CIGREF IFACI AFAI Entreprise Enjeux Risques
CIGREF IFACI AFAI Entreprise Enjeux Risques
CIGREF IFACI AFAI Entreprise Enjeux Risques
ENJEUX ET RISQUES
NUMRIQUES
GOUVERNANCE ET ORGANISATION DES SI
REMERCIEMENTS
COMIT DORIENTATION
Pascal Antonini, Associ EY, Prsident AFAI
Farid Aractingi, Directeur de lAudit et de la Matrise des Risques Renault, Prsident IFACI
Jean-Pierre Bouillot, VP Information System Audit, Risk Committee Project Leader Sanofi,
Reprsentant IFACI
Pascal Buffard, Prsident dAXA Technology Services, Prsident CIGREF
Rgis Delayat, DSI, Groupe SCOR, Administrateur du CIGREF et Administrateur AFAI
Jean-Louis Leignel, MAGE Conseil, Administrateur AFAI
Jean-Michel Mathieu, Senior Director Crowe Risk Consulting, Prsident dhonneur AFAI
COMIT DE RELECTURE
Sophie Bouteiller, Directrice de mission, Responsable des partenariats, CIGREF
Jean-Marie Ferrires, Consultant SI Digital, Expert prs la Cour dAppel de Paris
Philippe Mocquard, Dlgu Gnral IFACI
Grard Pomper, Dlgu Gnral AFAI
CONTRIBUTEURS/EXPERTS
Jean-Luc Amagat, DSI Nextira One
Astrid Chauvin, Pekina Consulting
David Chades, Responsable Informatique de gestion Centre France
Rgis Delayat, DSI, Groupe SCOR
Jean-Charles Duret-Ferrari, Scurit des Systmes dInformation La Franaise des Jeux
Emmanuelle Fines Laurent, Directrice Organisation et Gouvernance Saint-Gobain
Henri de Foucault, Chef de bureau SIC, Marine Nationale
Laurent Fournier, Directeur des Infrastructures, Webhelp
Alfonso Gonzalez, DSI Manpower Group
Philippe Lanson, DSI Renault
Claude Le Corre, Manager Crowe Risk Consulting
Mehdi Mohammedi, DSI Editions Lefebvre Sarrut
Samatar Morin, DSI Citelum
Annie Prvt, DSI CNAF
Andr Schwob, DSI CDC
Franck Tarragnat, DSI M6
Hubert Tournier, Adjoint DOSI Groupement des Mousquetaires
Isabelle Vialettes, DSI Groupe Monoprix
Antoine Vigneron, Secrtaire gnral AFAI
03
SOMMAIRE
05
Prface
07
Introduction
11
20
31
41
Synthse
44
Annexes
45
Mthodologie
49
Bibliographie thmatique
04
PRFACE
Pour les dirigeants de socits, la transformation numrique nest pas une option mais un impratif qui
bouleverse les modles daffaires. Les entreprises qui ngocieront trop tard ce virage numrique souffriront
et risqueront mme de disparaitre. Devant lurgence des transformations accomplir, les mtiers prennent
souvent en charge directement les projets numriques non sans risque en matire de gouvernance. Dans
ce contexte, en effet, la DSI doit rester un acteur cl de la transformation numrique, tout en amliorant la
qualit de son service..
Pour mieux comprendre les priorits des entreprises et les enjeux des DSI, le cabinet Crowe Risk Consulting
et lAFAI, Association Franaise de lAudit et du conseil Informatiques se sont associs au CIGREF, rseau
des grandes entreprises, et lIFACI, Institut Franais de lAudit et du Contrle Internes, pour consulter des
organisations de taille significative dans les secteurs priv et public.
Les trois associations ayant publi conjointement, en 2011, le Guide dAudit de la Gouvernance des Systmes
dInformation (Guide AGSI - voir page 6), ce document a servi de point de dpart llaboration dun
questionnaire soumis aux membres de chacune des associations (majoritairement, des DSI et des RSSI). La
finalit de cette consultation tait de valider la pertinence et lactualit du guide AGSI, travers le prisme
de 3 des 12 vecteurs du guide et en prenant appui sur les 3 proccupations majeures des DSI pour 2014
(issues dune enqute CIGREF mene en 2013 auprs de ses entreprises membres) : la stratgie numrique,
la gestion des risques et la matrise des cots.
La consultation a t favorablement accueillie par les DSI, la prsente tude propose une analyse synthtique
des rponses reues et permet au lecteur de situer son organisation et son niveau de maturit par
rapport ceux des rpondants. Une annexe mthodologique facilite cette lecture et fournit des lments
de volumtrie.
Nous remercions les entreprises et administrations membres dune, ou parfois plusieurs, de nos structures
et qui ont accept de rpondre cette enqute, dans laquelle nous ne doutons pas que chacun trouvera
des lments concrets et utiles pour progresser dans sa pratique professionnelle.
PASCAL ANTONINI
FARID ARACTINGI
PASCAL BUFFARD
JONATHAN BURNETT
Prsident, AFAI
Prsident, IFACI
Prsident, CIGREF
05
LE GUIDE DAUDIT DE
GOUVERNANCE DES
SYSTMES DINFORMATION
Lobjectif principal de ce guide, publi en 2011
par le CIGREF, lIFACI, et lAFAI, est de mettre
la disposition des auditeurs et des DSI un guide
pratique daudit traitant sous un angle managrial
et non pas technique, la problmatique globale de
la gouvernance des SI par lentreprise. AGSI permet
aux directions de lAudit interne de rpondre aux
questions que se pose la Direction gnrale
propos du niveau de matrise de son SI, et de fournir
aux autres fonctions de lentreprise une assurance
raisonnable que leurs processus mtiers sont bien
soutenus par des systmes dinformation de qualit.
Cette valuation de la gouvernance haut niveau
permet de cerner des points de vigilance par rapport
CIGREF : [email protected]
IFACI : [email protected]
AFAI : [email protected]
www.cigref.fr/gouvernance-du-systeme-dinformation-
guide-daudit
06
INTRODUCTION
L E N T R E P R I S E F A C E S E S E N J E U X
ET RISQUES NUMRIQUES
CHAPITRE
N. 1
07
INTRODUCTION
A un moment o le march et les entreprises
vivent lacclration de la transition numrique
avec la numrisation de leur business et o,
concomitamment, les dirigeants exigent
une plus forte matrise des cots et des
risques, la fonction SI se trouve directement
implique dans la chane de valeur, et nest
plus une simple fonction support. Avec le
dveloppement de loffre de services et
louverture des entreprises, la fonction SI
a beaucoup faire pour assurer la fois
convergence et cohrence du SI, scurit
et agilit, innovation et gestion du parc
applicatif existant...
STRATGIE NUMRIQUE
Mme si certains le considrent comme un exercice
dpass, le schma directeur demeure le point
dancrage de la stratgie SI. Beaucoup le nomment
Schma directeur numrique . Ralis en association
de plus en plus troite avec les mtiers, il est valid dans
plus de deux tiers des cas par la Direction Gnrale. Il
est peru comme la rsultante dune vision long terme,
dune urbanisation forte composante fonctionnelle et
dun exercice budgtaire. Les DSI en communiquent les
rsultats en privilgiant les runions de prsentation et
en vitant les diffusions largies.
Au cur des projets de transformation de lentreprise,
08
des cots.
sensibilise.
09
concerne
rarement
architecture,
urbanisme,
Si des efforts rels sont faits par les DSI sur le registre
en moyenne.
dclarent
bien
connatre
et
matriser
la
10
FOCUS SUR
LA STRATGIE
NUMRIQUE
L E N T R E P R I S E F A C E S E S E N J E U X
ET RISQUES NUMRIQUES
CHAPITRE
N. 2
11
La rvolution
transformation engage.
PASCAL BUFFARD
lentreprise,
PRSIDENT, CIGREF
engage
12
activits informatiques.
Si le pourcentage dclar propos de la mobilisation
Il est le rsultat dun exercice de planification stratgique
investissements.
Feuille de route technologique, le schma directeur
13
directeur informatique.
Il en dcoule naturellement une prsentation au
COMEX dans prs de 80% des cas.
Dans le cas o le Groupe est de taille consquente,
il peut arriver que le schma directeur ne soit pas
prsent au COMEX, mais un Comit de niveau
intermdiaire.
La communication du schma directeur sadresse
aux responsables mtiers ou aux contacts mtiers
dits privilgis. Elle se fait majoritairement au travers
de runions (75% des cas) ou par mail.
14
70%
67
63
60%
50%
40%
46
37
31
30%
17
20%
19
13
12
10
10
10%
15
2
0%
Responsable Mtiers
Runion
Intranet
Tous
Autres
processus mtier.
dun cas sur deux), et, dans une moindre mesure, sur
15
organisations,
16
LA
TRANSFORMATION
NUMRIQUE
NENGENDRE PAS TOUJOURS UNE
INFORMATIQUE DEUX VITESSES
Pour
La
une
grande
partie
des
entreprises,
la
transformation
numrique
passe
par
des
processus mtiers.
tendances fortes :
Innovations
Mobilit,
voire
ultra
Mobilit,
i
1
Une vitesse de croisire pour les applications classiques, une vitesse acclre pour traiter les urgences de la transformation
numrique.
17
sociaux,
Dmatrialisation,
Outils
collaboratifs,
la relation client).
- La formation.
18
19
FOCUS SUR LA
GESTION DES
RISQUES
L E N T R E P R I S E F A C E S E S E N J E U X
ET RISQUES NUMRIQUES
CHAPITRE
N. 3
20
numrisation
le
de
la
socit
mtamorphose
des risques.
on le carbonise.
i
2
3
21
FARID ARACTINGI
PRSIDENT, IFACI
ET ORGANISATION, RENAULT
22
CMMI et Prince2.
avant
tout
la
gestion
des
comptences
et
consultation.
23
(exemple : scurit),
24
la
rglementation
sectorielle
assurance,
(Etablissements
financiers,
secteur
pharmaceutique,
25
10%
Non
20%
Non
90%
80%
50%
Oui
50%
Non
Oui
Oui
Entreprise suffisamment
risque majeur
lentreprise
numriques
LA GNRALISATION DU PORTEFEUILLE
DE PROJETS NE SEMBLE PAS CONTRIBUER
AU SUIVI DES RISQUES
26
- Continuit dexploitation,
ressources cls),
Comits de direction.
- Scurit.
dinfrastructures.
- Incidents de production,
72%
par probabilits
42%
par cots
24%
autrement
12%
en les assurant
10%
27
16%
14%
Mensuelle
Trimestrielle
Semestrielle
21%
31%
Annuelle
Jamais
18%
leur rduction.
un exercice rcurrent.
- Audit interne,
- DSI,
- Risk Manager,
- RSSI.
28
ce domaine.
mentionne.
ces mesures.
quasiment annuel,
29
plus variable,
frquentes,
30
FOCUS SUR LA
MATRISE
DES COTS
L E N T R E P R I S E F A C E S E S E N J E U X
ET RISQUES NUMRIQUES
CHAPITRE
N. 4
31
32
entre
entreprises
pour
dgager
des
pistes
prenantes du SI.
benchmarking,
de
ressources
externalisation,
aux
projets
de sa survie.
Le lancement de tels projets mtiers ayant une
ANTOINE VIGNERON
33
simplification
de
du
transformation
4%
12%
8%
Moins de 1 %
Entre 1 et 2 %
10%
Entre 2 et 4 %
36%
Entre 4 et 6 %
Entre 6 et 10 %
Plus de 10 %
30%
chiffre daffaires,
Contrle de gestion.
on observe :
34
les
investissements
logiciels
et
matriels.
Si
Statistique de fonctionnement
que
leurs
ressources
informatiques
FIG 15. UNE LARGE PARTIE DU BUDGET DDIE AUX COTS DE FONCTIONNEMENT
35%
BUILD
65%
RUN
35
LA
MUTUALISATION
CROISSANTE
CONTRIBUE UNE MEILLEURE MATRISE
DES COTS
scurit SI.
et ses filiales.
bon niveau.
36
35
30
25
20
15
10
5
Trs satisfait
Satisfait
Moyennement satisfait
He
lp D
esk
Ma
int
ena
nce
app
lica
tive
D
vel
opp
em
ent
We
b
Sup
por
t po
ste
de
tra
vai
l
Ge
stio
nd
u r
sea
u
Exp
loit
atio
n
tu
des
Arc
hit
ect
ure
/U
rba
nis
me
Tes
ts e
t re
cet
tes
Sup
por
t ap
plic
atif
Sc
urit
Pas externalis
rseau.
en tmoigne la Figure 16 .
LE RECOURS LEXTERNALISATION
RESTE TRS SLECTIF
37
Les
LE CATALOGUE
GNRALISE
DE
SERVICES
SE
poussent externaliser.
38
14%
Oui
Non
40%
24%
En projet
En cours
22%
de services,
informatiques.
travers de la combinaison :
grandes masses.
Pour les entreprises qui calculent ces cots (30% au total),
les outils disposition sont peu connus de la DSI et il
39
messageries, tlphonie)
cots informatiques.
approches :
Offshoring,
mesures suivantes :
- Passage au crible des projets visant une meilleure
comprhension par le mtier des cots engags par la
DSI (arbitrage, gestion de portefeuille projet),
- Analyse qualit, pour laugmenter sans variation du
cot,
- Ralisation dun audit des cots,
- Recours linternalisation.
40
SYNTHSE
L E N T R E P R I S E F A C E S E S E N J E U X
ET RISQUES NUMRIQUES
CHAPITRE
N. 5
41
SYNTHSE
Drle de numro dquilibriste que celui du DSI,
personnalisation
de
la
relation
client
doivent
environnement :
business partner.
En
parallle
aux
enjeux
de
performance
respecter,
doit acclrer.
Le DSI stratge sappuie sur des schmas directeurs,
devenue prioritaire.
la
transformation
numrique
ncessite
une
develops, le co-design,).
42
43
ANNEXES
L E N T R E P R I S E F A C E S E S E N J E U X
ET RISQUES NUMRIQUES
44
MTHODOLOGIE
Cette consultation a t ralise sur la base dun
associes,
des questions.
Pour autant, afin de rester synthtiques, nous navons
- La stratgie numrique,
- La gestion des risques,
La
consultation
dexperts
et
de
responsables
axes :
45
dAudit
Interne,
Directeurs
Gnrale
Les informations fournies par les rpondants ont
permis dtablir, que dans plus de 60% des cas, les DSI
sont rattaches aux Directions Gnrales ; dans 20%
secteurs dactivit :
Directeurs
Gnraux ou RSSI.
46
47
48
BIBLIOGRAPHIE THMATIQUE
numriques : www.entreprises-et-cultures-
Numrique
numeriques.org/eduquer-les-acteurs-de-l-
entreprise-aux-risques-numeriques/
entreprises-et-culture-numerique-un-nouveau-defi
Rfrentiels
www.cigref.fr/cadre-de-reference-cigref-culture-
numerique
Notamment :
gouvernance-du-numerique-creation-de-valeur-
maitrise-des-risques-allocation-des-ressources
nouveaux-roles-fonction-si-missions-competences-
marketing-de-la-fonction
game : www.cigref.fr/surete-risque-numerique-
IIA. (www.ifaci.com).:
scenario-serious-game
numerique
ISACA 2012
fr/cloud-protection-donnees-guide-pratique-
direction-operationnelle-generale
www.entreprises-et-cultures-numeriques.org/
protection-de-l-information-et-cloud-computing/
cigref.fr/les-risques-numeriques-pour-lentreprise
- ITIL Version 3
49
gouvernance
des
systmes
50
WWW.CROWEHORWATHGRC.COM
[email protected]