Plus risqué encore serait d’avoir confiance en ses tableaux de bord mais sans garantie de la pertinence et de la fiabilité des indicateurs, ce qui ne peut mener qu’à des erreurs, voire à des incidents majeurs. Le crash de l’avion Eastern Airlines 401 en 1972 en est un exemple frappant : une simple ampoule grillée qui servait à indiquer le bon déploiement du train d’atterrissage a mobilisé tout l’équipage, qui n’a pas pu voir à temps l’alarme qui indiquait la baisse d’altitude drastique de l’avion. L’avion s’écrase quelques minutes plus tard.

Comment repenser sa base d’indicateurs pour rendre ses tableaux de bord performants et fiables ?  

Les tableaux de bord, KRI, KCI, quézako ?

Le tableau de bord est un outil de synthèse et de présentation. Il permet de mettre en avant les tendances clés d’un périmètre pour éclairer la prise de décision. C’est un véritable outil fédérateur pour fluidifier la gouvernance et destiné à tous (et pas seulement au RSSI). C’est pourquoi nous parlons de tableaux de bord au pluriel. Chaque instance est définie par un périmètre unique, où sont spécifiés : les destinataires et leurs enjeux, la fréquence de revue, la gouvernance associée, les indicateurs, leurs méthodes de calcul et leur source, etc.

Les tableaux de bord définis correctement permettent alors de répondre aux enjeux métiers des acteurs concernés. Une segmentation en trois niveaux permet de résumer tous les types de besoins dans une organisation :

Figure 1 : Typologie des tableaux de bord cyber : usages et objectifs

Un indicateur, quant à lui, est une mesure collectée qui est contextualisée et qui permet d’aider à la prise de décision. Il est mis en place pour répondre à un besoin clairement identifié par un ou plusieurs métiers. Selon la finalité de la mesure, trois types d’indicateurs peuvent être définis :

1. KPI (Key Performance Indicator): mesure la performance d’un service, d’une équipe ou d’un plan stratégique. Ils sont liés à des objectifs stratégiques pour mesurer leur efficacité (exemple : capacité de rétention des talents cyber sur l’année).
2. KRI (Key Risk Indicator) : apprécie un risque redouté, quantifiant sa vraisemblance et/ou son impact à un instant donné. Indispensables pour accepter ou refuser un risque, ils permettent également de vérifier sa maîtrise dans le temps (exemple : nombre d’identifiants professionnels compromis – account take over).
3. KCI (Key Compliance Indicator): mesure un taux de conformité par rapport à un référentiel (PSSI, NIST, etc.). Ils évaluent la maturité de l’organisme au regard dudit référentiel à un instant donné (exemple : % de politiques actualisées depuis moins d’un an).

Comment rendre un tableau de bord performant ?

Un tableau de bord performant permet de transmettre des messages autoporteurs aux destinataires. Pour le construire, il faut construire minutieusement des indicateurs fiables, performants et minimiser leur nombre. Ces derniers sont définis en faisant un compromis entre :

• sa pertinence (finalité de traitement, soit la capacité à déclencher une discussion) ;
• son coût de calcul (temps de collecte, temps d’interprétation) ;
• et sa maintenabilité dans le temps (durabilité des sources des données).

Prenons un exemple pour chercher à évaluer l’efficacité des mesures « security-by-design » du processus ISP. Un indicateur pertinent pourrait être : « taux de validation du PV de sécurité à la première itération par périmètre et criticité des projets ». Il est déjà viable opérationnellement : le processus d’homologation fournit la donnée simple d’interprétation (valeurs binaires). Il est pertinent (répondant à un enjeu clairement identifié), peut être facilement calculable si les processus sont bien mis en place (caractéristique dépendant de la qualité de la remontée d’information) et durable (le processus d’homologation garanti des données fiables dans le temps).

Un socle d’indicateur défaillant néglige généralement l’un des trois critères cités précédemment. Cela se vérifie sur le terrain : il est courant d’observer des agglomérats d’indicateurs, hérités par tradition sans réelle finalité ou répondant à un besoin révolu, ou bien des indicateurs nécessitant une collecte chronophage qui génère des frustrations dans les équipes. Ces écarts peuvent s’expliquer par un passif construit au fil de l’eau, sans y accorder une grande importance avec une absence de revues.

Pour y remédier, l’existant doit être assaini et complété avec des indicateurs performants de manière périodique (méthodologie détaillée dans la partie 3.1) : le pilotage des indicateurs en lui-même est un enjeu tout aussi important que les autres. Il doit donc être suivi comme tel par un responsable dédié dans l’équipe de gouvernance du RSSI et par des indicateurs de pilotage dédiés (% des indicateurs définis avec une méthode de calcul approuvée, % d’indicateurs complètement automatisés, etc.). C’est avec cette gouvernance centrale que des compromis peuvent être trouvés pour minimiser le nombre d’indicateurs : une dizaine par périmètre / programme est un ordre de grandeur qui fonctionne généralement bien.

Augmenter l’engagement des équipes pour avoir des données plus exploitables

Ce n’est pas nouveau : faire accepter un changement et des nouveaux outils est toujours un sujet épineux, notamment pour les RSSI. Complexité de l’environnement, manque de dialogue entre les équipes cyber ou entre les métiers, outils inadaptés, données collectées inutiles ou non analysées… les raisons ne manquent pas pour expliquer le manque d’engagement des équipes. Pour y arriver, deux axes sont à retenir :

1. Rendre ses collaborateurs actifs dans le cycle de vie de l’indicateur ;
2. Faciliter la remontée d’indicateur avec l’autonomisation pour minimiser leur charge de travail.

Rendre ses collaborateurs acteurs tout au long du cycle de vie de l’indicateur

La complexité organisationnelle des équipes et générer un engagement local sont les premiers défis qui doivent être résolus avant de déployer un tableau de bord : la maille de la collecte d’information nécessite de faire dialoguer des métiers qui n’ont pas l’habitude de travailler ensemble (finance, risque IT, stratégie, direction de programme, etc.). Impliquer durablement vos équipes opérationnelles est vital pour fiabiliser le processus de collecte et de remontée d’indicateurs. Plus spécifiquement, cela permet de :

• Définir des indicateurs plus proches de la réalité, pour lever des points de blocage (donnée non disponible, problème de communication, etc.) ;
• Adresser plus précisément les besoins opérationnels: il est nécessaire de rendre les équipes intéressées par les résultats du projet (i.e. s’assurer qu’ils aient des retombées concrètes dans leur travail) ;
• Faire accepter le changement plus simplement pour gagner en fiabilité sur le long terme : leur implication passe par une bonne compréhension de la finalité des indicateurs collectés.

Il est nécessaire d’impliquer ses collaborateurs dès le début du processus, et de conserver cette dynamique tout au long du maintien en condition opérationnel de l’indicateur. Des workshops transverses doivent être organisés tout au long du processus ci-après, pour aider à la définition d’indicateurs ou à leur remise en question.

Figure 2 : Cycle de vie de l’indicateur et maintien en condition opérationnelle

Faciliter la collecte et la remontée des informations avec l’automatisation et des outils appropriés

Bien qu’une collecte manuelle apporte une flexibilité pour tester et éprouver les nouveaux indicateurs, une collecte (semi) automatisée augmente la productivité des équipes et fournit des données plus fiables.

Selon la nature des données, leur volatilité, leur format ou selon la difficulté de maintenance, il n’est pas toujours rentable de tout automatiser. Surtout qu’il est assez coûteux d’automatiser le processus de collecte et de reporting. Il faut en moyenne une année complète pour y arriver ! Par conséquent, délimiter le périmètre d’automatisation est un prérequis avant de commencer le projet.

Pour faire passer à l’échelle et automatiser un spectre plus large d’indicateurs, une meilleure culture d’entreprise autour de la donnée doit être mise en place. C’est avec des données organisées, référencées, standardisées qu’il est possible de réduire le coût de l’automatisation. Comment ? Il faut :

1. Définir une vision et des objectifs dans l’organisation pour contrôler, référencer et manager la donnée ;
2. Définir une politique et des règles portées par le top management pour réguler l’utilisation et la standardisation des données ;
3. Promouvoir une culture de la donnée auprès des équipes métiers, pour refléter la façon dont les données sont prisées et utilisées ;
4. S’équiper d’outils pour porter les politiques et la stratégie data de l’organisme (Master Data Management, Data catalog, Data lineage, etc.).

Pour devenir « orienté données » (data-driven), les points de blocage ne sont pas technologiques, mais plutôt organisationnels, notamment sur les compétences et la capacité à accepter les changements.

A la clé, l’automatisation rend la collecte des données « mieux vécue » par les collaborateurs, et fiabilise dans le temps les remontées d’indicateurs.

Parler à son exécutif : l’intérêt de limiter les indicateurs

Pourtant sous-exploité pour son côté « marketing », un tableau de bord bien construit est un excellent moyen d’adresser et d’impliquer son Comité Exécutif (COMEX). En 2021, encore 25% des entreprises n’ont jamais sollicité leur COMEX, et seul 30% du marché les impliquent régulièrement.

Le tableau de bord doit être autoporteur (i.e. compréhensible à la première lecture), puisqu’il est voué à être communiqué au plus grand nombre. Au quotidien, le COMEX solutionne des problèmes, accepte ou refuse des risques, veille à la performance budgétaire et à l’efficacité opérationnelle, se soucie de la satisfaction des clients et de l’image publique de l’entreprise, etc. Pour réussir à parler avec son COMEX, le tableau de bord doit porter des messages concis et percutants pour aller à l’essentiel et répondre spécifiquement à leurs enjeux. Pour cela, il est plus utile de mettre en avant des mesures et des solutions concrètes que d’expliquer en profondeur les causes techniques d’un problème (sauf si ce besoin est clairement exprimé).  

Présenter à son management le ratio d’équivalent temps plein (ETP) cyber sur les ETP IT par entité ou le ratio du budget en cyber avec celui de l’IT peuvent être deux approches viables pour informer et prendre des décisions sur les ressources en cybersécurité.

En somme, le choix des indicateurs et leur mise en forme doivent s’adapter au COMEX. Ils doivent :

• Être centrés sur les impacts business potentiels ;
• Être constants dans le temps pour avoir une base d’indicateur stable et faciliter l’appropriation et la compréhension ;
• Avoir une forme autoporteuse pour visualiser l’évolution d’une tendance et son écart avec l’objectif fixé.

Conclusion

Un tableau de bord n’est qu’un outil, qui ne doit pas être considéré comme une fin en soi. En revanche, correctement configuré et défini, c’est certainement la meilleure arme d’un RSSI pour fluidifier la gouvernance cyber.

Pour mettre en place ou mettre à jour son tableau de bord, 4 facteurs de succès sont à retenir :

1. Incrémental: identifier des indicateurs durables est difficile. A l’exception des tableaux de bord destinés aux COMEX, une approche agile est nécessaire pour avoir le temps de se poser les bonnes questions.
2. Inclusif: toutes les équipes doivent être impliquées. L’implication passe par la compréhension de la finalité des données collectées (et des retombées sur leur travail) et aboutit sur une fiabilité renforcée.
3. Evolutif: l’écosystème cyber et ses menaces ne font que croître exponentiellement. Cette volatilité doit rendre l’outil évolutif pour avoir la capacité d’étoffer le socle standard de sécurité avec de nouveaux indicateurs de risque (KRI).
4. Simple: l’essence du tableau de bord est d’être partagé. Par conséquent, il se doit d’être compréhensible à la première lecture. « Keep it simple » pour simplifier la lecture et accélérer l’appropriation.

Cet article Faire de son tableau de bord un véritable outil de pilotage face aux menaces cyber est apparu en premier sur RiskInsight.

Cet article CERT-W Newsletter Février 2021 est apparu en premier sur RiskInsight.

Cet article CERT-W Newsletter Janvier 2021 est apparu en premier sur RiskInsight.

Cet article CERT-W Newsletter Décembre 2020 est apparu en premier sur RiskInsight.

Cet article CERT-W Newsletter Novembre 2020 est apparu en premier sur RiskInsight.

Cet article CERT-W Newsletter Octobre 2020 est apparu en premier sur RiskInsight.

Les indicateurs du mois

Top attack – La compagnie française d’affraitement CMA CGM frappée par une attaque ransomware

Le transporteur français CMA CGM annonce avoir été touché par une attaque de type ransomware, qui a désactivé son système de réservation et affecté un certain nombre de ses bureaux chinois. Le groupe de cybercriminels RagnarLocker leur aurait demandé de les contacter dans les deux jours « via un chat en direct et de payer la clé de déchiffrement ». CMA CGM avait interrompu, par mesure de précaution, les accès externes à son réseau et à ses applications informatiques afin d’éviter la propagation du logiciel malveillant. Les opérations maritimes et portuaires, quant à elles, se sont poursuivies.

Top exploit – Zerologon: Microsoft signale des attaques

Microsoft annonce avoir détecté des attaques exploitant la faille Zerologon. Plusieurs Proof of Concept ont été publiés en ligne au cours des derniers jours. Le patch corrigeant cette importante vulnérabilité dans NetLogon est disponible depuis le mois d’août. La faille Zerologon, évaluée à une criticité de 10 sur 10 par le CVSS, permet de compromettre les contrôleurs de domaines Windows des entreprises comme Active Directory.

Top leak – Microsoft Bing subit une énorme fuite de 6.5TB de données utilisateur

La société WizCase a découvert un serveur non sécurisé contenant une vaste base de données de journaux de recherches effectuées via l’application officielle Bing. Ce serveur contenait 6,5 To de données, en hausse de 200 Go chaque jour, et était protégé par mot de passe dans le passé, mais ce dernier fut retiré durant la première semaine de septembre, laissant la possibilité à des pirates d’effectuer plusieurs attaques de type Meow.

Veille sur la cybercriminalité

Un rapport du CISA américain dévoile des détails sur les webshells utilisés par les pirates iraniens

L’Agence de Cybersécurité et Sécurité des Infrastructures américaine (CISA) a publié un MAR (Malware Analysis Report) divulguant des détails techniques sur les webshells utilisés par des cybercriminels iraniens. Selon ce rapport, ces pirates, d’un groupe APT encore non nommé, attaquent, à l’aide de plusieurs webshells connus, des entreprises gouvernementales, financières, d’assurance, d’IT et du domaine médical à travers les Etats Unis. Parmi ces malwares, on peut retrouver le ChunkyTuna, Tiny, et China Chopper.

Deux russes inculpés pour avoir dérobé 17 millions de dollars par attaque de phishing

Les autorités américaines ont annoncé des accusations criminelles et des sanctions financières contre deux hommes russes accusés d’avoir volé près de 17 millions de dollars de devises virtuelles lors d’une série d’attaques de phishing en 2017 et 2018 qui ont usurpé des sites Web pour certains des échanges de crypto-monnaie les plus populaires.

Des failles de Google Chrome ouvrent la porte aux attaques

La version 85.0.4183.121 de Google Chrome sur Windows, Mac et Linux corrige 10 vulnérabilités. Selon Google, on retrouve parmi les exploitations les plus graves, le fait qu’un attaquant pourrait exécuter du code arbitraire dans le contexte du navigateur. Les versions de Google Chrome antérieures à 85.0.4183.121 sont concernées par ces failles de sécurité.

Veille sur les vulnérabilités

CVE – 2020 – 1472 – Vulnérabilté dans Microsoft Netlogon

Score CVSS : 10.0 CRITICAL

L’exploitation de cette vulnérabilité peut entraîner une élévation de privilèges sur les contrôleurs de domaine ayant pour conséquence l’accès à l’ensemble des ressources gérées par les domaines Active Directory.

CVE – 2020 – 0922 – Vulnérabilité d’exécution de code a distance dans Microsoft COM pour Windows

Score CVSS : 8.8 HIGH

Il existe une vulnérabilité permettant l’exécution de code à distance quant à la manière dont Microsoft COM pour Windows traite les objets en mémoire. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait exécuter du code arbitraire sur un système cible.

* Component Object Model (COM) est une technique de composants logiciels développée par Microsoft et DEC, Utilisée pour mettre en œuvre OLE et ActiveX, COM est dépassé depuis 2009 par le Framework .NET de Microsoft.

CVE – 2020 – 1380 – Vulnérabilité d’altération de mémoire dans le moteur de script

Score CVSS : 7.5 HIGH

Il existe une vulnérabilité permettant l’exécution de code à distance quant à la manière dont le moteur de script traite les objets en mémoire dans Internet Explorer. Cette vulnérabilité pourrait altérer la mémoire et permettre à un attaquant d’exécuter du code arbitraire dans le contexte de l’utilisateur actuel.

Cet article Revue de l’actualité par le CERT-W – Septembre 2020 est apparu en premier sur RiskInsight.

Commencer par se doter d’indicateurs simples et évolutifs…

À l’heure de mettre en place les premiers indicateurs, les DSI retiennent en général trois axes d’analyse clés. D’abord, ils sont attentifs au niveau de réactivité et à la qualité de réponse de l’architecture aux demandes projet. Ils cherchent également à mesurer le pourcentage de projets qui font appel à l’expertise et à la validation des architectes ainsi qu’à connaître le positionnement de ces derniers sur ces projets : intervention dès la phase de cadrage au lancement de l’étude ou au contraire sollicitation a posteriori lors des dernières étapes du design de l’architecture. Enfin, les DSI sont soucieux du niveau de « qualité » des architectures proposées (taux de panne sur les architectures mises en production, taux de respect des SLA, etc.).

Ces indicateurs tendent à évoluer au fur et à mesure que s’industrialise la fonction. L’idée est justement de valoriser les apports du cadre d’architecture ou encore les efforts de rationalisation des coûts faits par les architectes : taux de réutilisation des composants, taux d’adéquation des architectures aux patterns définis ou encore niveau d’efficacité économique des architectures.

Arrêtons-nous un instant sur ce dernier exemple. Mesurer l’efficacité économique des architectures implique la mise en place ou l’adaptation de modèles budgétaires ad hoc. Or, l’expérience montre que ces modèles sont généralement erronés par rapport aux coûts réels. C’est pourquoi avant d’envisager tout indicateur il est important de répondre à deux questions fondamentales : cet indicateur m’apprend-t-il des choses ? Apporte-t-il  des résultats fiables (vérifiés) ? Une bonne pratique lors de la mise en place de tels indicateurs sera par exemple de respecter la règle « SMART« .

Mesurer l’apport de la fonction architecture sur les principaux enjeux de la DSI

L’architecte se doit de participer activement à la définition des enjeux IT et à la construction des réponses à apporter à ces enjeux. Bien sûr, selon les entreprises, ces enjeux (et par conséquent ce que l’on attend des architectes) peuvent être de natures très diverses : réduction des coûts, accompagnement de la transformation métier, palier technologique majeur ou apport d’innovation IT, etc.

Les indicateurs de performance de la fonction architecture ne doivent donc pas évoluer qu’en fonction du niveau de maturité de cette fonction mais doivent aussi être contextualisés par rapport aux enjeux de la DSI et donc par rapport à la « lettre de mission des architectes ».

Par exemple, dans une DSI principalement centrée sur l’optimisation de sa performance économique, des indicateurs tels que la charge moyenne passée sur chaque projet, le coût des architectures proposées ou le taux de rationalisation des socles applicatifs seront prépondérants. À l’inverse, si l’enjeu majeur de la DSI est la remise en cohérence de l’IT par rapport au métier, on privilégiera des indicateurs de couverture des besoins fonctionnels, de niveau de satisfaction des métiers ou encore d’agilité du SI (délai de réalisation des architectures, etc.).

Piloter et promouvoir la fonction architecture

Trop souvent, les indicateurs de performance de la fonction architecture restent confinés en interne de la cellule et ne sont pas communiqués en dehors. Ils constituent pourtant un formidable outil de communication et devraient systématiquement être utilisés pour promouvoir l’apport de valeur des architectes sur les projets d’une part, et sur la stratégie de la DSI d’autre part.

Hélas, même lorsqu’on se limite à regarder en interne de la fonction architecture, on constate bien souvent que ces indicateurs ne sont utilisés que pour du pilotage opérationnel « de bas niveau » quand ils devraient aider à prendre de la hauteur sur l’amélioration de la fonction. Ils pourraient par exemple être exploités pour réfléchir sur le repositionnement des architectes dans le cycle de vie des projets, sur l’alignement des compétences par rapport aux besoins ou encore sur l’amélioration continue du processus d’architecture.

Juger de la performance d’une fonction architecture, c’est donc d’une part mesurer sa pertinence dans l’accompagnement des projets et d’autre part, confirmer sa plus-value par rapport aux enjeux de l’entreprise. Sans oublier, bien sûr, que mesurer l’apport de la fonction architecture poursuit aussi un but double : aider à son pilotage et à sa promotion auprès de la DSI voire même des Métiers.

Cet article Jugeons de la performance de la fonction architecture ! est apparu en premier sur RiskInsight.

Mais les résultats de ces démarches sont très hétérogènes. Définir des processus n’est pas une fin en soi et il faut continuellement en vanter les apports. Comment gagner en légitimité auprès des opérationnels et du management ? Quel timing adopter pour réussir les déploiements ?

Avancer pas à pas pour atteindre les objectifs

Une énergie considérable est nécessaire pour définir des pratiques idéales, conformes à l’état de l’art et aux besoins. Cet effort est souvent réalisé au détriment d’une réflexion sur l’applicabilité effective des processus. À l’inverse, chercher à adopter une démarche rapide top-down  de transformation des processus peut avoir pour effet de frustrer les opérationnels en les privant d’un temps de compréhension et d’apprentissage.

Par ailleurs, les « bibles » de référentiels de processus sont rarement consultées et souvent complexes à comprendre. Aussi, s’il faut déterminer une cible idéale, il ne faut pas perdre du temps à l’élaborer dans ses moindres détails. Progresser en « gagnant du terrain » est déjà un bon objectif.

Il est donc conseillé d’appliquer 3 règles d’or :

• Définir un socle d’exigences pour lesquelles le management doit être intransigeant.
• Laisser une marge d’adaptabilité aux besoins spécifiques et promouvoir une démarche collaborative d’amélioration continue du processus.
• S’assurer que les processus sont atteignables c’est-à-dire compris, applicables et mesurables.

Le résultat de déploiements de processus se mesure ainsi par l’atteinte d’améliorations concrètes sur le terrain.

Une gestion de projet par exemple n’est pas conçue de façon identique qu’il s’agisse d’infrastructures ou d’applications. Cependant, le socle de pratiques communes peut se limiter à la définition de l’ossature commune du processus ainsi que l’intégration de normes imposées par le contrôle interne ou encore la sécurité. L’application du processus encourage ainsi les travaux transverses et permet aux acteurs de s’assurer de respecter l’ensemble de la règlementation.

Réussir la conduite du changement, c’est aussi s’assurer que les acteurs savent et peuvent faire ce qui est leur est demandé. Aussi, il est essentiel de mener une réflexion parallèle sur le déploiement des bons outils permettant d’appliquer et de suivre le changement. Un outil de gestion de projet et de portefeuille par exemple doit non seulement offrir des opportunités d’amélioration du processus mais aussi agréger des données pour mesurer l’activité de la DSI. Les indicateurs permettent aussi de s’assurer du soutien managérial nécessaire dans la durée.

Poser la gouvernance après les premières évolutions

Cette approche des « petits pas » se fera au détriment de l’impact que peut avoir un grand projet marquant les esprits. Il faut compenser cela par une communication claire et régulière sur les objectifs et les acteurs. Pour ne pas perdre de crédibilité au gré des déploiements qui se suivent et des processus qui ne sont pas définis dans leurs moindres détails, la démarche d’amélioration continue des processus doit être partagée et admise par tous.

L’équipe processus transverse chargée de faire vivre cette transformation dans la durée doit donc affirmer son identité, animer la communauté d’un tissu de contributeurs et intégrer aux travaux les acteurs les plus influents et ceux ayant développé des « outils maison ». Il est d’ailleurs conseillé de commencer par fédérer autour d’un processus concernant plusieurs acteurs sur plusieurs sujets comme la gestion des demandes clients et d’investir dans des moyens de communication à décliner pour chaque déploiement (newsletters, outils collaboratifs, livrets synthétiques imprimés, etc.)

Avec sa montée en notoriété progressive, « l’équipe processus » devient naturellement un centre de services pour les entités ayant besoin d’un appui sur le sujet. Lorsque les premiers déploiements ont fait leurs preuves, son intervention devient naturellement indispensable pour la légitimation de l’ensemble des initiatives et la garantie de prise en compte des aspects transverses.

La démarche processus s’ancre progressivement dans les pratiques. L’élaboration d’un référentiel de processus, d’une cartographie et de normes de formalisation partagées devient alors nécessaire pour maîtriser les transformations et leurs impacts.

Le déploiement de processus communs n’est effectivement pas une fin en soi mais la mise en commun de moyens, de pratiques et d’outils de mesure permet la production d’indicateurs transverses et un pilotage plus fin de l’activité. À ne pas négliger donc.

Cet article Évolution par les processus : quelles clés pour réussir ? est apparu en premier sur RiskInsight.

« Trop nombreux, trop coûteux à suivre, manquant de pertinence » : telles sont les perceptions des DSI sur l’usage des indicateurs pour mesurer la performance d’une prestation d’infogérance.

On note en effet une certaine dérive dans la prolifération des indicateurs mis au contrat pour pouvoir mesurer dans le moindre détail la performance des fournisseurs en oubliant le sens même des indicateurs. Que met-on derrière les indicateurs et en fait-on bon usage ?

1- Les indicateurs visent à aligner la performance des fournisseurs avec les enjeux de la DSI et s’appuient sur 3 principes : A chaque engagement du fournisseur doit correspondre un indicateur d’engagement ;

2- Chaque indicateur est associé à un seuil d’engagement minimum qui répond à un enjeu opérationnel ;

3- Certains indicateurs doivent être associés à un système incitatif d’amélioration continue à travers le calcul de bonus/malus.

Des indicateurs pas toujours pertinents

Le volume d’indicateurs doit être limité : « On ne peut pas tout mesurer ». La multiplication des indicateurs génère une surcharge liée au calcul et au suivi des indicateurs. Somme toute, il ne faut pas définir plus de 10 indicateurs par domaine ou ligne de service.

Par ailleurs, un indicateur doit être vertueux et être en ligne avec une attente de qualité de service. Il doit en outre inciter à une amélioration continue et doit se traduire par une contrainte raisonnable sur le prestataire (pour éviter des comportements non-productifs du prestataire). La « mesure du délai moyen de résolution d’un incident » en est ici un parfait exemple : l’attente opérationnelle est le respect des délais de résolution dans 95% des cas. La mesure du délai moyen de résolution ne met pas en lumière les cas où les délais de résolution sont dépassés et ne permet pas de mesurer la réponse à l’attente. Dans ce cas, mieux vaut préférer la « Mesure de la proportion des incidents où le délai de résolution est respecté ».

Mais tout ne peut pas être mesuré à partir d’indicateurs calculés. La perception globale de la prestation est également à prendre en compte et son appréciation par le pilote de la prestation est nécessaire. La mise en place d’indicateurs globaux qualitatifs permet de mesurer, par exemple, le niveau de réactivité/flexibilité du fournisseur, le niveau d’industrialisation et d’efficacité, le niveau de pilotage de la prestation et le niveau de conseil apporté. Chaque indicateur est une note attribuée selon un barème de notation précis et partagé avec le fournisseur.

Savoir être exigeant vis-à-vis des fournisseurs

Le respect des engagements fournisseurs (des indicateurs fournisseurs au « vert ») ne reflète pas toujours la satisfaction des clients des services délivrés. C’est ce qu’on appelle l’effet « pastèque ». Cette situation se rencontre si les indicateurs définis ne sont pas les bons ou si les niveaux d’engagement ne sont pas suffisants. Au cours de la prestation, il est donc nécessaire de rehausser régulièrement les niveaux d’engagement pour tenir compte de l’évolution des besoins client, des gains d’efficacité du fournisseur et également de l’état de l’art du marché. Cette pratique permettra de maintenir le fournisseur dans une démarche d’amélioration continue.

Appliquer les pénalités ne doit pas être vécu comme une dégradation de la relation

Le pilotage des engagements permet de mesurer l’alignement de la performance du fournisseur avec les enjeux de la DSI. Un autre levier d’amélioration de la performance est la mise en œuvre de système type bonus/malus. Des malus sanctionnent une performance en deçà des engagements et peuvent donner lieu à l’application de pénalités. Des bonus peuvent récompenser des réalisations « hors fourniture de qualité de service » et traduisant une performance au-delà des attentes (amélioration significative de la qualité du code confié, niveau de conseil élevé, etc.). Un bonus peut donner lieu à un avantage pour le fournisseur (exemple : facturation en partie à livraison). Attention cependant : la sur-qualité ne doit pas donner lieu à bonus.

L’une des solutions est de définir un nombre limité d’indicateurs qui seront soumis à pénalités (5 à 6) : seuls les manquements sur les engagements les plus critiques devront être sanctionnés.

Or, très souvent, on constate que les pénalités ne sont pas appliquées et sont négociées à l’amiable entre les opérationnels et les fournisseurs par crainte de dégrader la relation. Les fournisseurs étant très attachés au pilotage de la rentabilité et du chiffre d’affaires de leur contrat, l’application des pénalités est un moyen efficace de mettre en visibilité les difficultés rencontrées et de garantir un traitement au bon niveau.

Finalement, c’est le pilotage et l’ajustement régulier des indicateurs, des niveaux d’engagement et des dispositifs de pénalités qui permettra de trouver un équilibre dans la relation fournisseurs permettant de répondre aux enjeux de la DSI et garantissant une amélioration continue du fournisseur.

Cet article Fait-on bon usage des indicateurs pour piloter la performance des fournisseurs ? est apparu en premier sur RiskInsight.

En quoi investir dans la fonction architecture est aujourd’hui clé ?

La tendance des entreprises à s’appuyer et dépendre toujours plus des outils informatiques entraîne une complexité et une criticité croissantes du SI. Il est devenu indispensable pour la DSI d’en assurer une maîtrise globale, pour en garantir l’efficacité et l’agilité. Dans ce cadre,  la fonction Architecture a  un rôle central à jouer pour garantir cette maîtrise : elle a pour ambition d’améliorer la cohérence du SI et son alignement avec la stratégie de l’entreprise. Rôle clé qui se traduit notamment par une optimisation des processus métiers, une amélioration de la qualité des données, une meilleure maîtrise du SI par la DSI et une meilleure appropriation du SI par les métiers.

Concrètement, quelles sont les armes de l’architecture pour répondre à cet enjeu de maîtrise du SI ?

En premier lieu, je dirais que la fonction architecture a pour ambition de rendre agile le SI. En contribuant à la mise en place de composants réutilisables (techniques ou fonctionnels) et au développement de services d’infrastructure urbanisés, l’architecte  permet le développement rapide de nouvelles fonctionnalités dans le SI. Le SI peut ainsi s’adapter plus rapidement aux changements stratégiques et organisationnels, et la DSI devient  davantage proactive vis-à-vis des métiers.

Parallèlement, l’architecte œuvre à la rationalisation des composants du SI. Il est en effet  essentiel autant que possible de standardiser le  patrimoine applicatif et les flux d’échanges, de mutualiser les applications et les infrastructures et enfin d’augmenter le taux de réutilisation des composants du SI…

Enfin, la fonction architecture permet à l’entreprise d’avoir une vision d’ensemble et prospective du SI, propice à la fois à engendrer des économies substantielles dans les projets (diminution de la complexité des projets, réduction des délais conception/réalisation, réduction des coûts d’exploitation…) mais également indispensable pour réduire les risques (obsolescence des composants par exemple).

Est-ce facile de mesurer les apports de l’architecture ?

Non, et c’est là le souci. La maturité des entreprises est relativement faible en matière de pilotage des apports de la fonction architecture. En moyenne, les entreprises ne mesurent que 3 ou 4 indicateurs.

Déterminer les indicateurs adaptés aux enjeux et au contexte de l’entreprise n’est d’ailleurs pas forcément évident. Quelques règles s’appliquent néanmoins systématiquement :

• Les indicateurs doivent évoluer en fonction de la maturité de la fonction architecture : inutile de mesurer « tous » les indicateurs imaginables !
• Les différentes parties prenantes (DSI et métiers) doivent s’accorder sur les modalités de mise en place et le sens des indicateurs.
• Plus un indicateur est simple, meilleure sera son appropriation. Un indicateur trop compliqué à calculer ne sera pas suivi dans le temps.
• La représentation graphique facilite la communication et donc la prise de décision : n’hésitez pas à utiliser des graphiques facilement compréhensibles.
• La mesure des indicateurs doit faire partie d’un processus d’amélioration. Ce qui importe n’est pas tant la valorisation de l’indicateur mais son évolution dans le temps.

L’architecture, comme de nombreuses fonctions transverses de l’entreprise, est contrainte de légitimer son action pour être pertinente. La communication d’indicateurs appropriés constitue un levier indéniable.

Cet article L’architecture : l’urgence de mesurer son apport ! est apparu en premier sur RiskInsight.