Qu’est-ce que la gouvernance informatique ?

Une gouvernance informatique efficace fait partie intégrante de la stratégie métier globale, en particulier dans le cadre des politiques de gouvernance, de gestion des risques et de conformité (GRC). La gouvernance informatique permet de gérer les risques et d'assurer la conformité aux réglementations industrielles et gouvernementales. L'optimisation de la gouvernance informatique repose sur un juste équilibre entre investissements informatiques, politiques et personnel. Elle permet aux organisations d’aligner leurs objectifs informatiques avec leurs objectifs commerciaux.

Une stratégie informatique globale, combinée à une gouvernance solide, peut rationaliser la prise de décision et ainsi contribuer à l'atteinte des principaux objectifs de l'entreprise. Cela fait de plus en plus partie des équipes DevOps chargées des opérations informatiques. Les équipes DevOps collaborent de manière plus efficace pour créer, tester et déployer des logiciels.

À mesure que les organisations augmentent leurs investissements en informatique, l'importance d'une politique de gouvernance informatique robuste devient critique. Les responsable des technologies de l’information (DSI) pilotent la stratégie de gouvernance informatique aux côtés d'autres parties prenantes clés au sein de la direction générale.

Maintenir une gouvernance informatique solide permet aux organisations de prospérer dans plusieurs domaines clés.

Les interruptions des processus informatiques peuvent affecter l’ensemble des activités de l’entreprise. C’est pourquoi les organisations intègrent la résilience comme composante essentielle de leurs processus de gouvernance informatique. Elles peuvent ainsi orienter leurs fonctions informatiques pour maximiser le temps de disponibilité et mettre en place des sauvegardes et redondances appropriées afin d’assurer la continuité de l’activité.

Comprendre les coûts liés aux ressources informatiques et leur impact sur la croissance de l’entreprise est une responsabilité centrale pour tout DSI. Bien que la technologie soit essentielle à toute organisation moderne, les PDG veulent s’assurer que chaque projet, initiative ou dépense informatique contribue directement à l'atteinte des objectifs de l’entreprise.

Avec l'utilisation accrue des données clients pour guider les activités, les agences de régulation portent une attention croissante à la gestion des départements informatiques. Les organisations dotées de pratiques solides en matière de gouvernance informatique rencontrent moins de problèmes de conformité, ce qui leur permet de se concentrer sur d'autres aspects de leur activité.

Les entreprises s'appuient de plus en plus sur des données de première et de tierce parties, souvent propriétaires ou contenant des informations privées sur les consommateurs. Ces données sont de plus en plus ciblées par des acteurs malveillants. La gestion des risques informatiques et leur atténuation sont donc essentielles ; les organisations doivent adopter des politiques et procédures pour protéger leurs utilisateurs. Selon une enquête de CIO.com, les PDG placent la gestion des risques informatiques¹ au deuxième rang des priorités, juste derrière la transformation numérique.

Plusieurs organisations gouvernementales, non gouvernementales (ONG) et entreprises privées sont chargées de définir et maintenir des normes et directives en matière de gouvernance informatique.

• ISCA : anciennement appelée Information Systems Audit and Control Association, il s’agit d’une organisation qui fournit des accréditations aux professionnels de l'informatique dans des domaines clés tels que l'audit et la cybersécurité.
• Organisation internationale de normalisation (ISO) : cette ONG élabore des normes pour différentes unités commerciales, y compris les opérations informatiques, afin de faciliter les échanges et la coopération internationale. Elle a notamment publié la norme ISO/IEC 38500 sur la gouvernance informatique en 2008 et la norme ISO 27001 sur la gestion de la sécurité de l'information.
• Axelos : à l’origine une coentreprise entre le gouvernement britannique et Capita, Axelos a été rachetée par PeopleCert en juillet 2021. Elle est responsable de plusieurs certifications, dont la bibliothèque d’infrastructure informatique (ITIL).

Il existe plusieurs cadres de gouvernance informatique, avec des politiques et procédures que de nombreuses organisations adoptent.

Le cadre COBIT (« Control Objectives for Information and Related Technologies » ou objectifs de contrôle pour l’information et les technologies connexes) regroupe des pratiques et outils éprouvés pour minimiser les risques, assurer la conformité réglementaire et favoriser la réalisation des objectifs commerciaux.

Cette bibliothèque de bonnes pratiques aide les organisations à mieux gérer leur support et services informatiques. AXELOS est responsable de la gestion des mises à jour d’ITIL, dont la dernière version, ITIL 4, a été publiée en 2019² pour inclure de nouveaux outils et technologies comme l'intelligence artificielle et le cloud computing.

Ce cadre implique la planification, la mise en œuvre, la gestion et l’optimisation des services informatiques pour répondre aux besoins des utilisateurs et aider les organisations à atteindre leurs objectifs. L’ITSM vise à optimiser le déploiement, l’exploitation et la gestion de chaque ressource informatique, et ce pour chaque utilisateur de l’entreprise, qu’il s’agisse de ses clients, de ses salariés ou de ses partenaires commerciaux.

Les ressources informatiques comprennent tout type de matériel, de logiciel ou d’actif informatique, comme les ordinateurs portables, les applications logicielles, le stockage dans le cloud ou encore les serveurs virtuels. Dans certaines entreprises, le DevOps remplace l’ITSM. Mais souvent, le DevOps et l’ITSM sont considérés comme étant complémentaires : le DevOps vise principalement la rapidité et l’agilité, tandis que l’ITSM se concentre sur la satisfaction client et utilisateur.

Initialement développé par le ministère américain de la Défense, ce modèle s'appliquait aux processus de développement logiciel. Aujourd'hui, le CMMI aide les entreprises de toutes tailles à évaluer la maturité de leurs opérations informatiques et à identifier les domaines à améliorer.

• Alignement stratégique : ce concept consiste à harmoniser les objectifs informatiques avec les besoins commerciaux. En alignant les besoins de l'organisation, les ressources informatiques peuvent être mieux allouées et un cadre de gouvernance adapté peut être mis en place pour atteindre ces objectifs.
• Cybersécurité : les organisations doivent accorder la priorité à la protection la sécurité de leurs informations, c'est-à-dire des données sensibles que leurs clients et partenaires leur confient. Une posture solide en matière de cybersécurité protège ces données et défend l’organisation contre des cyberattaques potentielles.
• Gestion des ressources : les organisations doivent surveiller en continu l'utilisation d'outils et de services coûteux, mais indispensables à la création de valeur, tels que le cloud et le stockage de données. Prioriser la gestion des ressources permet d'identifier les bonnes initiatives informatiques et d'optimiser les systèmes pour une meilleure prise de décision.
• Reprise après sinistre : les organisations doivent disposer d’un plan solide pour faire face aux situations où les choses tournent mal. Une panne catastrophique des serveurs ou des bases de données des organisations peut entraîner une perte de données client ou d’autres propriétés intellectuelles, une augmentation des temps d’arrêt et d’autres interruptions d’activité. En donnant la priorité à la reprise après sinistre, les organisations restent opérationnelles même en cas d'attaque ou de problème avec leurs systèmes.
• Conformité réglementaire : les organisations doivent se conformer aux réglementations nationales et régionales en vigueur pour assurer la conformité de leurs activités. Une stratégie de gouvernance informatique bien structurée permet à une organisation de comprendre les réglementations en vigueur et de suivre les actions et activités pour garantir la conformité, même en cas de modifications des politiques informatiques.

L'IA générative a un impact majeur sur tous les aspects des entreprises modernes, y compris l'informatique. Les organisations pourraient devoir repenser leurs politiques de gouvernance informatique à l'ère de l'IA, notamment si elles envisagent d’utiliser des outils tiers comme ChatGPT ou autres. L’IA générative, dans sa forme actuelle, soulève de nombreuses questions complexes liées à l’utilisation équitable, à la confidentialité des données et à la fiabilité des résultats.

Les organisations adoptant l'IA générative devront sans doute réévaluer leurs politiques de gouvernance informatique pour déterminer si de nouvelles règles sont nécessaires pour encadrer l'utilisation de cette technologie. Par ailleurs, l'IA générative pourrait devenir un outil précieux dans l’élaboration de ces politiques, en proposant des éléments essentiels ou en posant des questions pertinentes à l’équipe chargée de la gouvernance informatique.