation : architecture technique, fonctionnelle, niveau de services, budget..

Méthodes de gouvernance et référentiels

Parmi les outils et méthodes utilisées, certaines fournissent un recueil de bonnes pratiques impliquant le cycle de vie des services fournis par le service informatique, d’autres sont utilisés pour fournir une base de référence, ou se concentre sur les processus de l’entreprise pour des projets de développements d’applications.

COBIT

Cette méthode conçue par l’ISACA et l’ITGI concerne le pilotage et l’organisation du SI : ce modèle de gouvernance et de contrôle dans les technologies de l’information est un cadre  fournissant un ensemble de mesures, d’indicateurs, de processus et de bonnes pratiques. COBIT 5 distingue clairement la gouvernance et la gestion IT et se concentre sur cinq principes :

• Répondre aux besoins des parties prenantes, afin de n’oublier aucun acteur de la chaîne: utilisateur, client externe, client interne, comité de direction, manager opérationnel, actionnaire… 
• Couvrir l’entreprise de bout en bout, ce qui permet d’englober l’ensemble des départements d’une entreprise ou d’une organisation, en faisant fi des silos existants
• Appliquer un référentiel unique et intégré, pour maximiser les efforts fournis par les équipes de l’IT et permettre de fonctionner aisément avec d’autres méthodologies déjà en place dans l’entreprise
• Faciliter une approche globale, pour gagner en cohérence et faciliter l’intégration de la gouvernance d’entreprise au niveau de la DSI
• Distinguer la gouvernance de la gestion, afin d’appréhender avec la hauteur nécessaire les aspects stratégiques de l’entreprise, et aborder les aspects opérationnels avec le pragmatisme requis pour une bonne gestion.

Il existe sept “facilitateurs” ainsi qu’un modèle de référence des processus (PRM) identifiant cinq ensembles de processus :

• COBIT Processus 1 : Evaluer, diriger et contrôler
• COBIT Processus 2 : Aligner, planifier et organiser
• COBIT Processus 3 : Construire, acquérir et mettre en place
• COBIT Processus 4 : Fournir, réviser et soutenir
• COBIT Processus 5 : Contrôler, évaluer et analyser

Il existe un total de 37 processus : 5 pour la gouvernance et 32 pour la gestion. Contrairement à COBIT 4.1 qui utilisait un modèle de maturité des processus, COBIT 5 utilise un modèle d’analyse des processus (PAM) conçu conformément à l’ensemble des normes techniques ISO 15504.

Adaptée aux grandes entreprises, il se démocratise dans certaines PME par l’intermédiaire d’auditeurs et de responsables informatiques.

ITIL

ITIL propose une bibliothèque structurée composée de bonnes pratiques pour les processus IT avec une meilleure gestion du SI. La Version V3/2011 consiste à aligner la stratégie du SI avec celle de l’entreprise en permettant d’optimiser les situations opérationnelles spécifiques avec l’environnement de l’organisation.

Considéré comme un standard pour le management du SI, il comprend 5 domaines distincts et stratégiques.

C’est une véritable démarche de création de services qui fournit des bonnes pratiques pour les processus de conception et de développement.

1. Service strategy : stratégie des services avec compréhension des objectifs de l’organisation et des besoins des clients/utilisateurs
2. Service Design : conception des services
3. Service transition : développement et optimisation des possibilités d’introduction de nouveaux services dans l’environnement présent
4. Service operation : exploitation des services opérationnels
5. Continual service improvment : amélioration continue des services
6. + service support : soutien des services
7. + service delivery : fourniture de services

CMMI

C’est un modèle d’évaluation des processus lors de la conception de logiciels ou d’applicatifs, pour tout entreprise qui est amenée à les développer : il consiste à donner des bonnes pratiques afin de mieux contrôler les processus, à utiliser le principe de l’amélioration continue ou PDCA (roue de Deming), et à évaluer ceux-ci sur une échelle à 5 niveaux de maturité : 

1. Niveau 1 ou initial sans contrôle
2. Niveau 2 ou reproductible mais intuitif
3. Niveau 3 ou défini
4. Niveau 4 ou géré et maîtrisé
5. Niveau 5 ou optimisé

Il est considéré comme un référentiel dans le métier de l’ingénierie des systèmes d’information, intégrant la conduite du changement tout en prenant en compte les ressources existantes.

ISO270xx

ISO/IEC 27000:2018 offre une vue d’ensemble des systèmes de management de la sécurité de l’information (SMSI). Il comprend également les termes et définitions d’usage courant dans la famille de normes du SMSI.

La norme de base ISO 27001 s’est imposée comme référence en matière de sécurité des systèmes d’information principalement pour la mise en œuvre d’un système de gestion de la sécurité de l’information (ISO 27005). Elle peut être considérée comme la transposition en sécurité informatique de la démarche qualité ISO 9001.

norme ISO27005 est la méthode de gestion des risques en sécurité de l’information reconnue internationalement, et un des principaux guides de la série des normes ISO27001. 

ISO 27005 est pragmatique, elle vise la gestion des risques dans la durée, et elle impose la prise de responsabilité par le propriétaire du risque, généralement la direction générale. 

Elle est la méthode préconisée pour toute appréciation des risques dans le cadre d’un SMSI (Système de Management de la Sécurité de l’Information). Elle peut être également utilisée pour l’appréciation des risques imposée en plus du BIA (Business Impact Analysis) dans un SMCA (Système de Management de la Continuité d’Activité) et dans beaucoup d’autres cadres.

PRINCE2

C’est une méthode de gestion et de certification de projet structurée qui se focalise sur 3 points : l’organisation, la gestion et le contrôle du projet. Elle peut être utilisée pour un projet d’implémentation d’une gouvernance comme pour un autre type de projet.

PRINCE2 signifie PRojects IN Controlled Environments, et le chiffre “2“ fait référence à la seconde version de la méthode, publiée en 1996. 

Il s’agit d’une méthode pragmatique, structurée, évolutive et adaptable qui permet d’organiser, de gérer et de contrôler efficacement tous types de projets, quelle que soit sa taille. PRINCE2 se base sur :

• 7 principes qui présentent les lignes directrices à suivre ;
• 7 thèmes qui décrivent les aspects de la gestion de projet à aborder en permanence pour mener à bien le projet ;
• 7 processus qui détaillent les activités à accomplir pour réaliser le projet.

Projet de gouvernance financière du SI et Schéma directeur du SI 

Une bonne gestion financière des services SI va permettre, en particulier, une meilleure utilisation des ressources informatiques disponibles avec un contrôle plus élaboré des budgets (représentation des types de coûts, modèles de coûts) liés aux décisions et projets associés, en considérant le coût global investi. C’est pour cela qu’une gouvernance financière bien élaborée amène un certain nombre de bénéfices pour le fonctionnement du SI.

La démarche de projet suit plusieurs étapes qui commence par 

• Un audit du système actuel (1 à 3 mois) avec une analyse financière des services informatiques (ITIL)
• Une phase de réalisation de la gouvernance avec 
  • une planification (1 à 3 mois) et 
  • une mise en œuvre (6 mois ou plus) qui est suivie pour vérifier le fonctionnement du système en phase opérationnelle

Le schéma directeur du SI peut initier la gouvernance financière du SI : document indispensable dans le cadre d’un projet d’amélioration de l’environnement informatique de l’entreprise.

Dans le cadre d’une remise à plat du SI, ou suite à des mouvements d’organisation, il détermine les grandes lignes à partir de la stratégie d’entreprise, des besoins et projets futurs.

Il permet également de préciser et de spécifier les moyens et missions confiés au département informatique et d’effectuer une planification globale des projets et investissements.

Chez Marula Conseil, nous avons une démarche progressive de conduite de ce schéma directeur :

• phase 1 : réalisation d’un état des lieux représentatif du SI (le passé, le présent)
• phase 2 : le futur cadre de travail du SI
• phase 3 : Élaboration du plan projets ou programmes d’évolution du SI sur 3 à 5 ans
• phase 4 : Présentation du document final

😀 Gouvernance et nouvelles technologies 

Depuis quelques années, nous assistons à l’arrivée de nombreux périphériques intelligents connectés et couplés à l’Internet des Objets, qui ont un impact sur l’infrastructure du SI de l’entreprise. Permettant de se connecter aux applications et ressources du cloud computing, ces nouveaux matériels occasionnent de nouveaux coûts en termes de gestion de sécurité des données et de conformité. 

Une nouvelle gouvernance du SI est-elle nécessaire à mettre en œuvre pour prendre en considération la mobilité, le Cloud computing, l’Internet des objets, l’IA, les Métavers (monde virtuel), la Blockchain, les NFT et autres crytoactifs, les premiers usages de l’Informatique quantique tout en adoptant une démarche vers la sobriété numérique ?

Chez Marula Conseil, nous en sommes persuadés : les entreprises sont en pleine mutation et les DSI/RSI sont au cœur de cette évolution. Ce sont des acteurs du changement, même s’ils sont encore sollicités pour des projets existants d’infrastructure et de transformation. 

En outre, ils doivent jouer un rôle clé dans la gestion de la crise actuelle des talents, à la fois en fournissant des outils pour maximiser la productivité des collaborateurs et en dirigeant des projets d’automatisation.

Avec la menace croissante des cyberattaques, les DSI doivent également accorder la priorité à la cybersécurité pour protéger les données et la réputation de leur entreprise. Cela comprend l’investissement dans des mesures de sécurité avancées, la formation des employés aux meilleures pratiques et la mise en place d’un plan en cas d’attaque.Dans ce nouveau cadre, l’aspect gouvernance du SI doit s’adapter à ces nouveaux défis : une nouvelle démarche de réflexion doit permettre de répondre aux nouvelles demandes et usages des utilisateurs tout en portant une attention particulière aux données personnelles et professionnelles (stratégie de sécurité efficace).

⍰ et dans votre entreprise, à quel stade de la réflexion sur la gouvernance de votre sI ?

Au plaisir de découvrir votre expérience à ce sujet dans le commentaire ci-dessous !