Pour transformer, il faut savoir d’où l’on part…

Avant toute transformation, il est important de définir le point de départ et de partager les constats avec le comité exécutif. L’utilisation de standards internationaux pour s’évaluer est évidemment la base, l’ISO 27001/2 et le NIST CSF sont les deux références internationales : l’une plutôt européenne, l’autre plus anglo-saxonne.

Mais ce qui comptera le plus aux yeux des dirigeants, c’est un benchmark basé sur la posture de leurs concurrents et du marché dans lequel il se situe. A ce titre, nous avons développé chez Wavestone, un outillage spécifique et construit une base de comparaison qui regroupe actuellement plus de 50 grandes organisations, majoritairement internationales et basées en Europe. La qualité de cette base est essentielle pour convaincre les dirigeants, qui lors des debriefings demanderont, avec précision et souvent beaucoup de prise de recul, ce qui est fait ailleurs.

Premier élément clé d’une évaluation : poser les bonnes questions et obtenir des réponses utiles ! Dans une grande organisation, il est complexe d’évaluer finement le niveau de conformité aux règles de sécurité. L’utilisation d’une simple notation, sur une échelle classique de maturité – de 1 à 4 par exemple – atteint rapidement sa limite. Ce que nous avons choisi de faire et qui a fait ses preuves sur le terrain, c’est de répondre aux questions en exprimant un pourcentage de périmètre couvert. Par exemple,  il est possible d’avoir 80% des postes de travail avec un anti-virus simple et 20% avec un outillage moderne type EDR. La même approche est réplicable sur les questions plus organisationnelles, 50% des utilisateurs sensibilisés par l’envoi d’emails, 30% par le suivi d’un webinar et 20% par des séances en présentiel.

Dans l’inconscient collectif, cette phase d’interrogations paraît souvent longue et très consommatrice d’énergie. Elle peut en effet l’être si l’on souhaite un fort niveau de détail, la collecte de preuves ou des vérifications techniques : cela peut être utile lorsque l’organisation a déjà un fort niveau de maturité. Mais au début d’une démarche, une approche plus simple et efficace, typiquement sur une période courte d’un mois avec une charge d’une vingtaine de jours peut être suffisante pour se donner une vision concrète de la situation et suffisamment d’arguments pour obtenir des décisions et lancer le changement.

Durant la phase de préparation, il sera également important d’identifier en amont les attentes du comité exécutif. Echanger avec les membres les plus concernés autour de leurs attentes, recueillir leur avis sur la bonne manière d’aborder le sujet et les priorités de l’organisation sera essentiel pour garantir la pertinence des phases de questionnement et de restitution. Rien de pire que de faire un hors sujet le jour de la restitution !

… Et partager la réalité de la situation

Après la phase de collecte, viendra ensuite l’heure de l’analyse des résultats. Notre retour d’expérience montre qu’il est efficace de combiner plusieurs vues pour donner du sens et obtenir de l’engagement. Les classiques rosaces de conformité à l’ISO ou au NIST sont évidemment des incontournables mais s’avèrent souvent peu efficaces : trop d’axes, trop d’éléments mélangés qui donnent finalement toujours des notes moyennes.

Comme évoqué dans le billet précédent, deux indicateurs feront mouche au début de l’échange : le budget dédié à la cybersécurité et les effectifs mobilisés sur la cybersécurité. L’indicateur de budget est toujours délicat à manipuler (forte variation annuelle et méthode de comptabilisation non homogène), nous préférons souvent utiliser celui des effectifs plus stables et plus fiables). Ensuite, il est selon nous efficace de dérouler l’analyse sur 3 axes :

• Le 1^er, c’est la résistance de l’organisation aux dernières attaques connues. Elément clairement le plus efficace en debriefing avec le comité exécutif, il permet aussi d’attirer l’attention au début de la restitution. Pour réaliser cette vue, nous utilisons les retours opérationnels du CERT-W pour savoir quelles sont les dernières méthodes d’attaques des cybercriminels et nous réalisons une analyse des mesures qui sont concernées.
• Le 2^ème, c’est la posture face au marché, en croisant le niveau de conformité par rapport aux référentiels internationaux (type : « je vise 75% de conformité à l’ISO ») avec l’écart à la moyenne du marché pour l’organisation concernée (« sur la sécurité du poste de travail, je suis 3 points en dessous du marché. Sur la sécurité physique, je suis 2 points au-dessus »). Croiser ces deux axes permet d’identifier les zones prioritaires (celles où vous êtes en dessous des standards internationaux mais aussi en dessous du marché) de celles où il ne faut pas s’acharner (tout le marché est en dessous des référentiels internationaux, mais vous êtes au-dessus de la moyenne du marché).
• Le 3^ème, c’est une vue orientée « acteurs » de la transformation, organisée par les grandes entités qui seront en charge de la transformation (par exemple : au sein de la DSI, le réseau, les postes de travail, les serveurs, au sein de la direction des risques…). Cette vue est très utile pour conclure l’échange car elle met dans l’action et permet de montrer qui va devoir le plus s’investir.

Bien sûr, ces différentes vues peuvent être segmentées en fonction des pays ou des grandes unités organisationnelles pour refléter d’éventuelles disparités ou attentes de la direction.

Dans cette phase de restitution, notre retour d’expérience montre que les comités exécutifs sont de plus en plus sensibles aux sujets liés à la cybersécurité et vont poser des questions très précises et concrètes. Il faut donc s’armer de preuves et d’éléments factuels concernant l’organisation. Avoir à disposition des résultats d’audits récents, de chiffres concrets sur la durée requise pour réussir une intrusion voire même des vidéos de démonstration d’attaques peut faire basculer un comité exécutif qui prendra conscience du risque.

Entamer dès maintenant l’étape 3: la transformation de l’organisation

Décrire la situation, les difficultés et les axes de progression ne doit pas être une fin en soi. Il faut préparer des premiers arguments sur la conduite du changement. Qui doit porter la transformation ? Quelles sont les volumes financiers à prévoir ? Quel planning envisager ? Quel reporting effectuer ? Et surtout quel sponsor dans le comité exécutif pour suivre ce sujet ! Sans être une partie formelle de la restitution, amener ces éléments à la fin de l’échange permet de préparer l’étape suivante et de collecter des premières orientations.

Ces questions sont évidemment très dépendantes de l’organisation mais nous voyons des tendances se dessiner. Aujourd’hui, c’est majoritairement le RSSI au sein de la DSI qui porte la transformation, souvent épaulé par un directeur de programme expérimenté connaissant bien la structure. Concernant les budgets, pour des programmes de remédiation majeurs, les sommes oscillent dans le secteur financier entre 200 et 800 millions d’euros, et dans l’industrie entre 50 et 100 millions. Ces sommes sont engagées usuellement sur des programmes de 2 ou 3 ans et sont suivies par le comité exécutif à l’échelle trimestrielle au lancement puis un rythme semestriel peut être pérenniser.

Pour conclure la session, le plus important reste de définir la prochaine étape. Même si toutes ces restitutions n’amènent pas le lancement de programme d’investissement immédiatement, il peut être utile d’évoquer que la revue des risques prend en compte ces résultats ou proposer la réalisation d’un benchmark à nouveau l’année suivante.

Cet article Créer une relation de confiance avec son comité exécutif : étape 2, concrétiser la posture de l’organisation et expliciter les axes d’actions est apparu en premier sur RiskInsight.

Après avoir réalisé plusieurs dizaines d’interventions auprès de comité exécutif, de comités d’audit ou de conseil d’administration, je souhaitais partager avec vous les étapes essentielles pour faire progresser la relation dans la durée. La première phase de ce voyage devra permettre de créer un premier contact et à sensibiliser le comité exécutif aux enjeux de cybersécurité. Première étape, la sensibilisation ! L’objectif pour ces séances est souvent d’arriver à attirer l’attention pour pouvoir déclencher une réflexion plus approfondie dans l’organisation. Nous verrons plus tard les étapes suivantes : présenter un bilan, obtenir un budget, suivre la progression du niveau de sécurité…

Un pré-requis essentiel, savoir d’où l’on part et avec qui l’on va échanger !

Cela peut apparaitre comme un poncif, mais cet élément est certainement le plus important avant d’aller rencontrer un comité exécutif ou un conseil d’administration. Grâce à sa large couverture médiatique, le sujet de la cybersécurité est souvent déjà présent dans l’esprit des exécutifs. Mais leur degré de connaissance du numérique et leur niveau d’appétence pour le sujet peuvent changer complètement la manière d’aborder le sujet. Faudra-t-il être très didactique (en allant jusqu’à réexpliquer le principe de données, d’applications, si si) ou alors faudra-t-il tout de suite aborder des points complexes comme les dernières attaques observées et leurs méthodologies ? Vous seriez surpris de voir la diversité des niveaux entre les entreprises, mais aussi au sein d’un même COMEX. Et il est nécessaire d’intéresser chacun des acteurs, au prix d’avoir des commentaires peu amènes pendant l’intervention.

Il s’agit donc de bien préparer cette première réunion en échangeant avec d’autres membres du COMEX, leurs adjoints ou avec des personnes familières de cette enceinte pour déterminer le ton à adopter et le niveau du discours à tenir. Evidemment, les règles de fonctionnement devront aussi être connues : est-il courant que les questions soient posées au fil de l’eau ? Peut-on interpeller un membre ? Doit-on évoquer dès le début les sujets relatifs à l’entreprise ? Prévoyez de déminer le terrain en amont ! Et même s’il n’y a pas de recette parfaite, je vous livre ci-dessous les éléments que j’utilise le plus souvent pour faire de ces rencontres des moments utiles et efficaces.

Pour commencer, attirer l’attention en dévoilant les coulisses d’une attaque

Les sujets s’enchaînent rapidement durant les COMEX, les directeurs réfléchissent très très vite, il faut donc très rapidement être dans le concret et donner de la matière à réflexion, du vécu. L’élément que je trouve le plus efficace consiste à présenter une attaque récente, parue dans la presse ou ayant touché le secteur, et en décrypter les enjeux et les coulisses : quelle temporalité ? quelle motivation pour les attaquants ? quelles faiblesses dans l’entreprise ? quelle réaction en interne ? publique ? avec les autorités ? Cela aura pour effet de projeter mentalement les directeurs concernés dans leur rôle s’ils vivaient la même chose. Nous avons la chance chez Wavestone de gérer fréquemment des grandes crises cyber et nous utilisons ces éléments, à la fois sous forme de benchmark mais aussi en les anonymisant ou en accord avec les victimes, pour donner un sens très concret à nos retours d’expérience.

Enchaîner avec une généralisation sur la cybercriminalité

Une attaque, c’est bien mais ça n’explique pas tout ! Il s’agit après avoir zoomé sur un cas de le généraliser en expliquant quels sont les ressorts du fonctionnement de la cybercriminalité. Nous analysons alors les motivations des groupes criminels, leurs organisations, mais aussi et peut être surtout comment ils gagent de l’argent !

Expliquer concrètement où en est l’entreprise

C’est le bon moment pour présenter la posture IT de l’entreprise et son organisation actuelle en terme de sécurité. Il s’agit alors de la présenter simplement, avec des images claires et parlantes : êtes-vous plutôt dans un modèle « château fort » à l’ancienne ? Ou avez-vous déjà ouvert vos portes suite à la transformation numérique et avez-vous adopter un modèle porche de l’aéroport ou la sécurité est renforcée plus on va vers des systèmes critiques ? Cela permettra de concrétiser la situation.

Après cette phase de mobilisation et d’explication, vient naturellement la phase d’interrogation par les membres du comité exécutif. « Mais alors nous, nous en sommes ou face à ce risque de cyberattaque ? ». Face à cette question, soit vous avez la chance d’avoir un bilan de maturité fin et vous pouvez tout de suite le présenter, soit vous pouvez amener des premiers éléments qualitatifs voire quantitatifs partiels et expliquer qu’aujourd’hui vous avez besoin d’avoir plus de visibilité. Les éléments qui parlent sont les derniers rapports d’audits, les derniers incidents, des éléments budgétaires.

 

S’il est difficile au début de la démarche de parler budget et de se comparer car les données manquent, il est possible d’utiliser un indicateur simple et efficace, celui de vos effectifs dédiés à la cybersécurité. Nous disposons d’une base de données sur ce point et nous pouvons rapidement montrer à un COMEX où il en est rien que par sa mobilisation sur le plan RH. C’est simple et efficace pour les convaincre !

Ne pas repartir bredouille

Le risque majeur de cette sensibilisation, c’est que tout se passe bien mais que rien ne bouge ! En effet, vous pouvez avoir un message positif, « merci et rendez-vous dans un an pour une mise à jour », vous serez content mais vous n’aurez pas débloqué pour autant la situation. Il faut alors bien préparer l’étape d’après en indiquant dès cette présentation les principaux points de faiblesses ou de force ressenti et de quelle manière vous souhaiteriez les évaluer de manière plus précise.

En effet la deuxième étape est souvent la réalisation d’un bilan de maturité dédié pour bien savoir comment se positionner ! Si à ce moment, la réunion s’est déroulé, le COMEX intrigué et intéressé par le sujet voudra en savoir plus et donnera un accord de principe. Attention cela ne sera peut-être pas directement un budget, il vous renverra certainement vers le DSI ou le directeur des risques pour l’obtenir, mais vous aurez avec leur accord un levier formidable pour passer à l’étape d’après ! Rendez-vous au prochain épisode.

Cet article Créer une relation de confiance avec son comité exécutif : première étape, la sensibilisation ! est apparu en premier sur RiskInsight.

Parmi les raisons qui ont pu conduire à cette situation, il est possible de recenser notamment le manque de budget ; la difficulté de mobiliser des intervenants aux métiers différents ; la difficulté de montrer des résultats car l’effort doit être porté dans la durée ; les a priori de certains dirigeants : «  la sensibilisation, ça ne sert à rien. »

C’est pourquoi, si l’on veut être capable de placer le traitement du volet humain de la sécurité et donc la sensibilisation à sa juste place, il est indispensable de disposer d’une mesure qui va nous permettre de savoir d’où on part, quel est le chemin parcouru et donc de placer les travaux de sensibilisation dans une démarche d’amélioration continue.

Enfin si l’on veut pouvoir intégrer le processus de sensibilisation dans l’élaboration d’un tableau de bord SSI, il est nécessaire de disposer des bons indicateurs.

Que mesure-t-on ?

Un modèle de maturité

A des fins de benchmark et pour pouvoir se donner des objectifs clairs et réalistes, il peut être utile de pouvoir se positionner et se fixer des objectifs à atteindre au travers d’un modèle de maturité.

C’est pourquoi nous proposons ici un modèle de maturité adapté à la problématique de sensibilisation. La classification ci-dessous illustre les différents niveaux que l’on peut rencontrer quant au développement d’une culture sécurité :

• Niveau 0 : les utilisateurs sont laissés à eux même, aucune consigne particulière ne leur est donnée, seuls les équipements d’infrastructure assurent la sécurité ;
• Niveau 1 : des outils sont mis en place sur l’initiative de l’équipe SSI (charte, affiches…) Aucun retour quant à l’efficacité de ces mesures n’existe, on communique quelques messages en espérant qu’ils seront entendus.
• Niveau 2 : la Direction s’assure que tout le personnel est formé. Elle a délégué à l’équipe SSI le soin d’assurer des actions d’information et de sensibilisation. Des tests sont menés afin de s’assurer que la connaissance des bonnes pratiques est bien diffusée ;
• Niveau 3 : correspond aux caractéristiques du niveau 2 auxquelles on rajoute une communication claire et directe par la direction d’une vision ; des actions sont menées afin de modifier les comportements et des indicateurs sont mis en place et suivis ;
• Niveau 4 : on retrouve les caractéristiques du niveau 3 et : la sécurité est intégrée à chaque processus et fait partie de la culture d’entreprise, chaque manager suit la qualité du travail fourni en regard de la sécurité, les incidents sont analysés et cette analyse donne lieu à une amélioration continue.

Dans notre modèle de maturité, il apparaît clairement que le fait d’apporter une mesure dans la mise en œuvre des campagnes de sensibilisation n’apparaît qu’au niveau 2. Ce n’est qu’à partir de ce niveau qu’on commence à se préoccuper des résultats de ce qui est fait.

Une mesure sur 3 axes

Le niveau de maturité d’une population concernant la sécurité numérique se mesure sur trois axes :

• L’axe sensibilité correspond à la perception que les collaborateurs ont de la sécurité comme étant un sujet important dans l’organisation.
• L’axe connaissances correspond au niveau de connaissance des utilisateurs sur les enjeux, les bonnes pratiques.
• L’axe comportements correspond au niveau de respect, par les utilisateurs, des comportements souhaités.

Plusieurs méthodes existent pour visualiser les mesures obtenues. Une manière classique consiste à représenter sur une figure multi axes les résultats obtenus en pourcentage d’un résultat maximal possible. C’est ce que l’on retrouve dans le schéma suivant.

Figure 1. C’est en développant la sensibilité et les connaissances au travers d’une communication engageante que l’on finit par obtenir les comportements souhaités

La valeur obtenue pour chacun des axes est directement liée à la campagne de mesures qui est faite sur les indicateurs propres à chaque axe. Les graphiques suivants donnent des exemples de ce qui peut être fait en la matière.

Ainsi la mesure des connaissances peuvent se faire selon les thématiques choisies pour les campagnes et regroupant l’ensemble des sujets à traiter.

La mesure de la sensibilité peut se faire sur quelques indicateurs permettant d’objectiver un sujet à priori difficile à évaluer. Ainsi cette mesure peut s’effectuer en évaluant au travers d’un processus d’audit tout ce qui participe à faire du sujet quelque chose d’important et la perception que les collaborateurs en ont.

On définit ensuite, pour chacune des réponses proposées, le nombre par lequel sera incrémenté l’attribut si cette réponse est choisie. Chaque répondant obtient ainsi une note sur cet attribut. On calcule ensuite la moyenne des résultats obtenus que l’on met en regard de la note maximale qu’il est possible d’obtenir.

La mesure des comportements portera sur certaines catégories de comportements a priori plus facilement observables.

Comment mesure-t-on ?

Réalisation d’une enquête physique

Relativement peu usité, la réalisation d’une enquête physique peut avoir l’avantage de permettre de prendre le pouls d’une population au regard de la sécurité de l’information. En effet, au-delà des aspects quantitatifs, le retour effectué par des enquêteurs peuvent, dans ce cas, incorporer des éléments d’ « ambiance » difficile à évaluer par d’autres procédés. En revanche le procédé prend du temps et est couteux.

L’enquête est alors réalisée sur un échantillon représentatif de la population ciblée. L’échantillonnage sera effectué selon la méthode des quotas, c’est-à-dire respectant en proportion les différentes caractéristiques de la population de l’organisation.

Cet état des lieux s’exprime ensuite au travers d’un rapport constitué d’éléments qualitatifs et quantitatifs.

La situation de l’organisation au regard du développement d’une culture sécurité sera rapprochée du modèle de maturité. On tentera également de dégager des axes de progression et de définir des objectifs à atteindre en vue de faire progresser la culture sécurité dans l’organisation.

Mesure en ligne

La réalisation d’une enquête en ligne est un excellent moyen pour réaliser une évaluation de la maturité d’une population au regard des questions de sécurité. Ce procédé permet de cibler la totalité de la population et de rester à un coût de mise en œuvre raisonnable.

Afin de permettre, comme nous l’avons vu, une mesure sur les trois axes de sensibilité, de connaissances et de comportements, une telle enquête doit :

• Être composée d’une série de QCM, traitant des différentes thématiques à couvrir (aspects légaux, organisation, mot de passe, ingénierie sociale…) ;
• Permettre la mesure de la connaissance par un rattachement des questions aux différents sujets à couvrir ;
• Associer les attributs sensibilité, connaissances et comportements aux questions afin de donner une valeur à ces attributs en fonction des réponses choisies par le répondant.

La diffusion de l’enquête pourra également s’appuyer sur un outil permettant d’identifier les niveaux de réponses en fonction d’un profilage particulier de la population cible. Cela permet notamment de mesurer l’impact d’une campagne de sensibilisation en fonction des métiers de l’entreprise.

Des questions sont donc posées en ligne dans le cadre d’une enquête menée sur une période de quelques semaines.

Évaluation des comportements par observation

La finalité des campagnes de sensibilisation étant d’avoir un impact réel sur les comportements, il peut être particulièrement intéressant de mesurer l’évolution dans le temps de certains comportements réels. Il s’agit ici de mesurer ce que font les collaborateurs réellement et non ce qu’ils déclarent ou ce qui transparait dans leur réponse à une enquête. Cela passe par l’observation de ces comportements et la mise en œuvre de tests. On peut ainsi citer, à titre d’exemple :

• Test sur l’utilisation de la messagerie et sur le respect de la politique antivirale par envoi de messages de source inconnue avec une pièce jointe exécutable mais inoffensive et mesure du taux d’ouverture de ces pièces jointes ;
• Test de phishing : envoi d’un message de type phishing mais au contenu inoffensif et permettant de mesurer le taux de clics ;
• Test sur le respect de la politique de création de mot de passe par un test de résistance sur la base de mots de passe ;
• Test sur le respect de la politique de l’utilisation d’Internet par examen des traces et le recensement des urls visitées;
• Etc…

A chacun de ces tests est associé un indicateur qui peut être à chaque fois le taux de bons comportements sur le nombre de comportements observés. Ces indicateurs viennent ensuite enrichir la mesure faite sur l’axe comportements

Rattachement au tableau de bord sécurité

Le traitement du volet humain de la sécurité est un aspect essentiel de toute stratégie sécurité. Ainsi, s’il est élaboré un tableau de bord de la sécurité, il convient d’intégrer la mesure de maturité des collaborateurs de l’entreprise dans son élaboration.

Si ce tableau de bord suit une approche de type tableau de bord équilibré (Balanced Score Card) on doit identifier les Indicateurs Clés d’Objectif (ICO) et les Indicateurs Clés de Performance (ICP) applicables au processus de sensibilisation.

L’objectif de tout processus d’acculturation est, rappelons-le, d’obtenir des comportements conformes aux bonnes pratiques et, par-là, de diminuer le nombre d’incidents trouvant leur origine dans une cause humaine. Il est donc possible de choisir comme ICO :

• Le nombre d’incidents ayant pour origine un défaut de comportement d’un collaborateur, dans la mesure où le processus de gestion des incidents le permet ;
• Le nombre de constatations de défauts de comportements dans le cadre d’un audit ou d’une enquête récurrents portant sur un référentiel constant.

Et comme ICP :

• Les indicateurs choisis pour mesurer la sensibilité ;
• Et, les indicateurs choisis pour mesurer la connaissance.

En conclusion

Il faut inscrire la mesure dans une dynamique

A la question : « Comment intéresser ma Direction Générale aux opérations de sensibilisation ? »

La réponse est : « Donner lui un retour quantifié ! »

La mise en place d’une mesure dans le temps du niveau de maturité du Personnel au regard des questions de sécurité ne peut qu’intéresser une Direction Générale et la motiver à accorder des moyens à des actions dont elle mesure l’impact.

Le processus d’acculturation d’une population est un chantier de longue haleine, seule la mise en place d’une mesure permet de démontrer le chemin parcouru et de se donner des objectifs.

Extrait du livre blanc « Comment mesurer les impacts des campagne de sensibilisation » rédigé par Hapsis en février 2015.

Cet article Comment mesurer l’impact des campagnes de sensibilisation ? est apparu en premier sur RiskInsight.

Le rôle d’architecte se décline sur deux dimensions. L’une, stratégique, qui porte sur le SI à horizon 2 à 5 ans et l’autre,  opérationnelle à horizon 6 à 12 mois, qui se focalise sur un projet SI. L’architecte vise ainsi à mettre en cohérence plusieurs angles de vue (DSI, métiers) selon des timings  différents  et sur toutes les couches du SI (fonctionnelle, informationnelle, applicative, technique). Cette mise en cohérence doit  naturellement être réalisée de manière systématique et industrialisée, c’est-à-dire dans le respect d’un cadre d’architecture et selon une gouvernance appropriée.

Une maturité du marché encore faible, reflet d’un rôle en construction

Chez la plupart des grands comptes, l’architecture d’entreprise a une maturité faible. Toutefois, pour faire face aux nouveaux enjeux des DSI (rationalisation du parc applicatif et de l’IT, recours aux services dans le Cloud pour les domaines support, introduction de nouveaux modes de fonctionnement pour raccourcir les délais de mise en production, etc.) elle tend à se développer de plus en plus.

Quelques pistes pour gagner en maturité

Pour accompagner  ce mouvement, nous recommandons de concentrer  les efforts sur 2 points.

– Profiter des phases d’engagement des grands projets pour permettre aux architectes de décliner les principes directeurs de la transformation du SI et ainsi garantir leur bonne application. L’implication des architectes d’entreprise sur les dossiers de cadrage est nécessaire pour donner aux donneurs d’ordre les bonnes clés d’arbitrage.

– Intégrer au cycle projet les instances de gouvernance qui régissent le processus de définition et de mise en œuvre de l’architecture.  Cela  permet à la fois de peser sur les choix en apportant des solutions pragmatiques et réalistes mais aussi de communiquer sur l’apport de valeur en mettant en cohérence et en perspective l’ensemble des projets d’un domaine.

Il va sans dire que l’architecture d’entreprise gagne aujourd’hui du terrain chez l’ensemble des grands comptes mais peine encore à trouver des moyens à la hauteur des enjeux adressés, comme nous l’avons vu dans un article précédent. Son implantation passe donc par une mise en œuvre pragmatique sur les programmes clés de l’entreprise afin de gagner en légitimité.

Cet article L’architecture d’entreprise : une maturité qui progresse, reflet d’un rôle en construction est apparu en premier sur RiskInsight.

En quoi investir dans la fonction architecture est aujourd’hui clé ?

La tendance des entreprises à s’appuyer et dépendre toujours plus des outils informatiques entraîne une complexité et une criticité croissantes du SI. Il est devenu indispensable pour la DSI d’en assurer une maîtrise globale, pour en garantir l’efficacité et l’agilité. Dans ce cadre,  la fonction Architecture a  un rôle central à jouer pour garantir cette maîtrise : elle a pour ambition d’améliorer la cohérence du SI et son alignement avec la stratégie de l’entreprise. Rôle clé qui se traduit notamment par une optimisation des processus métiers, une amélioration de la qualité des données, une meilleure maîtrise du SI par la DSI et une meilleure appropriation du SI par les métiers.

Concrètement, quelles sont les armes de l’architecture pour répondre à cet enjeu de maîtrise du SI ?

En premier lieu, je dirais que la fonction architecture a pour ambition de rendre agile le SI. En contribuant à la mise en place de composants réutilisables (techniques ou fonctionnels) et au développement de services d’infrastructure urbanisés, l’architecte  permet le développement rapide de nouvelles fonctionnalités dans le SI. Le SI peut ainsi s’adapter plus rapidement aux changements stratégiques et organisationnels, et la DSI devient  davantage proactive vis-à-vis des métiers.

Parallèlement, l’architecte œuvre à la rationalisation des composants du SI. Il est en effet  essentiel autant que possible de standardiser le  patrimoine applicatif et les flux d’échanges, de mutualiser les applications et les infrastructures et enfin d’augmenter le taux de réutilisation des composants du SI…

Enfin, la fonction architecture permet à l’entreprise d’avoir une vision d’ensemble et prospective du SI, propice à la fois à engendrer des économies substantielles dans les projets (diminution de la complexité des projets, réduction des délais conception/réalisation, réduction des coûts d’exploitation…) mais également indispensable pour réduire les risques (obsolescence des composants par exemple).

Est-ce facile de mesurer les apports de l’architecture ?

Non, et c’est là le souci. La maturité des entreprises est relativement faible en matière de pilotage des apports de la fonction architecture. En moyenne, les entreprises ne mesurent que 3 ou 4 indicateurs.

Déterminer les indicateurs adaptés aux enjeux et au contexte de l’entreprise n’est d’ailleurs pas forcément évident. Quelques règles s’appliquent néanmoins systématiquement :

• Les indicateurs doivent évoluer en fonction de la maturité de la fonction architecture : inutile de mesurer « tous » les indicateurs imaginables !
• Les différentes parties prenantes (DSI et métiers) doivent s’accorder sur les modalités de mise en place et le sens des indicateurs.
• Plus un indicateur est simple, meilleure sera son appropriation. Un indicateur trop compliqué à calculer ne sera pas suivi dans le temps.
• La représentation graphique facilite la communication et donc la prise de décision : n’hésitez pas à utiliser des graphiques facilement compréhensibles.
• La mesure des indicateurs doit faire partie d’un processus d’amélioration. Ce qui importe n’est pas tant la valorisation de l’indicateur mais son évolution dans le temps.

L’architecture, comme de nombreuses fonctions transverses de l’entreprise, est contrainte de légitimer son action pour être pertinente. La communication d’indicateurs appropriés constitue un levier indéniable.

Cet article L’architecture : l’urgence de mesurer son apport ! est apparu en premier sur RiskInsight.