Responsabilités du Conseil d’Administration 19 Juin 2014 Taieb DEBBAGH

Présentation au sujet: "Responsabilités du Conseil d’Administration 19 Juin 2014 Taieb DEBBAGH"— Transcription de la présentation:

1 Responsabilités du Conseil d’Administration 19 Juin 2014 Taieb DEBBAGH
Gouvernance SI Responsabilités du Conseil d’Administration 19 Juin 2014 Taieb DEBBAGH

2 Sommaire Risques d’un monde en réseaux
Cybercriminalité dans les entreprises Gouvernance d’Entreprise Gouvernance et Management SI Responsabilités de l’Administrateur Conclusion

3 Les risques d'un monde en réseau
L'avancement de la technologie dans les services aux organisations, combinée à la croissance des médias sociaux et la connectivité des réseaux, a modifié de façon permanente les interactions entres les organisations et les utilisateurs; La connectivité et l'accès aux réseaux ont aussi un côté sombre qui permet aux criminels motivés d’agir efficacement a travers les réseaux; La cybercriminalité est souvent invisible aux organisations concernées qui ne se rendre compte des dégâts que tardivement.

4 Cybercriminalite la cybercriminalité reste la deuxième forme la plus répandue de criminalité économique selon PwC; La cyber-criminalité coûterait 327 milliards d'euros par an. Selon un rapport publié par le « Center for Strategic and International Studies »; 65% des utilisateurs d’internet ont été victimes d’une cyberattaque (virus, fraude à la carte de crédit en ligne, vol d’identité)- Soit 1.5 millions de personnes par jour (Mashable); Aux Etats-Unis, 40 millions de personnes ont été victimes de vols de données personnelles.

5 Une priorité de la Haute Direction
79% la haute direction accordent une priorité élevée ou très élevée a la sécurité SI; 23% n'ont pas informé leur Conseil d’Administration sur les risques de sécurité; 55% ont été attaqués par une personne non autorisé. INFORMATION SECURITY BREACHES SURVEY 2014 by pwc

6 Un des quatre "crimes économiques"

7 Craintes des entreprises

8 Violations de la sécurité par le personnel
73% ont souffert d'une infection par des virus ou des logiciels malveillants (59% en 2013); 16% savent que les étrangers ont volé leur propriété intellectuelle ou des données confidentielles; 58% ont subi des violations de sécurité liées au personnel. INFORMATION SECURITY BREACHES SURVEY 2014 by pwc

9 Infractions dues aux medias portables
12% ont subi une violation de données à travers les réseaux sociaux; 7% ont subi une violation de données à travers les smartphones et les tablettes; 5% des violations de données concernant leurs services « Cloud »; 10% des infractions les plus graves en matière de sécurité étaient dues à des médias portables contournant les défenses. INFORMATION SECURITY BREACHES SURVEY 2014 by pwc

10 Gouvernance d’Entreprise : Définition
C’est Quoi ? Ensemble des principes et règles d’organisation Ensemble des principes et règles de transparence Ensemble des principes et règles de comportement Pourquoi ? Assurer l’équilibre entre la direction et le contrôle de l’entreprise Assurer la protection des actionnaires

11 Gouvernance : Principales parties prenantes
INVESTISSEURS & ACTIONNAIRE(S) DIRECTION CONSEIL D'ADMINISTRATION Si la Direction a pour objet d’assurer le fonctionnement de l’Entreprise, la Gouvernance d’Entreprise permet de veiller à ce qu’elle le fasse dans les règles.

12 Remunérations & Nominations
Comités spécialisés CA Stratégie Audit Remunérations & Nominations SI

13

14 Gouvernance d’Entreprise
et Impact sur le SI Les principes de gouvernance ne sont pas sans conséquences sur le monde des Systèmes d’Information. En particulier, la DSI doit assurer de nouvelles prérogatives, à savoir : Transparence de l’information Accessibilité de l’information Fiabilité des données Sécurité des informations et données Traçabilité de l’information

15 Positionnement de la Gouvernance du SI
La Gouvernance du SI contribue à la fois : à garantir la Gouvernance de Conformité à optimiser la Gouvernance de Performance au profit de la Gouvernance d’Entreprise

16 La Gouvernance SI : Objectifs
La Gouvernance SI est un processus de management, fondé sur des bonnes pratiques, qui permet à l’entreprise d’optimiser ses investissements informatiques : Soutenir ses objectifs de création de la valeur Accroître la performance des processus informatiques et leur orientation clients Maîtriser les aspects financiers du système d’information; Développer les solutions et les compétences SI dont l’entreprise aura besoin dans le futur; Garantir que les risques liés au système d’information sont sous contrôle; ….tout en développant la transparence.

17 Objectif Gouvernance Création de valeur Besoins des Parties Prenantes
Réalisation de Bénéfices Optimisation des Ressources des Risques Besoins des Parties Prenantes

18 Quels bénéfices Création de valeur ajoutée grâce à une gouvernance efficace et la gestion du système d’Information et des actifs  technologiques; Augmentation de la satisfaction des utilisateurs « Métier » avec l'engagement sur les services ; Augmentation de la conformité aux lois, règlementations et politiques. Enterprisewide benefits: Increased value creation through effective governance and management of enterprise information and technology assets Increased business user satisfaction with IT engagement and services–IT seen as a key enabler. Increased compliance with relevant laws, regulations and policies IT function becomes more business focused Increases the COBIT 5 users’ contribution to the enterprise

19 ler Processus Gouvernance SI Processus Management SI
Evaluer, Diriger, Monitorer (Surveiller) Processus Gouvernance SI EDM1 Mettre en place et Maintenir la Gouvernance SI EDM2 Assurer l’optimisation de la valeur EDM3 Assurer l’optimisation des Risques EDM4 Assurer l’optimisation des Ressources EDM5 Assurer la transparence envers les parties prenantes Processus Management SI Aligner, Planifier, Organiser (APO) Monitorer (Surveiller) Evaluer, Apprécier (MEA) Diriger APO1 Instaurer Maintenir Gouvern SI APO2 Définir la stratégie APO3 Gérer Architect. Entrepr. APO4 Gérer innovation APO5 Gérer Portefeuil APO6 Gérer Budgets & Coûts Survei l ler APO7 Gérer Ressources Humaines APO8 Gérer Partenariat APO9 Gérer Contrats Service APO10 Gérer Fournisseurs APO11 Gérer Qualité APO12 Gérer Risques MEA1 Surveiller et Evaluer Performance & Conformité Bâtir, Acquérir, Implémenter (BAI) BAI1 Gérer Programmes & Projet BAI2 Définir Exigences BAI3 Identifier & Bâtir Solutions BAI4 Gérer Disponibilités & Capacités MEA2 Surveiller Système Contrôle Interne BAI5 Faciliter Changement Organisatlonnel BAI6 Gérer Modifications BAI7 Accepter & Gérer Transitions BAI8 Gérer Connaissances Délivrer, Servir, Supporter (DSS) DSS1 Gérer Opérations DSS2 Gérer Actifs DSS3 Gérer Configurations DSS4 Gérer Demandes Service & Incidents MEA3 Surveiller & Evaluer conformité / exigences externes DSS5 Gérer Problèmes DSS6 Gérer Continuité DSS7 Gérer Sécurité DSS8 Gérer contrôle Processus Opérationnels

20 COBIT 5 - GOUVERNANCE L’alignement stratégique (Strategic Alignment)
La création de Valeur (Value Delivery) La gestion des ressources (Resource Management) La gestion des risques (Risk Management) : La mesure de la performance (Performance Measurement) L’alignement stratégique (Strategic Alignment) Consiste à s’assurer que les plans informatiques stratégiques et opérationnels s’alignent en permanence avec les plans métiers et à analyser le positionnement et le fonctionnement de la DSI, ses attributions et ses compétences ; La création de Valeur (Value Delivery) Repose sur le développement des méthodes de gestion de la valeur des SI aussi bien au niveau des projets que des opérations (justification économique des projets, optimisation du portefeuille de projets, analyse de la valeur, etc.) ; La gestion des ressources (Resource Management) Il s’agit d’optimiser les investissements dans les ressources informatiques vitales (Informations, Applications, infrastructures, et personnes) et d’analyser les perspectives de sous-traitance et d’externalisation ; La gestion des risques (Risk Management) : Nécessite une conscience des dirigeants pour les risques et une définition du niveau d’appétence de l’entreprise pour le risque. Il s’agit d’analyser les risques pris par l’entreprise à travers son système d’information (cf. cartographie des risques informatiques) et ce, en termes d’impact métier et de continuité d’activité ; La mesure de la performance (Performance Measurement) Consiste à analyser les pratiques en matière de pilotage et de contrôle de gestion informatique, notamment à travers l’utilisation de tableaux de bord équilibrés - Balanced scorecard - qui traduisent la stratégie en actions orientées vers l’atteinte d’objectifs mesurables.

21 Processus Gouvernance SI
Evaluer, Diriger, Monitorer (Surveiller) EDM1 Mettre en place et Maintenir la Gouvernance SI EDM2 Assurer l’optimisation de la valeur EDM3 Assurer l’optimisation des Risques EDM5 Assurer la transparence envers les parties prenantes EDM4 Assurer l’optimisation des Ressources

22 6 Questions à poser par un Administrateur
La responsabilité de la gouvernance SI incombe un poste de direction suffisamment élevé qui veille a l’utilisation efficace des nouvelles Technologies ? La direction a un plan stratégique SI et une cellule de veille sur les tendances technologiques ? La direction évalue les risques et planifie des Audits périodiques relatifs au SI? S’assurer de l’intégrité des données et, de l’adoption d’un plan de continuité ? La direction a attiré l’expertise technologique nécessaire ? S’assurer que les procédures du SI sont conformes aux exigences des Lois et Réglementations ? La direction a-t-elle un plan stratégique ? en matière de systèmes d’information qu’elle surveille et met à jour selon les besoins? 2. L’organisation a-t-elle mis en place des procédures appropriées pour se tenir au courant des tendances technologiques, pour en tenir compte dans sa stratégie de positionnement? 3. Les indicateurs pertinents ont-ils été établis et en fait- on le suivi pour assurer la gestion de la performance des tiers fournisseurs de services de l’organisation? 4. Comment la direction a-t-elle déterminé l’expertise technologique nécessaire et quels moyens utilise-t-elle pour attirer et garder les employés les plus talentueux? 5. La responsabilité de la gouvernance en matière de TI incombe-t-elle à une personne occupant un poste de direction suffisamment élevé? La direction planifie-t-elle des évaluations périodiques des risques liés à l’utilisation des technologies de l’information par l’organisation? 7. Comment la direction assure-t-elle l’intégrité des données et, et leur utilisation judicieuse au sein de l’organisation? 8. Quelles dispositions ont été prises par l’organisation pour instaurer des Audits périodiques de ses systèmes ? 9. L’organisation a-t-elle identifié les diverses exigences contenues dans les textes législatifs et réglementaires quant à la protection des données personnels? 10. Si l’organisation fait appel au e-Commerce pour acheter ou vendre des produits ou des services, a-t-elle fait un examen particulier des risques y afférents? 11. L’organisation a-t-elle adopté un plan de continuité de l’exploitation pour gérer les interruptions potentielles? 12. Quelles sont les procédures mises en place pour assurer que les systèmes et la gestion de l’Organisation soient conformes aux exigences des Lois et Réglementations

23 Tirer les meilleurs avantages du SI
Macroscope

24 Protéger le patrimoine informationnel

25 Conclusion Un Administrateur doit veiller :
A un usage innovant, efficace et efficient des Technologies de l’information pour un développement harmonieux et soutenu de l’organisation; A la mise en place d’une protection rigoureuse contre les risques relatifs au système d’information.