DSI : la gestion du risque s'intègre lentement dans les projets

Les DSI peinent à évaluer leur portefeuille d’actifs SI en termes de création de valeur, de risques et de retour sur investissement. Selon une analyse du cabinet Crowe Horwath GRC basée sur les réponses d’adhérents du Cigref, de l’Ifaci et de l’Afai.

Crowe Horwath Global Risk Consulting vient de publier l’étude : « l’entreprise face à ses enjeux et risques numériques ». Cette analyse est le fruit d’une consultation menée, en France, auprès d’adhérents de trois organisations : le Cigref – réseau de grandes entreprises, l’Institut français de l’audit et du contrôle internes (Ifaci) et l’Association française de l’audit et du conseil informatiques (Afai). Les réponses de DSI et RSSI de 52 entreprises ont été étudiées par Crowe Horwath GRC.

Le schéma directeur au coeur de la stratégie SI

Premier constat, le schéma directeur demeure le point d’ancrage de la stratégie SI pour 92% des répondants. Ce schéma est présenté au Comex dans 80% des cas avant d’être communiqué aux directions métiers. Outre la vision macroéconomique, il prend en compte les problématiques d’architecture technique et d’urbanisation fonctionnelle et applicative. Par ailleurs, 70% des DSI interrogés se déclarent prêts à repenser leur organisation pour mener à bien la transition numérique de leur entreprise, en interaction avec les métiers. Sont notamment abordés : le recours au SaaS et au Cloud, les problématiques liées à la mobilité, au Big Data, et à d’autres innovations considérées comme porteuses d’avenir. Régis Delayat, DSI du réassureur français SCOR, témoigne : « notre programme Digital SCOR, a mobilisé le groupe en 2013, grâce à de nombreux ateliers de travail avec les équipes métiers, une communication interne transverse, et l’affichage d’une ambition au plus haut niveau au sein du groupe. Il fixe notre stratégie digitale sur un horizon de 5 à 10 ans ».

Le risque est « perçu, mais diffus »

La cybercriminalité et la fraude informatique sont en tête des risques identifiés par les DSI. 80% déclarent disposer de cartographies de risques. Ils connaissent, dans leur grande majorité, les principaux référentiels de bonnes pratiques en matière de gestion des risques, en particulier ITIL, ISO et COBIT 5 ou encore CMMI, mais l’application de ces référentiels IT est loin d’être systématique, à l’exception notable d’ITIL qui accompagne souvent la refonte de processus. En revanche, le guide AGSI est méconnu (69% n’ont aucune connaissance de ce guide). D’autres sont parfois utilisés. « Nous opérons une sécurisation plus ou moins poussée, selon le niveau de sensibilité des traitements et données, en utilisant le référentiel OWASP (Open Web Application Security Project) pour prendre en compte les besoins de sécurité dès la conception et le codage des applications », a déclaré Hubert Tournier, DOSI adjoint du Groupement des Mousquetaires et DG adjoint STIME.Autre enseignement de l’étude : la gestion du risque se systématise dans les projets, mais lentement. 80% ont un portefeuille de projets, mais y associent la gestion des risques dans un cas sur deux seulement. Le risque SI est « perçu, mais diffus » et la sensibilisation au risque numérique insuffisante (pour 50% des répondants). Par ailleurs, le pilotage des risques est basé sur l’audit interne, mais l’assurance est encore peu utilisée.

La maîtrise des coûts une priorité pour les DSI

80% des DSI déclarent bien connaître et maîtriser la dépense informatique. Et les trois quarts disent avoir mutualisé la moitié des moyens entre le groupe et ses filiales. Autre source d’économie potentielle, le recours à l’externalisation reste sélectif et concerne rarement l’architecture et la sécurité. Enfin, plus de 40% des répondants ont un catalogue de services et 45% l’envisagent. Si leur performance est mesurée dans 70% des cas, le calcul du coût de revient n’est pas généralisé (40% ne le font pas). Les catalogues qui s’appuient sur une analyse des coûts et servent de base à la refacturation sont donc peu nombreux. Mais certains ont passé le cap. « Notre schéma directeur informatique a été volontairement centré sur la réduction des coûts et l’agrégation des initiatives isolées (In business Computing) À titre d’exemple, la virtualisation des serveurs dans le Cloud privé a permis d’atteindre en deux ans une économie de 70% des coûts initiaux », a témoigné Jean-Luc Amagat, DSI de Nextira One.

Des équipes IT intégrées aux métiers

Près de 75% des DSI interrogés ont des budgets inférieurs à 4% du chiffre d’affaires (les entreprises de l’échantillon réalisent un chiffre d’affaires supérieur à 300 millions d’euros chacune). Une large partie des budgets IT (en moyenne 65%) correspond aux coûts de fonctionnement. Face à l’émergence du « Shadow IT » (les systèmes et applications informatiques qui échappent au contrôle de la DSI) ou d’une « informatique à deux vitesses » (l’une centrée sur l’existant, l’autre, plus agile, dédiée au numérique) les responsables informatiques se déclarent sereins et prêts à coopérer avec les métiers. « Nous avons créé un véritable partenariat entre la DSI et les métiers, grâce à l’existence d’équipes IT intégrées aux métiers, a précisé le DSI du groupe SCOR. Ces équipes fonctionnent suivant le principe de double reporting IT/métiers et ceci au plan global », a-t-il ajouté.