La gouvernance IT dans les entreprises : bonnes pratiques et mise en œuvre 

Aujourd’hui, plus que jamais, l’information peut devenir une source de valeur pour les entreprises, à condition que ces dernières possèdent un système d’information performant, capable de gérer et d’exploiter les données.

La transformation digitale a changé considérablement l’organisation du travail dans les entreprises. Aujourd’hui, l’automatisation des fonctions et la dématérialisation sont indispensables pour toute entreprise qui souhaite s’adapter à son nouvel environnement, rester compétitif et en conformité avec la loi (avec la facturation électronique par exemple). Ces processus métiers ne peuvent être efficaces que si le système d’information de l’entreprise l’est également, d’où l’importance d’une gouvernance IT.

La gouvernance SI permet de mettre en avant les postes pouvant générer le plus de valeur ajoutée, et d’ainsi cibler les investissements informatiques à réaliser en fonction des besoins de l’entreprise.

Les entreprises sont soumises à une règlementation stricte portant notamment sur la protection des données et la confidentialité des informations recueillies. La gouvernance SI permet à l’entreprise d’être conforme à ses réglementations.

La gestion des risques est un volet important de la gouvernance IT. Le DSI et son équipe doivent ainsi mettre en place des mesures préventives (gestion des incidents) et s’assurer qu’ils respectent le cadre réglementaire. La gestion des risques informatiques est indispensable lors de l’élaboration de la stratégie globale de l’entreprise. En effet, cela permet d’avoir une vision globale de l’état réel de l’entreprise et sur les dépenses à venir. Une bonne gestion des risques procure un avantage concurrentiel de taille pour les entreprises.

En somme, la gouvernance des systèmes d’information est indispensable puisqu’elle assure que les ressources informatiques déployées au sein de l’entreprise soient utilisées de manière optimale. Une gouvernance SI pertinente et efficace se révèle être un véritable levier de performance et de compétitivité pour les entreprises.

Votre gouvernance IT, pour être efficace, doit indéniablement s’aligner sur votre stratégie d’entreprise ainsi que sur les objectifs à court et moyen long terme fixés par l’entreprise.  
Conduire une gouvernance IT n’est pas chose aisée, il est nécessaire de bien anticiper en amont vos besoins et vos évolutions futures pour optimiser votre plan d’action. De même, il est indispensable d’identifier les différentes parties prenantes qui vont prendre part au projet et d’attribuer à chacune des tâches et des responsabilités bien précises. N’oubliez pas que l’un des objectifs, et pas des moindres, est de permettre à l’entreprise de créer de la valeur, via la stratégie IT mise en place. 

Une fois vos besoins et objectifs identifiés, il est temps d’élaborer votre stratégie IT, en créant un plan stratégique. À vous de déterminer, le modèle que vous allez choisir pour établir votre stratégie, en fonction du rôle que vous souhaitez octroyer à votre système d’information. 

• Modèle 1 : un SI au service du dirigeant avec une stratégie IT au service de la prise de décision sur les aspects opérationnels (croissance, fidélisation, investissement, etc.) ;
• Modèle 2 : un SI au service des métiers de l’entreprise avec une stratégie IT qui va essentiellement répondre à des besoins d’innovation ; 
• Modèle 3 : un SI comme moteur de la stratégie globale de l’entreprise avec une stratégie IT au cœur du business model.  

Le plus important quel que soit le modèle retenu est que ce dernier soit aligné à la stratégie globale de l’entreprise. N’hésitez pas à vous constituer une feuille de route sur le long terme pour vous assurer que les objectifs stratégiques fixés soient atteints. 
Une fois le modèle de votre entreprise identifié par le DSI, ce dernier sera plus enclin d’adapter la gouvernance IT en conséquence. Il pourra ainsi choisir le modèle de gouvernance et les référentiels (COBIT, ITIL ou encore CISM) les plus pertinents en fonction de votre stratégie IT et de vos besoins.  

Plusieurs outils peuvent vous aider à assurer l’efficacité de votre gouvernance IT. 
 
Vous pouvez utiliser notamment des indicateurs clés de performance. Il n’est pas nécessaire de suivre une multitude d’indicateurs, au risque d’être improductif. Sélectionnez plutôt ce qui vous semble les plus cohérents en fonction de vos attentes et de vos besoins, à savoir :

• les KPI financiers : dépenses IT par rapport au budget alloué dans le plan, coût total des applications et services, etc. ; 
• les KPI de gestion des risques : nombre de risques identifiés, évaluation de la gravité, taux de résolution des risques, etc. ;
• les KPI des services informatiques : temps moyen de résolution des incidents, taux de satisfaction des utilisateurs, etc. ;
• les KPI sur la sécurité des données : nombre d’incidents de sécurité, taux de détection et de résolution de ces incidents, conformité au cadre réglementaire, etc. ;

Ces KPI vous permettront de réaliser un suivi régulier et d’identifier plus facilement les processus qui ont besoin d’être améliorés.

N’hésitez pas à recourir à un logiciel pour vous aider dans le pilotage de votre gouvernance IT et disposer ainsi d’une vision globale pour gérer vos ressources efficacement. Vous pouvez ainsi vous orienter vers plusieurs types de logiciels :

• les ITSM (Information Technology Service Management), déployés spécifiquement pour la gestion des services informatiques de l’entreprise, tel qu’EV Service Manager ;
• les PPM (Portfolio Project Management) pour gérer de manière générale l’ensemble des projets de l’entreprise tels que Planisware Orchestra, ou encore Project Monitor.

Enfin, vous aurez aussi besoin d’impliquer l’ensemble des parties prenantes pour garantir la réussite de votre gouvernance IT. Pour ce faire, mettez en place des actions de formation et de sensibilisation auprès de vos collaborateurs. Apprenez-leur les bonnes pratiques, les politiques et les procédures et surtout, expliquez-leur les enjeux que cela représente en termes de sécurité et de conformité.

 Afin d’animer votre gouvernance IT, n’hésitez pas à constituer des comités de pilotage mensuels. Ces derniers permettront ainsi de maintenir des échanges entre le DSI et le dirigeant, et de s’assurer ainsi que la création de valeur de l’IT soit en phase avec les objectifs fixés. 

Il n’est pas rare d’assimiler la gouvernance IT à une simple gestion informatique. Bien que complémentaires, il s’agit bien de deux concepts différents.

Alors que la gestion informatique permet de veiller au bon déroulement des activités et des processus au quotidien, la mise en place d’une gouvernance IT voit sur le plus long terme. Elle définit les grandes orientations stratégiques tandis que la gestion informatique s’occupe de la mise en œuvre opérationnelle dictée par cette dernière.

L’une comme l’autre revêt une importance capitale pour l’entreprise puisqu’elles s’assurent que les ressources informatiques permettent de répondre aux objectifs de l’entreprise.

En fonction de leurs besoins, les entreprises seront les plus à même de tendre vers un modèle ou une certification spécifique de gouvernance IT. Ces modèles revêtent une importance majeure pour assurer la pertinence et l’efficacité de votre gouvernance IT en matière de sécurité de l’information et de gestion du risque.

Chacun de ces modèles possède son propre domaine de spécialisation, ils peuvent être combinés pour optimiser votre gouvernance IT. Ainsi, vous pouvez choisir, parmi les modèles de gouvernance IT, les plus connus :

• ITIL (Information Technology Infrastructure Library) est une technologie permettant de veiller à ce que les services des technologies informatiques soient conformes aux pratiques managériales de l’entreprise ;
• COBIT (Control Objectives for Information and related Technology) est un référentiel généralement utilisé pour l’audit des technologies de l’information. Cet outil reste cependant très efficace pour la gouvernance IT et notamment en ce qui concerne la gestion des risques liés aux systèmes d’information ;
• CISM (Certified Information Security Manager Qualification) est une certification professionnelle délivrée par ISACA (Information Systems Audit and Control Association), tout comme la CRISC ou encore la CGEIT. Cette certification est essentiellement axée sur la gestion de la sécurité de l’information, à savoir la gestion des risques, la prise en charge des incidents. Tout ce qui va toucher à la planification stratégique de la sécurité au sein de l’entreprise.
• CRISC (Certified in Risk and Information Systems Control) est une autre certification qui se concentre sur la gestion des risques liés aux systèmes d’information. Ainsi, elle va permettre aux entreprises de savoir identifier et de gérer les risques, mais de surtout en amont mettre en place des contrôles pour anticiper et limiter ces risques.
• CGEIT (Certified in the Governance of Enterprise IT), cette certification va concerner avant tout la gestion de la gouvernance SI sur un plan stratégique. Ainsi, les entreprises certifiées CGEIT peuvent garantir que les systèmes d’informations sont alignés sur les objectifs de l’entreprise. Les risques liés à l’informatique sont alors générés efficacement.

En vous appuyant sur ces référentiels et en les combinant, vous pourrez créer une gouvernance IT solide qui réponde à l’ensemble de vos besoins en matière de gestion des risques et de sécurité de l’information.

Mettre en place une gouvernance IT pertinente, à savoir aligner sur les objectifs globaux de l’entreprise, est une nécessité pour assurer la performance de cette dernière sur le long terme. Une bonne gouvernance IT implique une bonne gestion des risques. Le Groupe Référence met à votre disposition des DSI à temps partagé augmenté, pour vous accompagner dans votre démarche (gestion des incidents, respect du cadre règlementaire, etc.) et vous apporter des conseils précieux en matière de système d’information. La gouvernance IT est un levier de compétitivité et de performance pour votre entreprise. Pour conduire efficacement votre gouvernance IT, faites confiance à nos experts.