7 erreurs de gouvernance informatique — et comment les éviter

Tout le monde fait des erreurs, mais lorsqu’un DSI se trompe, les conséquences peuvent être dévastatrices pour l’instigateur, ainsi que pour l’ensemble du service informatique et de l’entreprise.

Gouvernance informatique doit être bien défini, clairement compris et guidé par des principes qui reflètent la mission, la vision et la stratégie de votre organisation, conseille Donna Bales, directrice de recherche principale chez Info-Tech Research Group. « Une bonne gouvernance devrait déléguer et habiliter les individus à atteindre des résultats définis qui soutiennent la direction de l’organisation. »

Pourtant, malgré les meilleurs efforts des DSI, il existe un nombre presque infini de pièges en matière de gouvernance informatique. Il est particulièrement important de garder un œil sur les sept erreurs courantes suivantes qui peuvent mordre même le responsable informatique le plus prudent.

1. Ne pas suivre le rythme de l’évolution des priorités de l’entreprise

Les pratiques et les priorités commerciales changent fréquemment pour s’adapter aux technologies émergentes, aux attentes des clients et aux demandes de livraison de produits et de services. « Il est essentiel que la gouvernance change en tandem pour rester alignée et efficace », prévient Bales. « Les organisations ne reconnaissent souvent pas cela [need] et veulent rarement changer la gouvernance une fois qu’elle est en place.

La gouvernance doit être conçu avec l’adaptabilité à l’esprit pour s’assurer que l’informatique reste alignée sur les objectifs de l’entreprise, en apportant continuellement de la valeur tout en protégeant efficacement l’organisation contre les risques potentiels, déclare Bales. « Une gouvernance efficace garantit que les bons investissements technologiques sont effectués au bon moment pour soutenir le changement organisationnel et permettre des résultats commerciaux fructueux », ajoute-t-elle.

La gouvernance devrait faire partie de l’ADN de votre organisation – essentielle pour qu’elle soit unique à votre organisation, dit Bales. « Votre structure de gouvernance doit être dynamique et [designed to] identifier les déclencheurs qui peuvent évoquer une révision, et son efficacité doit être constamment mesurée afin qu’elle reste pertinente.

2. Mauvaise planification des risques

Les DSI lancent fréquemment des initiatives stratégiques sans tenir pleinement compte de tous les risques encourus. « Cela conduit à ajouter la gouvernance après coup au lieu d’utiliser une méthodologie de gouvernance comme partie intégrante d’un programme de gestion des risques », déclare Scott Perry, responsable des services de cryptographie et de confiance numérique chez Schellman, un évaluateur mondial de la cybersécurité. « A ce moment-là, les structures de gouvernance sont bousculées et les mesures d’atténuation des risques perdent leur efficacité. »

Trop souvent, des initiatives critiques sont lancées par les DSI sans comprendre pleinement si le système sera en mesure d’atteindre ses objectifs stratégiques. « Cela peut créer des risques, tels que des vulnérabilités techniques, des contraintes de disponibilité, une mauvaise continuité et le rejet des clients », prévient Perry. Identifier correctement ces risques au début du processus et les traiter avec un processus organisé d’atténuation des risques dans le cadre d’un programme de gouvernance global est essentiel au succès de l’initiative stratégique.

Perry suggère d’instituer un programme de surveillance qui comprend une évaluation des risques, des exigences de gouvernance établies pour atténuer les risques contrôlables et des programmes d’audit interne et externe pour mesurer l’efficacité de la conformité aux exigences de gouvernance. Il recommande également de procéder à une évaluation des risques résiduels pour déterminer toute exposition aux risques restants, ainsi qu’une boucle de rétroaction du programme.

3. Visibilité opérationnelle insuffisante

Alors que la plupart des DSI ont déjà créé un plan de gouvernance complet et détaillé, de nombreux responsables informatiques manquent de la visibilité opérationnelle nécessaire pour évaluer l’acceptation et la pratique par leur organisation de politiques et de mandats de gouvernance spécifiques. Bien que de nombreux DSI pensent que tous les dirigeants d’entreprise ont facilement accès aux politiques de gouvernance informatique et les comprennent, ce n’est vraiment pas le cas, déclare Azadeh Dardras, directrice du Edge Center of Excellence pour la société de conseil en affaires et en informatique Capgemini Americas.

Dans de nombreux cas, l’organisation informatique travaille de manière isolée, explique Dardras. « Si vous ne comprenez pas le contexte et les résultats de vos décisions de gouvernance, votre politique peut avoir un effet négatif sur l’entreprise », prévient-elle. Si la gouvernance informatique n’atteint pas et n’implique pas toutes les parties prenantes essentielles, en particulier les membres de l’équipe travaillant dans les segments d’activité de l’entreprise, des décisions clés peuvent être prises sans considération complète et appropriée. « Cela peut avoir un impact sérieux sur le travail des équipes concernées et, en fin de compte, sur l’entreprise dans son ensemble », note Dardras.

4. Ne pas aligner pleinement la gouvernance informatique sur la gouvernance d’entreprise

Les responsables informatiques s’efforcent souvent de terminer les projets aussi rapidement que possible pour répondre à un besoin métier particulier. « Ce faisant, ils peuvent ne pas impliquer correctement les équipes de gouvernance de leur entreprise, telles que la gestion des risques juridiques, de conformité et d’information », prévient Brian Mannion, directeur juridique et responsable de la protection des données chez Aware, fournisseur de plate-forme de gestion des informations et des données.

Pour éviter un éventuel désalignement de la gouvernance, les DSI doivent encourager leurs représentants informatiques à s’associer régulièrement avec leurs homologues de la gouvernance d’entreprise. Au niveau tactique, les équipes informatiques et de gouvernance d’entreprise doivent régulièrement s’informer mutuellement sur les nouveaux outils, ainsi que sur les fonctionnalités nouvelles et améliorées conçues pour les outils existants. Les équipes doivent également proposer et coordonner des solutions potentielles aux risques identifiés.

Un ensemble standard de contrôles minimaux devrait être identifié et convenu, suggère Mannion. « Pour terminer, [enterprise] les équipes de gouvernance doivent disposer d’un personnel suffisant et axé sur la technologie pour prendre en charge l’informatique », déclare-t-il.

5. Utiliser les méthodes passées pour mesurer les progrès futurs

De nombreuses entreprises continuent de baser leur gouvernance informatique sur les coûts et les performances accord de niveau de service (SLA) métrique. Malheureusement, ces mesures ont tendance à être des indicateurs retardés.

La gouvernance informatique doit se concentrer sur les indicateurs avancés et refléter les investissements et les dépenses de demain, suggère Prashant Kelker, partenaire pour la stratégie et les solutions numériques avec la société mondiale de recherche et de conseil en technologie ISG. Un indicateur avancé est une mesure prédictive. Les principaux indicateurs comprennent la croissance des revenus, les revenus par client, la marge bénéficiaire, le taux de fidélisation des clients et la satisfaction des clients.

6. Traiter les données comme un déchet

Ce n’est un secret pour personne que les données sont devenues un atout très prisé. Pour de nombreuses entreprises axées sur l’information, les données sont leur atout le plus précieux. Pourtant, un nombre surprenant d’organisations continuent de traiter les données comme s’il ne s’agissait que de déchets, affirme Chethan Laxman, responsable de la transformation numérique chez Apexon, une société de services professionnels d’ingénierie numérique de la Silicon Valley.

Alors que les données guident de plus en plus la prise de décision et que les innovations numériques automatisent davantage de processus métier, la valeur et l’intégrité des données deviennent plus importantes. « Toutes les organisations, quelle que soit leur taille ou leur secteur, doivent passer d’une vision des données comme un centre de coûts gênant à un actif fiable, accessible, sécurisé et utilisable », déclare Laxman. « Ayant investi dans les données et l’analyse, les dirigeants d’entreprise et les responsables informatiques doivent désormais assurer de toute urgence une bonne gouvernance afin d’atteindre leurs objectifs d’efficacité opérationnelle, de croissance accrue et d’amélioration de l’expérience client. »

7. Ignorer les menaces internes

L’environnement de travail à distance/hybride, combiné à une rotation record du personnel, a fait des menaces internes un risque énorme pour les organisations de tous types et de toutes tailles.

Bien que tous les types de menaces internes soient potentiellement dangereux, les travailleurs malveillants et les agents internes qui s’associent à des attaquants externes peuvent être particulièrement dommageables. « En fait, les entreprises dépensent en moyenne 644 852 $ pour chaque incident interne », note Kris Lahiri, CSO chez Egnyte, fournisseur de plateformes de sécurité et de gouvernance de contenu.

Lahiri suggère d’adopter une approche holistique de la gouvernance informatique qui comprend la priorisation de la sécurité des données, la mise en œuvre des meilleures pratiques de sécurité réseau et la maximisation de la cyber-éducation des utilisateurs. Il dit qu’il est également important d’avoir une visibilité approfondie sur les données structurées et non structurées afin de construire un programme de gouvernance de contenu efficace. « Si vous ne pouvez pas voir les données, vous ne pouvez pas les gouverner correctement », déclare Lahiri.

Lahiri recommande également de centraliser les vues de données pour comprendre quel contenu est consulté et par qui. « Cela permettra à l’organisation de détecter les activités malveillantes en reconnaissant le comportement et les modèles courants des utilisateurs. »