En sondant une cinquantaine de DSI et RSSI, le Cigref a chercher à comprendre les enjeux et les risques liés à la mise en œuvre d’un projet de transformation numérique.
La DSI n’est n’est plus une simple fonction support et est désormais impliquée dans la chaîne de valeur de toute entreprise. Partant de ce constat simple mais qui prend une nouvelle dimension à un moment où la transformation numérique n’est pas une option mais un impératif qui bouleverse les modèles d’affaires. Censée être le moteur de cette transformation, la DSI entraîne en même des bouleversements. Le numérique est donc à la fois une solution et un problème que les entreprises doivent prendre en compte simultanément. Dans un tel contexte, quelle gouvernance mettre en place pour la stratégie numérique (orientation, élaboration et validation) ? Comment les SI peuvent-ils soutenir effectivement la stratégie et les objectifs métiers de l’organisation et ainsi lutter contre l’émergence d’un shadow IT ? Comment s’assurer de la maitrise des risques SI et numériques au sein de l’entreprise ? Comment mettre en oeuvre la transformation numérique dans un contexte de contrainte budgétaire ?
Pour comprendre la façon dont les entreprises gèrent les enjeux et risques engendrés par la transformation numérique, 3 associations[1] du numérique et des risques qui y sont liés (AFAI, CIGREF et l’IFACI)– se sont associées au cabinet Crowe Risk Consulting pour consulter une cinquantaine de leurs membres – essentiellement DSI et RSSI – pour apporter des éléments de réponses sur trois dimensions : stratégie numérique, maîtrise des risques et contrôles des coûts ( l’entreprise face à ses enjeux et risques numériques).
Stratégie numérique
La stratégie numérique dépasse désormais la seule DSI puisqu’elle est élaborée avec les métiers et validée au plus haut niveau. Les présentations récentes d’Accor[2] et de la SNCF[3] montrent clairement que ces projets sont pris au plus niveau niveau de l’entreprise.
Point d’ancrage de la stratégie SI, le schéma directeur informatique – souvent nommé « Schéma directeur numérique » – en est la preuve. Il est réalisé en association de plus en plus étroite avec les métiers (qui sont impliqués dans 90% des cas) et généralement validé par la Direction Générale (69% des cas) devant le Comité d’orientation SI ou de gouvernance SI (16%) et le Directeur financier (6%).
Ce niveau de validation confirme le caractère stratégique du schéma directeur informatique. Dans le cas d’un schéma directeur très orienté « numérique », la validation passe nécessairement par une direction Digitale ou Métier et doit prendre en compte les problématiques d’architecture technique, d’urbanisation, du Cloud.
Les DSI au soutien des objectifs et de la stratégie métier
Pour limiter l’effet du shadow IT qui conduit les utilisateurs à employer des logiciels non validés par la direction informatique avec un risque pour la sécurité, les DSI s’organisent pour répondre de la façon la plus efficace aux besoins des métiers. Ainsi, dans 80% des cas, la structuration de la DSI reflète les métiers de l’entreprise, loin devant les autres types d’organisation : structuration par grand programme, structuration par produit, structuration par Business Unit…
La DSI est désormais impliquée dans la quasi-totalité des projets de transformation de l’entreprise, en association avec les métiers. Sur les projets transverses, elle se trouve dans 20% des cas en collaboration avec: la Direction des Ressources Humaines (à des fins de conduite du changement et de modifications des organisations), la Direction Financière (car l’objectif consiste souvent à optimiser les processus et les coûts).
De plus, les DSI sont sensibles aux enjeux de l’innovation qui doit nécessairement combiner un recours à des technologies bien ciblées (mobilité, objets connectés, géolocalisation, cloud et SaaS, big data, e-Money, réseaux sociaux, dématérialisation, outils collaboratifs par exemple), mais aussi l’usage d’approches agiles. Dans ce contexte, l’informatique à deux vitesses (Une vitesse de croisière pour les applications classiques, une vitesse accélérée pour traiter les urgences de la transformation numérique) n’apparait pas comme une fatalité pour la plupart des répondants. Dans le cas où elle est avérée, l’accent est mis sur la nécessité d’avoir des équipes IT communes, intégrées et réactives face aux besoins métiers.
Maitrise des risques
Les répondants déclarent posséder des cartographies de risques (à jour dans 60% des cas). La mise au point d’une cartographie des risques SI commence à se généraliser, avec la contribution, par fréquence descendante de citation, de l’Audit interne, du DSI, du Risk Manager et du RSSI.
Interrogés sur les risques majeurs auxquels les DSI doivent faire face, les répondants citent essentiellement, par ordre d’importance décroissante :
- Cybercriminalité et fraude informatique,
- Incidents de production,
- Continuité d’exploitation,
- Perte de compétences (ou dépendance à des ressources clés).
Si les DSI connaissent les principaux référentiels de bonnes pratiques de maîtrise de la qualité et de gestion des risques, leur connaissance est limitée à trois ou quatre d’entre eux (ITIL, COBIT5, ISO, CMMI) et ne garantit pas la mise en pratique systématique de tels outils pour améliorer les processus SI.
Si le suivi des risques projets s’intensifie et s’intègre à leur gestion pour 90% d’entre eux, dans près de la moitié des cas, la discussion sur les risques numériques se fait à un rythme trimestriel. Dans 40 % des cas, il s’agit d’une rencontre semestrielle ou annuelle. A l’opposé, dans 16 % des cas il n’y a aucune interaction entre les acteurs.
Concernant la sécurité des SI, les entreprises ont souvent mis en place un ensemble très complet de mesures visant à se protéger contre les risques. Parmi les mesures les plus courantes : la définition d’une politique ou d’un plan de sécurité, la nomination d’un RSSI, le déploiement d’outils de contrôle ou la mise en place d’un programme de formation à destination des utilisateurs, création de SOC (Security Operation Centers). Elles citent également parmi les mesures spécifiques les tests d’intrusion et les audits ISO 27001.
Les DSI sont conscientes que des progrès restent à faire en matière de maitirise des risques numériques liés notamment aux directions métiers. Elles prévoient ainsi des améliorations telles que : une gouvernance unifiée des risques, des tableaux de bord sécurité assortis de KPIs, la généralisation des PCA et PRA, un serious game sur la cybersécurité, un programme de sensibilisation des métiers.
Contrôle des coûts
Les DSI sont très mobilisés sur la maîtrise des coûts. Si les trois quarts d’entre elles ont des budgets SI inférieurs à 4% du chiffre d’affaires, 70% d’entre eux s’estiment satisfaits des ressources informatiques internes dont ils disposent. Dans un contexte de contrainte budgétaire, les DSI font le choix de consacrer leur effort davantage aux coûts de fonctionnement (run) – 65% du total en moyenne – en dépit des efforts importants consentis en matière d’investissements (build).
Leur effort budgétaire a porté en grande partie sur la mutualisation des moyens et les trois quarts des DSI déclarent avoir déjà mutualisé la moitié des moyens SI au sein de leurs groupes.
Autre source d’économie potentielle, le recours à l’externalisation (motivée par la recherche de gains financiers, ou le manque de certaines compétences techniques) reste sélectif et concerne rarement l’architecture, l’urbanisme, les études ou la sécurité. En revanche, le développement, la maintenance applicative et le support (niveau 1 et poste de travail) sont des fonctions largement externalisées.
Le recours à certaines pratiques ou approches (Offshoring, Infogérance, externalisation, CSP, Virtualisation, Cloud, SaaS) contribue également à la réduction des coûts.
Face à l’émergence d’une « Shadow IT », les DSI semblent sereins, car 80% d’entre eux déclarent bien connaître et maîtriser la dépense informatique. Dans plus de 80% des cas, la DSI maitrise les investissements logiciels et matériels. Le catalogue est devenu un référentiel répandu au sein des DSI et les aide à devenir de véritables « fournisseurs de services ». Il permet de décrire, de manière normalisée, les services fournis par la DSI et d’y affecter des niveaux de services et des coûts : Plus de 40% des entreprises possèdent un catalogue de services, 45% sont en cours de mise en place du catalogue ou ont en projet de le faire. Plus de la moitié des entreprises refacturent leurs coûts informatiques.
La parole est aux DSI
_____________
[1] – L’AFAI (Association Française de l’Audit et du Conseil Informatiques) est l’association de référence des professionnels des systèmes d’information. Elle est le chapitre français de l’ISACA.
– Le CIGREF regroupe près de 140 grandes entreprises et organismes français dans tous les secteurs d’activité (banque, assurance, énergie, distribution, industrie, services…) ainsi que dans la sphère publique. Sa mission : « Promouvoir la culture numérique comme source d’innovation et de performance ».
– L’IFACI favorise la diffusion des normes internationales et des meilleures pratiques. L’IFACI est affilié à l’IIA (The Institute of Internal Auditors).
– Crowe Risk Consulting est un cabinet unique spécialisé en Gouvernance, Risque et Conformité.
[2] Accor fait sa révolution numérique
[3] La SNCF fait sa mue numérique