Un cadre de référence intégré Val IT - CobiT Risk IT

IGSI Symposium 2009 Les systèmes d information et les risques d entreprises Un cadre de référence intégré Val IT - CobiT Risk IT Création de valeur Maîtrise des risques Utilisation optimale/responsable des ressources 1

Environnement complexe et mouvant Des opportunités et des risques à tous les niveaux Politique : International, Etats, Régions, Villes, Social : Syndicats, ONG, Des entreprises : Entreprise étendue, Ecosystèmes, Technologique : Logiciel libre, Travail collaboratif, Réseaux sociaux, «Cloud Computing», Hadopi, Quelles opportunités? Quels risques? Qui prend les décisions? Comment sontelles prises? Comment sont-elles influencées? Comment s assure-t-on qu elles sont appliquées?... 2

Environnement complexe et mouvant Au niveaux des entreprises : plusieurs facteurs sont présents Multiplicité des parties prenantes/intérêts Etat, Partenaires, Actionnaires, Financeurs, Salariés, Retraités, Clients, Concessionnaires, Sous-traitants, Fournisseurs, Sponsors, «Influenceurs» : ONG, associations, media, lobbies, Affirmation de leur pouvoir/influence Actionnaires minoritaires, actionnaires salariés, financeurs, (cf. Chrysler) Multiplicité des écosystèmes De partenaire à concurrent, Changement des attentes et des attitudes Ethique, Responsabilité sociale et environnementale, conflit d intérêts, transparence, 3

Environnement complexe et mouvant Evolution sociologique Vie privée / Vie professionnelle Télétravail / Réseaux sociaux / Travail collaboratif/ Réseaux d échange Changement de l Espace temps Temps de décision (cf. Fortis/BNP, ) Temps de réaction (cf. crise financière, automobile, régulateur, ) Temps de réponse (24H/24H, 7J/7J,.) Valorisation immédiate (cf. cours de bourse, «mark to market», ) Interdépendances Partenaires, externalisation, infrastructure, technologie, information, notation, Croissance de l importance de l immatériel Cf. Google, Amazon, Apple, Des opportunités et des risques 4

Environnement complexe et mouvant Au niveaux des SI: nécessité de répondre à ces facteurs + mêmes facteurs pour les SI Multiplicité des parties prenantes/intérêts Affirmation de leur pouvoir/influence Multiplicité des écosystèmes Changement des attentes et des attitudes Evolution sociologique Changement de l Espace temps Dépendance mutuelle Croissance de l importance de l immatériel Des opportunités et des risques 5

Environnement complexe et mouvant Dans ce contexte, comment assurer le développement et la pérennité de l entreprise? Comment s assurer de saisir les opportunités, de créer de la valeur, de ne pas perdre de la valeur pour les parties prenantes? Comment s assurer de l utilisation optimale et responsable des r essources? Comment identifier quel est le niveau de risque de ne pas les saisir, de ne pas créer de la valeur, de ne pas perdre de la valeur, de ne pas utiliser les ressources de manière optimale et responsable? Comment identifier quel est le niveau «acceptable» de ne pas être en mesure de les saisir, de ne pas créer de la valeur, de ne pas perdre de la valeur, de ne pas utiliser les ressources de manière optimale et responsable? Comment s assurer que les risques identifiés sont maîtrisés de manière cohérente avec le niveau de risque souhaitable et le niveau de risque tolérable? 6

Environnement complexe et mouvant Dans ce contexte, comment assurer le développement et la pérennité du SI? Comment s assurer de saisir les opportunités, de créer de la valeur, de ne pas perdre de la valeur pour les parties prenantes? Comment s assurer de l utilisation optimale et responsable des r essources? Comment identifier quel est le niveau de risque de ne pas les saisir, de ne pas créer de la valeur, de ne pas perdre de la valeur, de ne pas utiliser les ressources de manière optimale et responsable? Comment identifier quel est le niveau «acceptable» de ne pas être en mesure de les saisir, de ne pas créer de la valeur, de ne pas perdre de la valeur, de ne pas utiliser les ressources de manière optimale et responsable? Comment s assurer que les risques identifiés sont maîtrisés de manière cohérente avec le niveau de risque souhaitable et le niveau de risque tolérable? 7

Environnement complexe et mouvant Une gouvernance adaptée? Un management cohérent? 8

Une gouvernance adaptée? Un fort questionnement sur la pertinence du système de gouvernance dans de nombreux domaines Crise financière Elections présidentielles Emission des gaz à effet de serre Pandémies Représentativité syndicale Jeux Olympiques,. 9

Gouvernance adaptée pour l entreprise? Fort questionnement sur la pertinence du système de gouvernance des entreprises Représentation adéquate des différentes parties prenantes au sein du Conseil d Administration (actionnaires, salariés,.)? Règles formelles de gouvernance de type «corporate governance» : administrateurs indépendants, comité d audit, comité de rémunération, charte d éthique, suffisantes? Réel «poids» du PDG (désignation des administrateurs «accommodants», consanguinité, intérêts réciproques, )? Rôle du CA réellement efficace (cf. crise financière: transparence, prise de décision, prise de risque, contrôle, rémunération, )? Besoin d établir un nouveau système de gouvernance? Imposé par l externe (lois et règlementations, organes professionnelles du type MEDEF, )? Choisi en interne (bonnes pratiques, )? Transparence, représentativité, légitimité, contrôle, évaluation, rémunération,. 10

Gouvernance adaptée pour l entreprise? Quel type de gouvernance pour l entreprise? Quels organes de gouvernance? Conseil d administration / Comités / Quelles parties prenantes? Actionnaires / Financiers / Salariés / Fournisseurs / Clients / Partenaires / Citoyens. Quelle composition? Représentativité / Légitimité / Indépendance / Compétence / Attitude/ Quel mode de fonctionnement? Structures / Activités / Transparence / Rôles et responsabilités des organes de gouvernance vs organes de direction? 11

Gouvernance adaptée pour le SI? Fort questionnement sur la pertinence du système de gouvernance du SI Rôle et «poids» du DSI? Développement du SI opérationnel? Automatisation des tâches, centralisation des moyens, Poids important de la mise en place de méthodes rigoureuses et de la technique Racine, Merise, Marion, CMM, ITIL, Gestion de la complication Prépondérance du rôle du DSI Développement du SI stratégique Partie intégrante des produits et services, des processus, du s ystème de management Nombre de parties prenantes en forte augmentation, gestion du changement, interdépendance, gestion de la complexité, changement du rôle et profil du DSI Gestion du portefeuille SI (applications, infrastructure, partenaires, )? Gestion des investissements SI (quels projets, bénéfices CT versus LT,..)? 12

Gouvernance adaptée pour le SI? Quel type de gouvernance pour le SI? Quels organes de gouvernance? Comités stratégique / d investissement / de pilotage / Quelles parties prenantes? Directions opérationnelles / Salariés / Fournisseurs / Clients / Partenaires /. Quelle composition? Représentativité / Légitimité / Indépendance / Compétence / Attitude/ Quel mode de fonctionnement? Structures / Activités / Transparence / Rôles et responsabilités des organes de gouvernance vs organes de direction? 13

Nécessité d un cadre de gouvernance adapté Principales préoccupations Représentativité /Légitimité Transparence/Gestion de l information et de la communication/forums (enjeux de pouvoir) Gestion des attentes diverses voire antagonistes: conflits versus divergences, convergences versus divergences, solutions convenables versus solutions optimales Gestion des transgressions Gestion court terme versus long terme / Réaction aux évènements Gouvernance versus Management Compétences, outils de motivation, évaluation, succession 14

Nécessité d un cadre de gouvernance adapté Système de gouvernance : espace «régulé» relatif à l exercice du pouvoir (attribution, partage, contrôle, influence, arbitrage, ), à l appréhension des problèmes collectifs Acteurs, rôles et responsabilités, interfaces, activités (qui?, pour qui?, quoi?) Parties prenantes : déléguer (à des organes de gouvernance), définir les responsab ilités, définir les règles pour rendre compte Organes de gouvernance : fixer des orientations et suivre la performance et la conformité au cadre fixé, rendre compte aux parties prenantes (intérêt général =négociation des représentants des parties prenantes) Direction/Management : s aligner, exécuter, contrôler, rendre compte Leviers (comment?): cadre, principes, structure, processus, pratiques Objectifs (pourquoi?): création de valeur, maîtrise du niveau des risques, utilisation optimale et responsable des ressources Vues en cascade (où?): entreprise, entité/fonction, actif sensible, 15

Gouvernance sur une page Copyright ITGI Pourquoi? (Objectifs de Gouvernance )? Pourquoi font-ils ce qu ils font? Création de valeur Maîtrise du niveau de risque Utilisation optimale et responsable des ressources Comment? (Leviers de Gouvernance)? Comment atteingnent-ils les résultats attendus? Cadre de référence Processus Principes Pratiques Structure Où? (Vues de Gouvernance)? Où se situe la gouvernance au sein de l entreprise? Gouvernance de l Entreprise Gouvernance d une Entité Gouvernance d un Actif Qui? (Rôles de Gouvernance) Quoi? (Activités de Gouvernance et liens)? Qui est impliqué?? Que font-ils?? Comment interagissent-ils? Propriétaires/ Parties prenantes Patrick Stachtchenko Délègue Rend compte Organe de Gouvernance (stewardship) Fixe l orientation Suit la conformité et la performance Management IGSI SYMPOSIUM 2009 : Le système d'information et les risques d'entreprise S aligne Exécute Contrôle 1 6

Outils de la gouvernance des SI Outils cohérents et intégrés Création et gestion de la valeur Val IT Maîtrise du niveau de risque Risk IT Utilisation optimale et responsable des ressources CobiT 17

Outils du management des SI Outils cohérents et intégrés Création et gestion de la valeur Val IT Maîtrise du niveau de risque Risk IT Utilisation optimale et responsable des ressources CobiT 18

CobiT 4.1 Répertoire de bonnes pratiques qui couvrent le cycle complet inf ormatique Processus opérationnels Processus de management Processus de gouvernance Disponible gratuitement www.itgi.org Complété d outils et de supports de formation En constante évolution (version 4.1) Maintenu par une organisation professionnelle non commerciale glocale Langage commun pour opérationnels, management, organes de gouvernance, auditeurs internes, auditeurs externes, 19 2007 IT Governance Institute. All rights reserved. www.itgi.org 19

CobiT 4.1 Principes Basé sur les processus (4 domaines, 34 processus, 210 activités) Planification/Organisation Acquisition /Développement/Mise en place Fonctionnement/Soutien Surveillance/Evaluation/Contrôle/Suivi Basé sur des Critères «Business» (7 critères) Efficacité, Efficience Confidentialité Intégrité Disponibilité Conformité Fiabilité 20

CobiT 4.1 Principes Couvre les différentes ressources SI Applications Infrastructure Personnes Information Focalisé sur 5 domaines Alignement stratégique Création et gestion de la valeur Mesure de la performance Gestion des ressources Gestion des risques 21

CobiT 4.1 Contenu : pour chaque processus SI Description du processus Objectifs, Ressources, Critères et Domaines de focalisation concernées Indicateurs Identification des Objectifs de contrôle et des bonnes pratiques associées Directives pour le management Entrants et sortants Identification des activités et des indicateurs (métriques) RACI (Responsible, Accountable, Consulted, Informed) pour chaque activité Niveaux de maturité (5 niveaux) 22

CobiT 4.1 Contenu : cartographie des objectifs, processus, domaines de focalisation, Coso, critères et ressources Chaînage des objectifs business et des objectifs SI Chaînage des objectifs SI et des processus SI Chaînage des processus SI et Domaines de focalisation Coso Critères Ressources 23

Val IT Complémentaire à CobiT, basé sur les mêmes principes Basé sur les processus (3 domaines, 22 processus, 69 activités) Gouvernance de la valeur Gestion de portefeuille Gestion de l investissement Val IT/CobiT traite des questions : Faisons-nous ce qu il faut (question stratégique)? En obtenons-nous les bénéfices (question de la valeur)? Le faisons-nous comme il faut (question architecture)? Le faisons-nous faire comme il faut (question de la réalisation)? 24

Val IT Contenu : pour chaque processus Descriptions des bonnes pratiques Directives de management Identification des objectifs, des activités et des indicateurs (métriques) Entrants et sortants pour chaque activité RACI (Responsible, Accountable, Consulted, Informed) pour chaque activité Niveaux de maturité (5 niveaux et 6 rubriques) 25

Risk IT Complémentaire à CobiT, basé sur les mêmes principes CobiT identifie les bonnes pratiques pour les «moyens»de la maîtrise des risques Risk IT identifie les bonnes pratiques pour les «fins» de la maîtrise des risques Basé sur les processus (3 domaines, 9 processus, 47 activités) Gouvernance des risques Evaluation des risques Réponses aux risques 26

Risk IT Les 9 processus Gouvernance des risques Etablir et maintenir une vision commune des risques Intégrer les risques SI à la démarche de risque au niveau de l entreprise Prendre des décisions business qui tiennent compte des risques Evaluation des risques Collecter des données Analyser les risques Maintenir un profil de risque Réponse aux risques Articuler la situation relative aux risques Gérer les risques SI Réagir aux évènements 27

Risk IT Contenu: pour chaque processus Descriptions des bonnes pratiques Directives de management Identification des objectifs, des activités et des indicateurs (métriques) Entrants et sortants pour chaque activité RACI (Responsible, Accountable, Consulted, Informed) pour chaque activité Niveaux de maturité (5 niveaux et 6 rubriques) 28

Risk IT Contenu : divers autres outils Flux de communication aux parties prenantes Scénarii de risque Risques en termes «business», 29

Risk IT 3 types de risques identifiées Fourniture de services informatiques Associé à la performance et la disponibilité des services informatiques qui peut conduire à la perte ou à la réduction de valeur Interruptions de services, problèmes de sécurité, problèmes de conformité,.. Fourniture de solutions informatiques et réalisation des bénéfices Associé à la contribution du SI aux nouvelles solutions business ou aux solutions améliorées sous forme de programmes et de projets Qualité des projets, Pertinence des projets, Dépassements, Réalisation de bénéfices Associé aux opportunités ratées pour utiliser la technologie pour améliorer l efficacité et l efficience des processus business ou comme levier à de nouvelles initiatives business Levier pour de nouvelles opportunités business, Levier pour des opérations efficientes 30

Risk IT Tous les risques doivent être analysés à l aulne des bénéfices et des pertes potentielles Impact lié à un risque non traité versus les bénéfices associés au fait d être traité Bénéfices potentiels liés à la saisie d une opportunité versus les bénéfices manqués liés à la non saisie d une opportunité 31

Risk IT Risk IT explicite les risques SI et va permettre aux acteurs de s assurer que La gestion des risques SI soit intégrée à la gestion des risques d entreprise (impact sur le business, analyse coûts/bénéfices) La démarche permette de prendre des décisions «informées» quant au niveau de risque acceptable («risk appetite»), quant au niveau de risque tolérable, («risk tolerance»), quant au niveau de risque présent («extent of risk») La démarche permette de comprendre comment répondre aux risques identifiés 32

Vision intégrée: CobiT, Val IT, Risk IT Risk IT Risk Management Val IT Value Management drive Assess Risk & Opportunity IT related Events CobiT drive IT activities Copyright ITGI 33

Annexe RISK IT Liste des Activités 34

Gouvernance des risques Etablir et maintenir une vision commune des risques Développer un cadre de référence pour les risques SI spécifique à l entreprise Développer des méthodes de gestion des risques SI Procéder à une évaluation des risques SI au niveau de l entreprise Proposer des niveaux de risque SI acceptable Approuver les niveaux de risque SI acceptable Aligner les politiques et standards SI aux niveaux de risque SI acceptable Promouvoir une culture de la prise en compte du risque SI Promouvoir une communication efficace autour des risques SI 35

Gouvernance des risques Intégrer les risques SI à la démarche de risques au niveau de l entreprise Etablir les responsabilités en matière de gestion des risques SI au niveau de l entreprise Etablir les responsabilités en matière de traitement des thèmes spécifiques sur les risques SI Coordonner la stratégie des risques SI et la stratégie des risques d entreprise Adapter les pratiques relatives à la gestion des risques SI aux pratiques relatives à la gestion des risques d entreprise Fournir les ressources adéquates pour la gestion des risques SI 36

Gouvernance des risques Prendre des décisions business qui tiennent compte des risques Obtenir l adhésion du management à la démarche concernant les risques SI Approuver les résultats concernant l analyse de risques SI Faciliter la prise en compte des considérations en matière de risques SI dans les processus de décision business Accepter le niveau de risques SI Etablir des priorités pour les activités de réponse aux risques SI Consigner les décisions majeures en matière de risques SI 37

Evaluation des risques Obtenir des données Etablir et maintenir un modèle pour la collecte des données Collecter des données sur l environnement externe Collecter de manière opportune des données concernant les évènements SI, les problèmes rencontrés et les pertes Identifier les facteurs de risques Organiser l historique des données concernant les risques SI 38

Evaluation des risques Analyser les risques Déterminer l étendue de l analyse des risques SI Estimer les risques SI provenant de ou concernant les produits, services, processus et ressources sensibles SI Identifier les options de réponses aux risques SI Effectuer une revue par vos pairs des résultats de l analyse de risque SI 39

Evaluation des risques Maintenir un profil de risque Cartographier les ressources SI aux processus business Déterminer la criticité des ressources SI Comprendre les capacités SI Faire le lien entre types de menaces et catégories d impact business Maintenir un registre des risques SI Concevoir et communiquer les indicateurs de risques 40

Réponse aux risques Articuler les risques Communiquer les résultats de l analyse des risques SI Communiquer les activités concernant les risques et leur conformité aux attentes Interpréter les résultats d évaluations externes Identifier les opportunités relatives aux risques SI 41

Réponse aux risques Gérer les risques SI Faire l inventaire des ressources, des capacités et des contrôles Piloter l alignement opérationnel aux niveaux de risque acceptables Répondre aux expositions et aux opportunités identifiées Mettre en œuvre les contrôles Communiquer sur l avancement du plan d actions concernant les risques SI 42

Réponse aux risques Réagir aux évènements Maintenir des plans sur les réponses aux incidents Surveiller les risques SI Initier des plans de réponses aux incidents Conduire des études post mortem des incidents SI 43