Stratégie IT : au cœur des enjeux de l entreprise Business Continuity Convention Tunis 27 Novembre 2012
Sommaire Sections 1 Ernst & Young : Qui sommes-nous? 2 Stratégie IT : au cœur des enjeux de l entreprise 3 La stratégie de sécurité : Un élément essentiel de la stratégie IT Page 1
Ernst & Young Qui sommes-nous?
Qui sommes-nous? Global Revenu de 24 M$ 140 pays 167,000 professionnels Conseil Audit Tax Transaction Amériques 6,000 consultants EMEIA* 9,600 consultants Asia Pacific 3,500 consultants * EMEIA Europe, Middle East, India and Africa. Page 3
Métiers Advisory d Ernst & Young Stratégie de l offre de service Conseil à travers le monde Le marché mondial que nous avons choisi Stratégie Offre de services EY Amélioration de la performance de l entreprise et maîtrise des risques Les solutions que nous proposons sont à valeur ajoutée mesurable Intégrateurs de solutions Outsourcing Notre offre de service aide les clients à transformer et à maintenir la performance de leur entreprise et à maîtriser leurs risques métiers et informatiques. Elle est focalisée sur la gestion des risques et l amélioration de la performance de l entreprise. Page 4
La stratégie IT une stratégie au cœur des enjeux de l entreprise
L IT : un élément clé pour l entreprise L information est une ressource clé pour toute entreprise à travers le traitement de l information, la dépendance à la technologie est de plus en plus forte La technologie de l information (IT) est devenue une composante essentielle de la réalisation des opérations métier contribue directement aux performances de l entreprise peut constituer un avantage concurrentiel ou un véritable obstacle pour l entreprise Ce constat fait que la technologie de l information est devenue un élément d investissement très important pour de nombreuses entreprises Les véritables objectifs de la technologie de l information sont-ils pour autant pleinement atteints? Page 6
Se focaliser sur 3 objectifs principaux L IT doit contribuer directement au succès de l entreprise par : La création de la valeur Comment l IT peut aider à créer de la valeur pour l entreprise (ex. croissance des revenus, rentabilité, croissance actionnariale, avantages concurrentiels)? Créer de la valeur La rationalisation des coûts Comment l IT peut aider à rationaliser les coûts globaux de l entreprise? La gestion des risques Comment l IT peut aider à gérer le niveau de risque général de l entreprise? Gérer les risques Objectifs Rationaliser les coûts Page 7
Impératifs d une stratégie IT réussie L atteinte des objectifs IT passe par la mise en place d une stratégie IT intégrant les impératifs suivants : Créer de la valeur Alignement stratégique Gouvernance effective Efficience opérationnelle Mesure des performances Gérer les risques Objectifs rationaliser les coûts Page 8
1- Alignement entre l IT et la stratégie business (1/2) Permet à l entreprise d élaborer, le plus en amont possible, une vision «métier» de son SI de demain et d identifier les initiatives à favoriser dans les années à venir, à la fois de nature informatique et organisationnelle, pour l aligner avec sa stratégie. Prendre en compte, dans la stratégie de l entreprise ou de l organisation, des opportunités de nature technologique en relation avec l importance croissante du SI pour les processus métier. Responsabiliser la direction générale et les «métiers» pour que la planification SI soit une réponse aux enjeux métiers. Page 9
1- Alignement entre l IT et la stratégie business (2/2) Page 10
2 Une gouvernance IT effective (1/2) La gouvernance IT concerne l ensemble des responsables de l entreprise et pas seulement la Direction des Systèmes d Information (DSI). Ses objectifs sont : d apporter une contribution maximale à la création de valeur pour l organisation, d aligner le système d information sur la stratégie de l organisation, d optimiser l utilisation des ressources, et de maîtriser les risques en fonction des enjeux de l organisation. La mise en place d une gouvernance IT effective requiert : l implication du conseil d administration et du top management l'utilisation de normes et référentiels reconnus (COBIT, ITIL) de mettre l accent sur la gestion des risques un plan de gestion des ressources permettant une allocation efficace et un investissement optimal Les composants de la gouvernance IT : processus de prise de décisions instances décisionnelles normes et bonnes pratiques dispositifs de contrôle adéquats communication visant à assurer la transparence. Page 11
3 Efficience opérationnelle L efficience opérationnelle permet à la fois de réduire les coûts et de faciliter la génération de revenus Elle peut être atteinte à travers : La mise en place de plateformes et de processus consolidés et standards (ex. système intégré - ERP, architecture d entreprise) Le remplacement des opérations manuelles par des traitements automatisés La réduction des coûts d exploitation L élimination des processus inutiles ou redondants L utilisation des technologies permettant une efficience accrue (virtualisation, cloud computing ) La planification stratégique des projets et initiatives IT La dirigeants d entreprises leaders dans leurs domaines déclarent que la standardisation des processus et la consolidation des projets ont constitué les améliorations clés au niveau des investissements et de la gestion de la technologie de l information au sein de leurs entreprises Source: Ernst & Young study, IT Effectiveness: LeadingIT Practices in successful Companies Page 12
4 Mesure des performances IT (1/2) La mesure de la performance IT n est pas toujours réalisée et elle est souvent orientée uniquement sur la technologie, ce qui ne permet pas aux responsables métiers de mettre en évidence l apport de l IT dans les processus de l entreprise en vue de l améliorer. La mesure des performances permet de : Connaître la performance du SI dans le but d en améliorer de façon continue les pratiques et les processus. Impliquer et responsabiliser les métiers dans les choix stratégiques de la DSI. Mesurer le capital immatériel du SI de l entreprise. Page 13
4 Mesure des performances IT (2/2) Une mesure des performances effective inclut les trois éléments suivants Des mesures spécifiques de la performance IT réelle L évaluation des mesures par rapport aux indicateurs de performances clés internes (KPI), aux standards IT (COBIT, ITIL) et aux commentaires des clients La communication régulière des résultats des mesures de performance aux parties prenantes concernées 70% des entreprises leaders déclarent recevoir des rapports réguliers sur la contribution en termes de valeur de leurs initiatives IT majeures Source: Ernst & Young study, IT Effectiveness: LeadingIT Practices in successful Companies Page 14
Les résultats de la mise en œuvre d une stratégie IT Gérer les risques Créer de la valeur Objectifs rationaliser les coûts Management SI planifié et intégré dans le plan stratégique de l entreprise Urbanisme et architecture d entreprise au service des enjeux métier Gestion du portefeuille de projets orienté création de valeur pour les «métiers» Management des risques SI en fonction de leurs impacts «métiers» Opérationnel Alignement de la fonction informatique par rapport aux processus «métiers» Maîtrise de la réalisation des projets en fonction des enjeux «métiers» Fourniture de services informatiques conformes aux attentes des clients Pilotage des services externalisés Support Contrôle de gestion informatisé favorisant la transparence Gestion prospective des compétences informatiques Gestion et mesure de la performance du SI Gestion de la communication Page 15
La stratégie de sécurité Un élément essentiel de la stratégie IT
La stratégie de sécurité 2012 : la vélocité et la complexité des changements s accélèrent La virtualisation, le cloud computing, les médias sociaux, les technologies mobiles et autres avancées technologiques créent de nouvelles menaces auxquelles l entreprise doit faire face Les marchés émergents, l instabilité économique et l accroissement des exigences réglementaires ajoutent à la complexité La stratégie de sécurité est un élément très important de la stratégie IT à laquelle il faut prêter une attention particulière. Page 17
Pratiques actuelles : GISS 2012 L enquête annuelle d Ernst & Young «Global Information Security Survey» constitue l une des principales sources permettant de fournir un aperçu réaliste sur l état de la sécurité de l information au niveau mondial. Pour sa 15ème édition, la GISS 2012 a connu la participation de 1,863 dirigeants répartis sur 64 pays et faisant partie des entreprises les plus reconnues à travers le monde Page 18
Faits marquants (1/2) La sécurité de l information est mise en cohérence avec la stratégie IT (pour 56% des répondants en 2012 contre 33% en 2008) et avec la stratégie de l entreprise (pour 42% des répondants en 2012 contre 18% en 2008). La fonction sécurité de l information ne répond pas de manière adéquate à l ensemble des besoins de l entreprise Seuls 16% des répondants indiquent que leur fonction SI adresse pleinement leurs besoins. 70% déclarent que leur fonction SI n adresse que partiellement leurs besoins La continuité des activités reste un sujet d attention pour les entreprises 51% des répondants indiquent que ce sujet est leur premier priorité pour les 12 prochains mois et 47% des répondants prévoient d augmenter le budget associé Page 19
Faits marquants (2/2) Incidents et vulnérabilités à la hausse 77% des répondants estiment que le niveau de menace a augmenté alors qu ils étaient 41% en 2009 46 % des répondants estiment que le niveau de vulnérabilités a augmenté (notamment à cause de la négligence du personnel) Défis financiers 62% ont déclaré que les contraintes budgétaires sont le principal obstacle à la mise en place d une sécurité de l'information efficace. Page 20
La stratégie de sécurité : étapes clés (1/2) 1 Lier la stratégie de sécurité à la stratégie business : en particulier pour les domaines critiques suivants: Croissance (en protégeant les actifs de l entreprise et lui permettant de se développer) Innovation (en rassurant sur la capacité de l entreprise à utiliser les technologies innovantes en sécurité) Optimisation (en réduisant les coûts grâce à des processus de sécurité bien pensés et bien gérés) Atteinte des résultats (en assurant une bonne gouvernance et une revue périodique des dispositifs de sécurité) 2 Refonte de l architecture : il est recommandé de procéder à une refonte en profondeur de l existant ce qui permettra d intégrer les dernières innovations technologiques Identifier les véritables risques (en intégrant des le début les nouvelles technologies) Protéger ce qui est le plus important Intégrer la sécurité de l information au cœur des activités des métiers Maintenir et améliorer en permanence le programme de sécurité Page 21
La stratégie de sécurité : étapes clés (2/2) 3 Exécuter la transformation efficacement et durablement : permettre à l organisation de changer durablement la fonction sécurité de l information Leadership Alignement Exécution Adoption 4 Etudier les avantages et les risques liés aux nouvelles technologies: avoir une vision 360 sur chacune des nouvelles technologies pour identifier et neutraliser les risques associés (médias sociaux, cloudcomputinget technologies mobiles, bigdata) Page 22
Focus: le manque de stratégie pour la sécurité de l information (1/2) Alors que de nombreuses organisations ont reconnu l'importance de la sécurité de l'information pour leur business, d'autres n y voient pas d intérêt particulier Un nombre important de répondants déclarent ne pas avoir de stratégie de la sécurité de l'information ni de programme de gestion des menaces et encore moins d assurance que leurs fournisseurs de sécurité font ce qu'ils sont censés faire. Page 23
Focus: le manque de stratégie pour la sécurité de l information (2/2) Pas de cadre stratégique pour la sécurité : Près de deux tiers des organisations déclarent ne pas avoir de cadre stratégique formel pour la sécurité de l information et ne planifient pas d en avoir. Alignement mal ajusté (58% des répondants) : Les programmes de sécurité continuent à être orientés par l IT et non pas par la stratégie business globale. Responsabilités de gouvernance et de surveillance: seul 38% des organisations déclarent aligner leur stratégie de sécurité de l'information à leur niveau de tolérance aux risques; seulement 5% ont confié la responsabilité de la sécurité des informations au directeur des risques Page 24
Questions? Page 25
Ernst & Young Assurance Tax Transactions Advisory About Ernst & Young Ernst & Young is a global leader in assurance, tax, transaction and advisory services. Worldwide, our 144,000 people are united by our shared values and an unwavering commitment to quality. We make a difference by helping our people, our clients and our wider communities achieve their potential. For more information, please visit www.ey.com. Ernst & Young refers to the global organization of member firms of Ernst & Young Global Limited, each of which is a separate legal entity. Ernst & Young Global Limited, a UK company limited by guarantee, does not provide services to clients. The Ernst &Young organization is divided into five geographic areas and firms may be members of the following entities: Ernst & Young Americas LLC, Ernst & Young EMEIA Limited, Ernst & Young Far East Area Limited and Ernst & Young Oceania Limited. These entities do no provide services to clients. 2011 EYGM Limited. All Rights Reserved. Contact Pascal Antonini Associé Advisory Services Tel: (33) 1 46 93 60 00 Email: pascal.antonini@fr.ey.com Johaina Samaha Senior Manager Advisory Services Ernst & Young Tunisie Tel : (216) 70 749 111 Email : johaina.samaha@tn.ey.com