En synthèse générale, ce qu’il faut retenir
Les 3 rôles fondamentaux de la DSI restent identiques en 2019 par rapport à la version 2011 :
- Fournisseur de service : excellence opérationnelle de tous les services en place (run)
- Partenaire des métiers : construction du SI, réalisation des projets dans le respect du périmètre, du budget et des délais (build)
- Stratège : élaboration de la stratégie d’évolution du SI (vision)
Par contre la digitalisation se généralise et impose à l’entreprise :
- de nouvelles organisations tournées vers une culture de l’innovation ;
- de nouvelles démarches apprenantes test & learn ;
- une exploitation des données valorisée et sécurisée.
Le Shadow IT met en danger l’entreprise en termes de sécurité et de conformité, notamment sur le traitement des données personnelles.
On constate également une transition des dépenses d’investissement vers des dépenses de fonctionnement (CAPEX/OPEX). Les dépenses SI pour les services aux métiers sont susceptibles d’être refacturées sur un mode « pay-per-use », permettant aux usagers de contrôler leur consommation.
De nouvelles réglementations sont apparues, qui rajoutent une pression supplémentaire sur la gestion des données : Règlement général de protection des données (RGPD), Loi Lemaire et Macron sur le numérique, Directive NIS.
Un audit décomposé en 12 vecteurs
Dans cette version 2019, en cohérence avec les constats ci-dessus, apparition dans le guide de 2 nouveaux vecteurs :
- « DONNÉES : Gérer, valoriser et protéger les données de l’entreprise »
- « INNOVATION : Diffuser la culture numérique et promouvoir les technologies innovantes »
Chaque « vecteur » est détaillé en « bonnes pratiques », chaque bonne pratique en « critères ». En voici le découpage (le document ne porte pas de table des matières, ce qu’on peut regretter, vous n’y trouverez donc pas la vue d’ensemble ci-après) :
| VECTEUR | Page pdf | BONNES PRATIQUES |
|---|---|---|
| 1. Stratégie | 13 | Organisation |
| Contenu stratégique | ||
| Communication | ||
| Indicateurs | ||
| Pilotage | ||
| 2. Innovation | 20 | Vision globale |
| Organisation | ||
| Veille technologique | ||
| Rapidité | ||
| Communication et performance | ||
| 3. Risques | 28 | Cadre de gestion des risques numériques |
| Contrôle embarqué des applications | ||
| Enjeux métiers et stratégiques | ||
| Evaluation des contrôles SI | ||
| Contrôle des processus SI | ||
| Réactivité face aux incidents majeurs | ||
| Reporting des risques | ||
| 4. Données | 38 | Référentiel des données |
| Valorisation | ||
| Sécurisation | ||
| Réglementation | ||
| Ethique | ||
| 5. Architecture | 45 | Cartographie |
| Roadmap SI | ||
| Core et Fast IT | ||
| Communication vers les métiers | ||
| Règles et principes | ||
| Gouvernance de l’architecture | ||
| 6. Portefeuille de projets | 52 | Référentiel des projets |
| Business case | ||
| Innovation | ||
| Gestion des priorités de lancement | ||
| Suivi et recadrage des projets lancés | ||
| Bilan de projet | ||
| 7. Projets | 60 | Objectifs métiers des projets |
| Gouvernance des projets | ||
| Méthode des projets | ||
| Conformité du projet | ||
| Pilotage des jalons | ||
| Recettes techniques et fonctionnelles | ||
| Bilan de projet SI | ||
| 8. Ressources humaines | 71 | Objectif des RH |
| Référentiel | ||
| Gestion prévisionnelle des compétences | ||
| Evaluation | ||
| Recrutement | ||
| Développement des compétences | ||
| 9. Prestataires et fournisseurs | 78 | Stratégie et gouvernance |
| Etude | ||
| Démarche | ||
| Gestion | ||
| Clôture et réversibilité | ||
| Relation fournisseurs | ||
| 10. Services | 87 | Catalogue de services clients SI |
| Demande client | ||
| Contrats de service | ||
| Amélioration continue des services | ||
| Activité de production | ||
| 11. Budget et performances | 94 | Objectifs de performances SI |
| Indicateurs | ||
| Budget | ||
| Coûts complets des services | ||
| Projets | ||
| 12. Marketing et communications | 102 | Fonction marketing de la DSI |
| Plan de communication | ||
| Communication interne de la DSI | ||
| Communication interne à l’entreprise | ||
| Communication en situation de crise |
Zoom et commentaires sur le vecteur des données
J’adhère, par jugement et par expérience, à l’ensemble des bonnes pratiques et des critères énoncés dans cette publication ! Je reprends ci-après les points qui me paraissent essentiels et que vous pouvez décliner de façon très pragmatique et opérationnelle.
Référentiel des données
Le référentiel des données présente les objets « macro » (référentiel clients, référentiel organisation, référentiel produits…), leurs caractéristiques et les relations entre eux.
Le dictionnaire des données liste les données majeures et précise quelle est l’application maître, le propriétaire, les éventuels conflits ou doublons, le niveau de sécurité requis, les obligations réglementaires associées.
Les deux, référentiel et dictionnaire, sont transverses à l’entreprise et donnent une vision décloisonnée des processus.
Ils font l’objet d’une gouvernance pour leur mise à jour et leur diffusion.
Je reprends évidemment à mon compte le critère 7 : « l’entreprise adresse et met en place des processus de vérification de la qualité des données ».
Valorisation
Les métiers de la donnée sont identifiés dans les fiches de poste RH.
Les outils technologiques sont valorisés, et les différentes directions de l’entreprise ont connaissance des projets en cours et se les approprient.
Plus compliqué, mais que la direction doit conserver à l’esprit : l’usage des données doit être pensé à des fins prédictives, pas seulement pour faire état de l’existant.
Sécurisation
En une phrase : le traitement des données doit être intégré à la gestion des risques / contrôle interne, au Plan de Continuité d’Activité et au Plan de Reprise d’Activité de l’entreprise.
Réglementation
La conformité réglementaire est une obligation. L’entreprise doit identifier ces obligations et mettre en place un processus de suivi. J’ai bien dit l’entreprise, pas la DSI !
Ethique
De mon point de vue, la DSI est actrice de la politique éthique décidée par la direction générale ni plus ni moins que tous les autres départements de l’entreprise. La charte proposée dans le document ne doit être pensée qu’en tant qu’une partie d’une charte plus large sur l’éthique et la responsabilité sociétale et environnementale de l’entreprise.
Conclusion
Pour un responsable de système informatique, ce guide est un excellent outil pour l’aider dans :
- l’évaluation de son périmètre d’activité ;
- les relations qu’il doit parvenir à mettre en place et faire vivre avec les autres directions de l’entreprise, et en tout premier lieu la direction générale, pour définir et maîtriser son activité.
A ce titre, il est accompagné d’un outil excel qui vous permettra de formaliser votre revue, interne, ou externe si vous êtes missionné par un client pour un audit ou un point de situation.
Sur le moyen terme, il peut constituer un point d’appui, une référence à laquelle on peut revenir une fois par mois pour jauger si les travaux en cours sont en cohérence avec les missions et les bonnes pratiques. Bonne lecture à vous tous !
