Les actions à entreprendre pour mettre en oeuvre une gouvernance IT visent à

• Définir et optimiser le cadre organisationnel et décisionnel du SI basé sur des bonnes pratiques s'appuyant sur des standards
• Maîtriser les investissements SI s'assurer qu'ils sont optimisés contrôler qu'ils sont alignés sur la stratégie de l’entreprise.
• Contrôler l’atteinte des objectifs pour une contribution maximale à la création de valeur et à la maîtrise de ses risques

La Gouvernance IT a ainsi pour objectifs :

• La création de Valeur
• La réduction des risques, et mise en conformité
• L'excellence opérationnelle SI
• La mesure et le pilotage de la performance

Avec comme des défis à relever

• L'alignement sur la stratégie et les enjeux métiers
• La gestion des risques
• L'agilité du SI - L'optimisation du SI

Les Directions des services informatiques devraient avoir pour mission première d’anticiper les évolutions technologiques de leurs solutions, de soutenir le déploiement de la stratégie de l’entreprise et de s’assurer que les contraintes réglementaires de l’information soient intégrées. Dans la réalité, leur rôle se réduit bien souvent à une pratique opérationnelle orientée exploitation consacrée à la résolution de problèmes, assez loin de leur mission d’origine. Pour remédier à cela, un nombre croissant d’entre elles choisissent d’externaliser ces obligations de maintenance quotidienne afin de se concentrer sur la partie à réelle valeur ajoutée de leur fonction.

Les avantages reconnus de l’externalisation sont d’ordre:

• Qualitatif, par l’amélioration d’une qualité de service optimisable et mesurable,
• Financiers, grâce à la maîtrise de budgets contractuellement cadrés,
• Sécuritaire : mise en œuvre par le prestataire de sites de secours, de plans de continuité,
• Contractuel et opérationnel : ` la délégation contractualisée des conditions d’exploitation et de maintenance, garantit la prise en charge d’activités en général peu maîtrisées en interne et réalisées avec des budgets réduits, dans des délais souvent beaucoup plus longs que planifiés. La mutualisation des compétences et des moyens matériels chez le prestataire, permet presque toujours de renforcer l’efficacité de l’infrastructure IT.

Les projets d’externalisation, sont considérés par nos consultants comme des projets de transformation de l’entreprise ; ils utilisent pour les traiter une démarche inspirée des bonnes pratiques eSCM et s’en servent pour cadrer leur approche sur l’ensemble du spectre lié à de tels projets :

• Humain : quelles compétences conserver et comment, quelles compétences externaliser et comment ?
• Matériel : Comment évoluent l’infrastructure et les investissements ?
• Logiciel : Quelles licences restent à charge ?
• Logistique et immobilier : combien de m2 libérés, quels équipements (climatisation, sécurité physique, …) conserver, puissance électrique ?
• Contractuel : Comment évoluent les contrats de maintenance ? Quels accords de services mettre en place avec le prestataire ? Comment les suivre ?Quel est le juste prix des services externalisés ?

Mettre en oeuvre une gouvernance du Système d’Information c’est s’assurer par la mesure et le pilotage de sa performance, que celui-ci contribue en permanence à la création de valeur pour l’entreprise, dans le respect de politiques énoncées (conformité) et dans un contexte de risques maîtrisés et d’excellence opérationnelle garantie.

Pour mener à bien ce type de missions, nos consultants, s'appuient sur une pratique managériale aguerrie dans ce domaine, une approche collaborative avec les parties prenantes pour appréhender les enjeux spécifiques à une entreprise, et trouvent également dans le référentiel CoBIT un cadre méthodologique pour appréhender avec structure et rigueur l'ensemble des problématiques classiques liées à la gouvernance du SI, parmi lesquelles :

• La capture et la formalisation de la stratégie d’entreprise,
• La préparation du cadre décisionnel et organisationnel du SI en réponse à cette stratégie,
• La maîtrise des investissements du SI, et notamment leur optimisation et le contrôle qu'ils sont en permanence alignés sur la stratégie de l’entreprise,
• L’Arbitrage et la mise en œuvre des projets SI directement contributeurs à la stratégie,
• Le Contrôle de l’atteinte des objectifs pour une contribution maximale à la création de valeur et à la maîtrise des risques.

On entend par Système d’Information « tout moyen destiné à élaborer, traiter, stocker, acheminer, présenter ou détruire l’information ».

Le terme sécurité de l’information repose, en général, sur la prise de conscience que l’information doit être considérée comme un actif qui a une valeur et qui, en tant que tel, nécessite une protection appropriée.

Cette protection recouvre un ensemble de méthodes, techniques et outils chargés de protéger les ressources d’un système d’information afin d’assurer :

• la disponibilité des services : les services (ordinateurs, réseaux, périphériques, applications…) et les informations (données, fichiers…) doivent être accessibles aux personnes autorisées quand elles en ont besoin ;
• la confidentialité des informations : les informations n’appartiennent pas à tout le monde ; seuls peuvent y accéder ceux qui en ont le droit ;
• l’intégrité des systèmes : les services et les informations (fichiers, messages…) ne peuvent être modifiés que par les personnes autorisées (administrateurs, propriétaires…).

Inspirée de la norme ISO 27000, notre approche de la sécurité du Système d’Information repose sur l’appréciation et la gestion des menaces et du risque auxquels sont exposés les actifs informationnels. 

Là encore, dans une démarche de co-construction avec nos clients, nos consultants distinguent alors processus successifs « d’appréciation » et de traitement du risque (décisions et actions relatives aux risques). Avec sa surveillance et sa revue, l’ensemble forme le processus de gestion (management) du risque intégré au système de management.

On entend par Service « l’ensemble des moyens mis en œuvre pour produire de la valeur pour un client, sans que celui-ci n’en supporte ni les coûts spécifiques et supplémentaires ni les risques associés ».

La gestion des services IT ou ITSM est l'ensemble des pratiques mises en oeuvre par une organisation (interne ou externe à l'entreprise) pour :

Fournir aux parties-prenantes de l'entreprise des services informatiques à valeur ajoutée, confortant leur stratégie (on parle d'alignement SI-Métier),

Rendre un service de qualité en respectant les contrats de service (SLA) définis et passés avec les parties prenantes, ainsi que les contraintes économiques de l'entreprise,

Augmenter la flexibilité du système pour intégrer continuellement de nouveaux services, sans impacter l’existant.

Pour mener à bien ces missions, nos consultants, au plus près des équipes clientes, s'appuient sur leur longue expérience opérationnelle dans ce domaine et une approche collaborative pour appréhender les enjeux spécifiques à une organisation, mais trouvent également dans le référentiel ITIL un cadre méthodologique pour appréhender avec structure et rigueur l'ensemble des problématiques classiques liées à la gestion des services, parmi lesquelles :

• Comment créer et gérer un portefeuille de services ?
• Comment concevoir des services créateurs de valeur (alignement SI-métier) ?
• Comment améliorer et sécuriser les mises en production de changements ou de nouveaux services tout en préservant l’existant ?
• Comment traiter plus efficacement les incidents, événements et les problèmes dans le SI ?
• Comment gérer les changements des actifs et maîtriser l'évolution des configurations du SI ?
• Comment mettre en place des mesures et des indicateurs dans les processus de la DSI pour améliorer la prise de décision ?
• Comment assurer la disponibilité, la continuité, la sécurité, la capacité et la fiabilité de services ?
• Comment formaliser les relations client-fournisseur entre les différents acteurs de la chaîne de valeur ?
• Comment mettre en place une amélioration continue des services ?