Présents :
Rachid Aboura, Michel Bakala, Gérard Balantzian, Jacques Boivin, Yves Caseau, Pierre Caujolle, Pierre Calvanèse, Aurélie Chandèze, Marc-André Chassefeire, Hicham El Achgar, Thierry Falque-Vert, Jean Louis Foucard, Alain Moscowitz, Christophe Legrenzi, André Loechel, Gilbert Reveillon, Claude Salzman, Philippe Tassin.
La réunion commence à 19 h 10.
Claude Salzman, président européen et fondateur de l’ceGSI/ISGec
Le Club Européen de la Gouvernance des Systèmes d'Information (ISGec - Information Systems Governance european club) a pour but de regrouper des experts en gouvernance des systèmes d’information. Cette gouvernance est différente de la gouvernance IT. Cette dernière correspond davantage au périmètre couvert par l’ISACA. CobiT, dans son état actuel concerne plutôt la gouvernance des systèmes informatiques.
L’ISGec comprend actuellement 25 membres. La France et le Portugal sont les pays les plus représentés. Le club a également des membres en Italie, en Belgique, en Suisse, en Espagne et à des contacts pour l’Allemagne.
Christophe Legrenzi, vice-président, délégué français et fondateur de l’ceGSI/ISGec
La gouvernance des systèmes d’information
Gouvernance Système d’Information et Performance
Jusqu’à présent on avait du mal à établir un lien entre la gouvernance des systèmes d’information et la performance des entreprises. Plusieurs études récentes présentées à la dernière International Conference on Information Systems, ICIS, montrent qu’une corrélation existe. Ce sont en particulier trois études :
Ø 1ere étude : Gouvernance informatique et Rentabilité des investissements SI : une étude empirique
Les organisations qui ont un niveau faible de gouvernance ne tirent pas de bénéfices de leurs investissements informatiques. Leur situation est équivalente à celles qui n’ont pas du tout de gouvernance SI, car elles ont les coûts sans en tirer les bénéfices. Les organisations qui ont une gouvernance SI plus élevée ont des bénéfices plus importants (2 à 3 fois supérieurs) qui sont liés à leurs investissements informatiques.
Ø 2eme étude : Les DSI comptent-ils vraiment ? Evaluer la valeur liée à la présence des DSI au sein de la Direction.
Le positionnement des DSI joue un rôle important dans le processus de création de valeur ajoutée des entreprises. Il y a déjà quelques années, des études ont montré que plus le Comité de Direction est hétérogène en termes de profils (études, âges, culture, sexe, etc.), meilleure la performance des entreprises. L’ajout du DSI amène un niveau d’hétérogénéité supplémentaire, qui se traduit par un niveau de performance supplémentaire.
Ø 3ème étude : L’aptitude à gérer les innovations techniques et le rôle de la DSI.
La capacité du DSI à parler des processus et des métiers améliore les solutions et la capacité d’assimilation informatique de l’entreprise.
Fait notable, la plupart de ces études sont d’origines asiatiques et américaines.
Gouvernance versus Best Practices
Une confusion existe entre ces deux termes. Ces deux concepts sont fondamentalement différents dans leurs finalités.
La gouvernance a une visée exogène, il s’agit d’assurer qu’un système soit bien géré vis-à-vis d’interlocuteurs extérieurs à la DSI.
Les bonnes pratiques ont une visée endogène, axée sur la professionnalisation de l’activité. CMMI, CobiT, ITIL sont des recueils de bonnes pratiques mais ne répondent pas aux questions que les directeurs généraux se posent.
Les 5 piliers de la gouvernance informatique
La gouvernance informatique telle que définie par l’ITGI et l’ISACA
· Alignement stratégique (schéma directeur, etc.),
· Création de valeur,
· Gestion du risque informatique (pas dans le sens « plan de reprise d’activité », l’idée est plutôt de faire une cartographie qui explique aux dirigeants quels sont les parties des métiers qui dépendent de l’informatique),
· Mesure de performance (à l’aide de balanced scorecard, de tableaux de bord destinés aux métiers et à la direction générale, etc.)
· Gestion des ressources (gestion patrimoniale des ressources informatiques)
Les six principes de la gouvernance informatique selon ISO 38500
La gouvernance informatique repose sur quelques concepts importants :
· Responsabilité (les rôles et responsabilités sont un aspect essentiel, c’est la principale différence avec l’ITGI, même si placer la responsabilité en premier n’est pas le plus logique),
· Stratégie,
· Acquisition,
· Performance,
· Conformité (réglementaire),
· Déontologie.
Les deux derniers points sont plus proches d’un référentiel comme COSO (Contrôle interne) et de l’ERM (Enterprise Risk Management).
Alors, que faut-il piloter ?
Les termes de « Systèmes d’information » et de « système informatique » n’ont toujours pas de définition claire. Dans la majorité des cas, le système d’information c’est l’informatique formulée différemment. Du coup les Directions Générales n’y comprennent rien.
Robert Reix propose la définition suivante : « un système d’information, c’est un système avec trois types de ressources : l’informatique (l’outil), l’utilisateur et l’information (la matière première) ». L’usage de l’information dans ce cadre nécessite que la donnée soit numérisée. Le système d’information inclut aussi l’organisation et les processus. Grâce à cette définition on a les atomes de base, les grandes entités.
Le poids de l’outil informatique ne représente pas grand-chose dans les entreprises, entre 1% et 5% de leurs budgets de fonctionnement. Les indicateurs macro-économiques montrent l’importance de l’effort fait par les entreprises. Au total l’industrie informatique et les télécoms pèsent entre 8 et 10% de l’économie mondiale.
Il y a de fait un problème de mesure dans les organisations. Quand on fait un focus sur les outils, effectivement les indicateurs micro-économiques restent faibles. Mais si on ajoute le travail et la masse salariale (les utilisateurs des outils informatiques), tout de suite cela pèse plus lourd. Le rapport entre le poids des utilisateurs et celui des outils s’est inversé par rapport à l’époque industrielle, où le coût de la matière et des machines était plus important que les coûts salariaux. Un col blanc passe près de 50% de son temps à utiliser l’informatique, voire 70% dans l’administration.
Alors, faut-il optimiser l’informatique au sens de l’outil ou le travail sur l’outil informatique ? Le second choix montre qu’il y a des marges de productivité énorme, avec un rapport allant de 1 à 10.
Enfin, pour se rendre compte de la valeur de l’information, il faut savoir qu’on estime qu’elle est de l’ordre de une à cinq fois le budget annuel de fonctionnement des entreprises. C’est le budget qui serait nécessaire pour reconstruire les bases existantes.
Vers une gouvernance informatique unifiée ?
En modifiant un peu les définitions, on peut imaginer un modèle de gouvernance avec une dizaine de critères (conformité, contrôle, stratégie, valeur, risque, performance, etc.)
Ø Faut-il fusionner le référentiel de l’ITGI avec CobiT
Christophe Legrenzi : La plupart des points de contrôle de CobiT sont liés à des enjeux endogènes, il ne s’agit donc pas de gouvernance. Une telle fusion ne s’imposait pas, mais de fait, elle a eu lieu avec CobiT V4.
Gilbert Réveillon, CCEF (Conseiller du Commerce Extérieur), Président du Groupe de Travail TIC et Economie Numérique du CNCCEF (www.cnccef.org )
J’ai rédigé il y a quelques années une thèse sur la création de valeur grâce aux outils sociaux. Dans le cadre de ce travail, j’ai constaté que la loi de Pareto s’applique au système d’information, il y a 20% des outils sur lesquels il faut se concentrer.
Dans le cadre de mon métier j’ai géré une base d’une centaine de cas d’entreprises et qui montre qu’il existe d’autres types de systèmes d’information que ceux destinés à la production, parmi lesquelles il y a des grands groupes comme Michelin.
Parmi les constats qui ressortent de ces analyses je constate qu’on peut avoir un ROI sur l’usage d’un outil et ne pas couvrir le coût du capital. Il n’y a pas forcément création de valeur financière au sens strict du terme, mais il y a de la valeur.
L’économie numérique a son propre écosystème, qui crée des ruptures violentes. Par exemple Alcatel Lucent subit aujourd’hui les effets de la concurrence avec les acteurs chinois, qui tendent à faire sortir des acteurs français du marché.
En Chine, cet écosystème se nourrit de lui-même, les acteurs monétisent leurs services tout en conciliant agilité, diversité et innovation. Un acteur comme Facebook est un nain par rapport aux acteurs chinois, qui ont mis en place des modèles qui bouclent sur eux-mêmes et s’autoalimentent.
Le challenge est avant tout un challenge d’agilité. La première agilité est sur le coût du capital : comment l’entreprise alloue son capital ? Un autre exemple, c’est l’agilité au niveau des outils. Par exemple, des portables sont mis à disposition des salariés mais il n’est pas toujours possible de s’en servir hors de l’entreprise, pour des questions de sécurité. On touche là des questions qui concernent les 20% d’outils en dehors du SI de production.
Pour préserver cette agilité, la gouvernance doit laisser de la place pour la diversité et l’innovation. Comment on préserve l’agilité si le système d’information est figé dans ses mécanismes de manière exhaustive ? Il faut laisser une place pour l’innovation non structurée dans le système d’information car les entreprises en ont besoin.
Aujourd’hui est-ce qu’on peut aisément identifier les entreprises les plus performantes d’un point de vue stratégico-financière ? Les cycles de décision et d’investissement sont de plus en plus courts. Par exemple dans l’industrie automobile, il faut maintenant deux ans pour que les modèles changent sous la pression des autres marchés, contre sept ans il y a quelques années.
Je voudrais sortir de cette vision de la performance sur trois mois, liée aux indicateurs financiers. Pour évaluer la performance, nous devons décider nous-mêmes du point de départ et d’arrivée. Des cycles de trois à cinq ans me semblent raisonnables.
La notion de coût du capital dans la création de valeur est souvent oubliée.
Christophe Legrenzi : il ne faut pas fixer des ratios pour l’innovation sinon on court tout droit à l’échec. La stratégie doit être indépendante des ratios.
Tour de table – Visions et questions autour du concept de gouvernance des Systèmes d’Information
Hicham El Achgar, IT6 : « Aborder la gouvernance par la sécurité peut être une bonne approche pour l’expliquer aux Directions Générales. Les notions de fraude et de risques sont plus claires pour les Directions Générales. Une fois ces enjeux perçus, on peut passer sur l’approche informatique, et enfin quand la maturité est là on peut parler de gouvernance. Mais ça dépend aussi du secteur d’activité. Les banques par exemple sont déjà très sensibles à ces notions. »
Pierre Calvanèse, Altran : « La gouvernance informationnelle est l’un de mes sujets de prédilection : l’idée est de s’affranchir du système pour voir quelle est l’information véhiculée et à qui elle s’adresse. Le niveau de confiance accordée à l’information diffusée est corrélé à cette gouvernance. »
André Jean-Marc Loechel, Territoires de Demain : « Nous travaillons sur l’innovation de rupture et nous sommes en train de créer un réseau international sur les nouvelles formations de l’Internet. Les enjeux de gouvernance nous intéressent pour ces lieux d’innovation. »
Thierry Falque-Vert, consultant SI et ancien DSI : « La confusion vient aussi de la multitude des référentiels et des outils qu’on associe à la gouvernance. Il faudrait peut-être mieux parler de politique avant de parler d’outils. On est plus dans le domaine de la formalisation, tandis que les outils sont plus dans un rôle de garde-fous. »
Jean-Louis Foucard, consultant-formateur, Cegos : « Dans le cadre de mes missions de formateur, je touche plutôt un public d’opérationnels. Pour sensibiliser ce public à la gouvernance, il est possible d’évoquer le nécessaire équilibre entre le coût et la valeur de toute activité. Un autre levier est la qualité, il n’en faut pas plus qu’il ne faut de risque de non-qualité. On peut également évoquer l’équilibre entre information et décision : une information représente un coût mais les actions qu’on peut décider en se basant sur cette information ont de la valeur. Pour moi la gouvernance est une approche assez top-down. Les questions que je me pose : comment faire cohabiter gouvernance et créativité, gouvernance et agilité, innovation de terrain et gouvernance.
Rachid Aboura, consultant : « J’attendais une définition de la gouvernance des systèmes d’information. Pour moi le système d’information est au-dessus de l’informatique, de même la gouvernance SI va au-delà de la gouvernance informatique. »
Jacques Boivin, Président du Club Mines-Stratégie : « Je ne suis pas informaticien, mais je considère que l’informatique est la grande innovation de notre temps et que c’est celle qui doit être utilisée à fond. Je suis à la fois intéressé et gêné par ce que j’ai entendu car le débat reste un peu dans le brouillard. Pour moi nous sommes pour l’instant dans une démarche de praticiens, dont l’expérience amène à regarder le passé en disant « SOX, ne suffit pas, CobiT, ne suffit pas, etc. ». Je propose un changement de perspective.
Je propose de repartir des missions de l’informatique. J’en vois cinq :
· assurer la diffusion sûre et pertinente de l’information,
· faciliter les échanges et la coopération,
· promouvoir les nouveautés informatiques dans l’entreprise, car dans ce domaine tout évolue très vite et il apparaît sans cesse des possibilités nouvelles,
· préparer et mettre en place les investissements correspondants,
· veiller à ce que son fonctionnement soit efficace et au service de l’entreprise et de ses hommes.
Pour chacune de ces missions, il faut regarder les contraintes à mettre en place pour qu’on ait des développements alignés sur le plan stratégique, qui ne soit pas risqué, qui crée de la valeur et dont on puisse mesurer la performance. En effet, ces missions sont trop différentes et à les prendre comme un seul bloc, nous sommes dans le brouillard. Si on les prendre séparément on va voir plus clair dans les systèmes d’information. »
Pierre Caujolle, consultant IT : « Je suis venu sur une confusion, je pensais que la réunion était consacrée à la gouvernance IT. Le système d’information, on en parle beaucoup mais c’est quelque chose qui n’est pas défini, un concept qui n’est pas partagé, je ne suis même pas sûr que ça existe. Pour moi s’il n’y avait pas d’informatique, d’IT, il n’y aurait personne aujourd’hui pour parler de Système d’Information. Aujourd’hui le problème principal dans les entreprises, c’est la pollution informationnelle. Pour Google l’information n’a pas du tout la même valeur que pour un industriel automobile par exemple. Je suis un peu sceptique par rapport aux référentiels, qui ont tendance à créer de la pollution et de la confusion. »
Marc-André Chassefeire, consultant, directeur de projet : «Il y a un problème de définition de la population concernée. Quelle est l’information pertinente ? Ce ne sera pas la même pour un particulier qui consulte Google et une grande entreprise. Ce n’est pas le même sens de la notion de l’information. Peut-on prendre en compte ces différences à l’aide de modèles ?
Michel Bakala, consultant IT chez Fujitsu : « Mes missions concernent la gestion de portefeuille de projets, et autour de ce sujet je suis amené à aborder la gouvernance informatique, notamment sur des questions de rôles et responsabilités. J’étais curieux de voir ce qu’était la gouvernance des systèmes d’information. Fujitsu a travaillé avec l’ITGI pour proposer le référentiel Val IT. Sur cette même logique, je me demande s’il ne faudrait pas établir un document Val SI. »
Philippe Tassin : « Je suis un peu troublé par ces échanges, je croyais savoir ce qu’était la gouvernance. Dans les cours que je donne sur la gouvernance, je la décris comme le contrôle de la Direction Générale sur le Système d’Information. Les concepts me semblent mal définis même si les sujets abordés sont intéressants. Pour moi l’innovation est assez loin par exemple de la gouvernance, par contre savoir quel est le rôle d’une DSI métier par rapport à une DSI groupe, c’est une question de gouvernance que j’ai rencontré lors de ma carrière. Au départ, la gouvernance c’était le contrôle des actionnaires sur les entreprises, avec des questions comme : Est-ce que le système d’information répond à la stratégie ? Est-il bien en phase avec la ligne qui a été définie ? etc.
Une Direction Générale ne parle jamais de SI, elle ne parle que de son informatique. Pour eux ce dernier terme englobe plus de choses, il s’agit des ordinateurs et de tout ce qu’il y a autour. Un système d’information comprend des infrastructures, des données, du personnel, etc. Je pense qu’il faut démystifier et ne pas tout mélanger. »
Gérard Balantzian, ancien directeur de l’IMI de l’UTC : « Mon constat à ce stade de la discussion est le suivant : nous sommes encouragés à commencer à penser. Il y a eu différentes visions présentées, des ouvertures, des débats. Nous savons raisonner, désormais, il faut penser. Par exemple, le rapport sur le bien-être au travail évoque le fait que le développement de l’emploi des machines dans le travail transforme les usages. Cependant, cette transformation des usages consiste essentiellement à modifier les activités par rapport à des référents de bon sens (pour un qualiticien, pour un DSI…). Chacun de ces acteurs a raison sur sa représentation, mais y-a-t-il une représentation commune ? Le bien-être ne viendra pas d’une posture d’opposition mais d’une rencontre. De la même façon, il faut arriver à sortir de nos raisonnements, ce qui est évident pour quelqu’un ne l’est pas pour l’autre.
Le fond du problème tourne autour des missions, et avec ces missions il y a un manager. A force d’être convaincus que les solutions sont que dans la logique de contrainte et de contrôle, les managers ont des difficultés à s’ouvrir pour passer à une logique de contrat.
Si on applique cette idée de contrat à la relation entre DSI et DG : Quel est le contrat qu’ils passent ensemble, sur quelle durée, pourquoi, qu’est-ce qu’on y met ? Il est dangereux d’avoir une vision unique.
Le débat informatique/information n’a pas de sens, les deux sont entrelacés. La question c’est qu’est-ce qu’on en fait ? Il faut réfléchir sur le « et ». C’est informatique et information.
CobiT, ITIL ne sont que des modes d’emploi, il ne faut pas les considérer comme une vérité absolue. A côté il y a quelque chose qui se passe et qu’il ne faut pas ignorer. Aujourd’hui les entreprises sont confrontées par exemple à des questions comme l’intégration du cloud aux systèmes existants, si elles passent à côté de ces enjeux ça peut être risqué.
Je suis assez perplexe car beaucoup des personnes que je rencontre sont dans une vision très court terme, dans une recherche d’efficacité, car pour eux il s’agit de démontrer que telle technique rapporte de l’argent, sans réfléchir sur son essence.
Je suis intéressé par l’approche basée sur les missions évoquée par Jacques Boivin qui mérite d'être creusée. De plus, la gouvernance se limite-t-elle qu'à la seule logique de contrainte ou existe-t-il d'autres perspectives ?
Yves Caseau, directeur général adjoint en charge de l’innovation et des services, Bouygues Telecom : « Pourquoi avons-nous besoin de gouvernance ? Pour moi, c’est notamment dû au fait que le discours sur la performance IT est réducteur. L’informatique est quelque chose de complexe, elle intervient à plusieurs niveaux, sur plusieurs échelles de temps. Sa maîtrise par la gouvernance est une bonne chose pour la Direction Générale et pour l’actionnaire. La gouvernance est liée au contrôle en général (pas le contrôle interne). C’est un cadre qui sert à faire un méta-pilotage et de l’analyse de risque. Pour moi, la gouvernance est un des garants pour le développement durable de l’entreprise. Elle évite d’être soumis à l’arbitraire du court-terme, c’est un garde-fou. »
Claude Salzman : « Faut-il poursuivre le débat par le biais d’un wiki ou bien estimez-vous qu’il faut mieux faire encore deux ou trois réunions ? »
Gérard Balantzian : « A ce stade de la réflexion, le risque est d’aboutir à une mosaïque d’idées plutôt qu’à une approche structurée, les intervenants ne se connaissent pas encore assez. »
Yves Caseau : « Nous avons besoin d’un vocabulaire commun, la discussion sera plus efficace. »
Gilbert Réveillon : « Il faut trouver le point d’équilibre de l’entreprise, sur l’allocation de nos ressources. La démarche des intervenants très différents amène à se croiser. »
Gérard Balantzian : « Je suis intéressé par l’approche basée sur les missions évoquée par Jacques Boivin, mais je ne comprends pas bien l’aspect « contraintes ». Est-ce que dans la gouvernance il y a une logique de contrainte ? »
Yves Caseau : « En tant qu’ancien DSI du secteur des télécoms, je ne me reconnais pas dans les missions évoquées, mais l’analyse par les missions est une bonne idée. »
Il est décidé d’organiser d’ici le mois de février ou de mars une réunion de travail pour continuer la réflexion sur la gouvernance des systèmes d’information.
A 21 h la séance est levée.