Gouvernance SI

Download Report

Transcript Gouvernance SI

Responsabilités du Conseil d’Administration
19 Juin 2014
Taieb DEBBAGH
Sommaire
1. Risques d’un monde en réseaux
2. Cybercriminalité dans les entreprises
3. Gouvernance d’Entreprise
4. Gouvernance et Management SI
5. Responsabilités de l’Administrateur
6. Conclusion
Les risques d'un monde en réseau
 L'avancement de la technologie dans les services aux
organisations, combinée à la croissance des médias sociaux
et la connectivité des réseaux, a modifié de façon
permanente les interactions entres les organisations et les
utilisateurs;
 La connectivité et l'accès aux réseaux ont aussi un côté
sombre qui permet aux criminels motivés d’agir
efficacement a travers les réseaux;
 La cybercriminalité est souvent invisible aux
organisations concernées qui ne se rendre compte des
dégâts que tardivement.
Cybercriminalite
 la cybercriminalité reste la deuxième forme la plus
répandue de criminalité économique selon PwC;
 La cyber-criminalité coûterait 327 milliards d'euros
par an. Selon un rapport publié par le « Center for
Strategic and International Studies »;
 65% des utilisateurs d’internet ont été victimes
d’une cyberattaque (virus, fraude à la carte de crédit en
ligne, vol d’identité)- Soit 1.5 millions de personnes par
jour (Mashable);
Aux Etats-Unis, 40 millions de personnes ont été
victimes de vols de données personnelles.
Une priorité de la Haute Direction
• 79% la haute direction accordent une priorité
élevée ou très élevée a la sécurité SI;
• 23% n'ont pas informé leur Conseil
d’Administration sur les risques de sécurité;
• 55% ont été attaqués par une personne non
autorisé.
INFORMATION SECURITY BREACHES SURVEY 2014 by pwc
Un des quatre "crimes économiques"
Craintes des entreprises
Violations de la sécurité par le personnel
• 73% ont souffert d'une infection par des virus ou
des logiciels malveillants (59% en 2013);
• 16% savent que les étrangers ont volé leur propriété
intellectuelle ou des données confidentielles;
• 58% ont subi des violations de sécurité liées au
personnel.
INFORMATION SECURITY BREACHES SURVEY 2014 by pwc
Infractions dues aux medias portables
• 12% ont subi une violation de données à travers les
réseaux sociaux;
• 7% ont subi une violation de données à travers les
smartphones et les tablettes;
• 5% des violations de données concernant leurs
services « Cloud »;
• 10% des infractions les plus graves en matière de
sécurité étaient dues à des médias portables
contournant les défenses.
INFORMATION SECURITY BREACHES SURVEY 2014 by pwc
Gouvernance d’Entreprise : Définition
Gouvernance
d’Entreprise
Ensemble des principes
et règles d’organisation
C’est Quoi ?
Ensemble des principes
et règles de
transparence
Ensemble des principes
et règles de
comportement
Assurer l’équilibre
entre la direction et le
contrôle de l’entreprise
10
Pourquoi ?
Assurer la protection
des actionnaires
Gouvernance : Principales parties prenantes
Si la Direction a pour objet
d’assurer le fonctionnement
de l’Entreprise,
INVESTISSEURS &
ACTIONNAIRE(S)
DIRECTION
la Gouvernance d’Entreprise
permet de veiller à ce qu’elle
le fasse dans les règles.
CONSEIL
D'ADMINISTRATION
Comités spécialisés
Stratégie
Remunérations
& Nominations
CA
Audit
SI
13
Gouvernance d’Entreprise
et Impact sur le SI
Les principes de gouvernance ne sont pas sans
conséquences sur le monde des Systèmes
d’Information. En particulier, la DSI doit assurer de
nouvelles prérogatives, à savoir :
• Transparence de l’information
• Accessibilité de l’information
• Fiabilité des données
• Sécurité des informations et données
• Traçabilité de l’information
14
Positionnement de la Gouvernance du SI
La Gouvernance du SI contribue à la fois :
• à garantir la Gouvernance de Conformité
• à optimiser la Gouvernance de Performance au profit de la
Gouvernance d’Entreprise
15
La Gouvernance SI : Objectifs
La Gouvernance SI est un processus de management, fondé sur
des bonnes pratiques, qui permet à l’entreprise d’optimiser ses
investissements informatiques :
 Soutenir ses objectifs de création de la valeur
 Accroître la performance des processus informatiques et leur
orientation clients
 Maîtriser les aspects financiers du système d’information;
 Développer les solutions et les compétences SI dont l’entreprise aura
besoin dans le futur;
 Garantir que les risques liés au système d’information sont sous
contrôle;
….tout en développant la transparence.
16
Objectif Gouvernance
Création de valeur
Réalisation de
Bénéfices
Optimisation
des Ressources
Besoins
des Parties
Prenantes
Optimisation
des Risques
Quels bénéfices
 Création de valeur ajoutée grâce à une gouvernance
efficace et la gestion du système d’Information et des
actifs technologiques;
 Augmentation de la satisfaction des utilisateurs
« Métier » avec l'engagement sur les services ;
 Augmentation de la conformité aux
lois, règlementations et politiques.
Evaluer, Diriger, Monitorer (Surveiller)
EDM1
Mettre en place et
Maintenir la
Gouvernance SI
Processus Gouvernance SI
EDM3
Assurer
l’optimisation des
Risques
EDM2
Assurer
l’optimisation de la
valeur
EDM4
Assurer
l’optimisation des
Ressources
EDM5
Assurer la
transparence
envers les parties
prenantes
Processus Management SI
Aligner, Planifier, Organiser (APO)
APO1
Instaurer
Maintenir
Gouvern SI
APO7 Gérer
Ressources
Humaines
D
i
r
i
g
e
APO2
Définir la
stratégie
APO8
Gérer
Partenariat
APO3
Gérer
Architect.
Entrepr.
APO4
Gérer
innovati
on
APO5
Gérer
Portefeuil
APO6
Gérer
Budgets
& Coûts
APO9
Gérer
Contrats
Service
APO10
Gérer
Fournisse
urs
APO11
Gérer
Qualité
APO12
Gérer
Risques
Bâtir, Acquérir, Implémenter (BAI)
BAI1 Gérer
Programmes &
Projet
BAI2
Définir
Exigences
BAI3 Identifier
& Bâtir
Solutions
BAI4 Gérer
Disponibilités
& Capacités
BAI5 Faciliter
Changement
Organisatlonnel
BAI6
Gérer
Modifications
BAI7 Accepter
& Gérer
Transitions
BAI8
Gérer
Connaissances
r
Monitorer
(Surveiller)
Evaluer,
Apprécier
(MEA)
MEA1
Surveiller et
Evaluer
Performance
&
Conformité
MEA2
Surveiller
Système
Contrôle
Interne
Délivrer, Servir, Supporter (DSS)
DSS1
Gérer
Opérations
DSS2
Gérer
Actifs
DSS3
Gérer
Configurations
DSS4
Gérer Demandes
Service &
Incidents
DSS5
Gérer
Problèmes
DSS6
Gérer
Continuité
DSS7
Gérer
Sécurité
DSS8
Gérer contrôle
Processus
Opérationnels
MEA3
Surveiller &
Evaluer
conformité /
exigences
externes
S
u
r
v
e
i
l
l
e
r
COBIT 5 - GOUVERNANCE
 L’alignement stratégique (Strategic Alignment)
 La création de Valeur (Value Delivery)
 La gestion des ressources (Resource Management)
 La gestion des risques (Risk Management) :
 La mesure de la performance (Performance Measurement)
Processus Gouvernance SI
Evaluer, Diriger, Monitorer (Surveiller)
EDM1
Mettre en place et
Maintenir la
Gouvernance SI
EDM2
Assurer l’optimisation
de la valeur
EDM4
Assurer l’optimisation
des Ressources
EDM3
Assurer l’optimisation
des Risques
EDM5
Assurer la transparence
envers les parties
prenantes
6 Questions à poser par un Administrateur
1. La responsabilité de la gouvernance SI incombe un poste de
direction suffisamment élevé qui veille a l’utilisation efficace
des nouvelles Technologies ?
2.
La direction a un plan stratégique SI et une cellule de veille
sur les tendances technologiques ?
3. La direction évalue les risques et planifie des Audits
périodiques relatifs au SI?
4. S’assurer de l’intégrité des données et, de l’adoption d’un plan
de continuité ?
5. La direction a attiré l’expertise technologique nécessaire ?
6. S’assurer que les procédures du SI sont conformes aux
exigences des Lois et Réglementations ?
Tirer les meilleurs avantages du SI
Macroscope
Protéger le patrimoine informationnel
Conclusion
Un Administrateur doit veiller :
 A un usage innovant, efficace et efficient des
Technologies de l’information pour un développement
harmonieux et soutenu de l’organisation;
 A la mise en place d’une protection rigoureuse contre
les risques relatifs au système d’information.