Post on 04-Apr-2015
Gouvernance SIResponsabilités du Conseil d’Administration
19 Juin 2014
Taieb DEBBAGH
Sommaire
1. Risques d’un monde en réseaux
2. Cybercriminalité dans les entreprises
3. Gouvernance d’Entreprise
4. Gouvernance et Management SI
5. Responsabilités de l’Administrateur
6. Conclusion
Les risques d'un monde en réseau
L'avancement de la technologie dans les services aux organisations, combinée à la croissance des médias sociaux et la connectivité des réseaux, a modifié de façon permanente les interactions entres les organisations et les utilisateurs;
La connectivité et l'accès aux réseaux ont aussi un côté sombre qui permet aux criminels motivés d’agir efficacement a travers les réseaux;
La cybercriminalité est souvent invisible aux organisations concernées qui ne se rendre compte des dégâts que tardivement.
Cybercriminalitela cybercriminalité reste la deuxième forme la
plus répandue de criminalité économique selon PwC;
La cyber-criminalité coûterait 327 milliards d'euros par an. Selon un rapport publié par le « Center for Strategic and International Studies »;
65% des utilisateurs d’internet ont été victimes d’une cyberattaque (virus, fraude à la carte de crédit en ligne, vol d’identité)- Soit 1.5 millions de personnes par jour (Mashable);Aux Etats-Unis, 40 millions de personnes ont été victimes de vols de données personnelles.
Une priorité de la Haute Direction
• 79% la haute direction accordent une priorité élevée ou très élevée a la sécurité SI;
• 23% n'ont pas informé leur Conseil d’Administration sur les risques de sécurité;
• 55% ont été attaqués par une personne non autorisé.
INFORMATION SECURITY BREACHES SURVEY 2014 by pwc
Un des quatre "crimes économiques"
Craintes des entreprises
Violations de la sécurité par le personnel
• 73% ont souffert d'une infection par des virus ou des logiciels malveillants (59% en 2013);
• 16% savent que les étrangers ont volé leur propriété intellectuelle ou des données confidentielles;
• 58% ont subi des violations de sécurité liées au personnel.
INFORMATION SECURITY BREACHES SURVEY 2014 by pwc
Infractions dues aux medias portables
• 12% ont subi une violation de données à travers les réseaux sociaux;
• 7% ont subi une violation de données à travers les smartphones et les tablettes;
• 5% des violations de données concernant leurs services « Cloud »;
• 10% des infractions les plus graves en matière de sécurité étaient dues à des médias portables contournant les défenses.
INFORMATION SECURITY BREACHES SURVEY 2014 by pwc
Gouvernance d’Entreprise : Définition
Gouvernance d’Entreprise
C’est Quoi ?Ensemble des principes
et règles d’organisation
Ensemble des principes et règles de
transparence
Assurer l’équilibre entre la direction et le
contrôle de l’entreprise
Assurer la protection des actionnaires Pourquoi ?
Ensemble des principes et règles de
comportement
Définition
10
Gouvernance : Principales parties prenantes
INVESTISSEURS
&
ACTIONNAIRE(S)DIRECTION
CONSEIL D'ADMINISTRATI
ON
Si la Direction a pour objet d’assurer le fonctionnement de l’Entreprise,
la Gouvernance d’Entreprise permet de veiller à ce qu’elle le fasse dans les règles.
Comités spécialisés
CA
Stratégie
Audit
Remunérations &
Nominations
SI
13
Gouvernance d’Entreprise et Impact sur le SI
Les principes de gouvernance ne sont pas sans conséquences sur le monde des Systèmes d’Information. En particulier, la DSI doit assurer de nouvelles prérogatives, à savoir :
• Transparence de l’information
• Accessibilité de l’information
• Fiabilité des données
• Sécurité des informations et données
• Traçabilité de l’information14
Positionnement de la Gouvernance du SILa Gouvernance du SI contribue à la fois :
• à garantir la Gouvernance de Conformité• à optimiser la Gouvernance de Performance au profit de la Gouvernance d’Entreprise
15
La Gouvernance SI est un processus de management, fondé sur des bonnes pratiques, qui permet à l’entreprise d’optimiser ses investissements informatiques :
Soutenir ses objectifs de création de la valeur Accroître la performance des processus informatiques et leur orientation clients Maîtriser les aspects financiers du système d’information; Développer les solutions et les compétences SI dont l’entreprise aura besoin dans le futur; Garantir que les risques liés au système d’information sont sous contrôle;
….tout en développant la transparence.
La Gouvernance SI : Objectifs
16
Objectif Gouvernance
Création de valeurRéalisation
deBénéfices
Optimisationdes
Ressources
Optimisation des Risques
Besoinsdes Parties Prenantes
Quels bénéfices
Création de valeur ajoutée grâce à une gouvernance efficace et la gestion du système d’Information et des actifs technologiques;
Augmentation de la satisfaction des utilisateurs « Métier » avec l'engagement sur les services ;
Augmentation de la conformité aux lois, règlementations et politiques.
EDM1 Mettre en place et
Maintenir la Gouvernance SI
EDM5 Assurer la
transparence envers les parties
prenantes
EDM4Assurer
l’optimisation des Ressources
EDM3Assurer
l’optimisation des Risques
EDM2Assurer
l’optimisation de la valeur
Evaluer, Diriger, Monitorer (Surveiller)
MEA1Surveiller et
Evaluer Performance & Conformité
MEA2Surveiller Système Contrôle Interne
MEA3Surveiller &
Evaluer conformité /
exigences externes
BAI1 GérerProgrammes &
Projet
BAI5 FaciliterChangement
Organisatlonnel
BAI2Définir
Exigences
BAI6Gérer
Modifications
BAI3 Identifier & Bâtir Solutions
BAI7 Accepter & Gérer
Transitions
BAI4 Gérer Disponibilités& Capacités
BAI8Gérer
Connaissances
DSS1Gérer
Opérations
DSS5Gérer
Problèmes
DSS2GérerActifs
DSS6Gérer
Continuité
DSS3Gérer
Configurations
DSS7Gérer
Sécurité
DSS4Gérer Demandes
Service & Incidents
DSS8Gérer contrôle
Processus Opérationnels
APO1 Instaurer Maintenir Gouvern SI
APO2Définir la stratégie
APO3Gérer
Architect. Entrepr.
APO4Gérer
innovation
Aligner, Planifier, Organiser (APO)
Bâtir, Acquérir, Implémenter (BAI)
Délivrer, Servir, Supporter (DSS)
Monitorer
(Surveiller)
Evaluer, Apprécier (MEA)
Survei ller
Diriger
Processus Gouvernance SI
Processus Management SI
APO5Gérer
Portefeuil
APO6 Gérer
Budgets & Coûts
APO8 Gérer
Partenariat
APO9Gérer
Contrats Service
APO10 Gérer
Fournisseurs
APO11Gérer
Qualité
APO12Gérer
Risques
APO7 Gérer Ressources Humaines
COBIT 5 - GOUVERNANCEL’alignement stratégique (Strategic Alignment)
La création de Valeur (Value Delivery)
La gestion des ressources (Resource Management)
La gestion des risques (Risk Management) :
La mesure de la performance (Performance Measurement)
Processus Gouvernance SI
EDM1 Mettre en place et
Maintenir la Gouvernance SI
EDM5 Assurer la transparence
envers les parties prenantes
EDM4Assurer l’optimisation
des Ressources
EDM3Assurer l’optimisation
des Risques
EDM2Assurer l’optimisation
de la valeur
Evaluer, Diriger, Monitorer (Surveiller)
6 Questions à poser par un Administrateur1. La responsabilité de la gouvernance SI incombe un poste de
direction suffisamment élevé qui veille a l’utilisation efficace des nouvelles Technologies ?
2. La direction a un plan stratégique SI et une cellule de veille sur les tendances technologiques ?
3. La direction évalue les risques et planifie des Audits périodiques relatifs au SI?
4. S’assurer de l’intégrité des données et, de l’adoption d’un plan de continuité ?
5. La direction a attiré l’expertise technologique nécessaire ?
6. S’assurer que les procédures du SI sont conformes aux exigences des Lois et Réglementations ?
Tirer les meilleurs avantages du SI
Macroscope
Protéger le patrimoine informationnel
Conclusion
Un Administrateur doit veiller :
A un usage innovant, efficace et efficient des Technologies de l’information pour un développement harmonieux et soutenu de l’organisation;
A la mise en place d’une protection rigoureuse contre les risques relatifs au système d’information.