RECHERCHE

Les dix principaux enjeux TI de 2008

Par Gerald Trites & Andrée Lavigne
Illustration : Lasse Skarbövik

Cette année encore, le CCTI a sondé les CA experts en informatique pour savoir ce qui les préoccupait le plus. Voici leurs réponses...

Le Comité consultatif sur les technologies de l’information (CCTI) de l’Institut Canadien des Comptables Agréés (ICCA) mène un sondage annuel sur les enjeux les plus importants pour la profession dans le domaine des TI. Certains sujets, comme la protection des renseignements personnels, reviennent chaque année, et c’est le cas aussi en 2008. Cependant, l’importance relative de plusieurs enjeux évolue d’un sondage à l’autre. Cette année, les compétences TI ont été souvent mentionnées. Partout au Canada, les entreprises ont de plus en plus de mal à trouver une relève possédant des compétences en audit informatisé, en architecture de données et de sécurité, et en réseautique. Pour de nombreux répondants au sondage, il s’agit d’un grave problème qui constituait même l’enjeu le plus important de notre liste. Nous l’avons donc classé au premier rang des défis en TI au Canada en 2008.

Principaux enjeux de 2008

1. La disponibilité des compétences en informatique
2. La protection des renseignements personnels
3. L’externalisatio
4. La gouvernance en matière de TI
5. La surcharge d’information
6. La valeur des TI
7. La sensibilisation aux contrôles en matière de TI
8. Le réseautage social
9. L’informatique verte
10. Les contrôles d’accès aux données

1. La disponibilité des compétences en informatique

À la fin du XXe siècle, le secteur informatique a connu une croissance sans précédent, particulièrement dans les entreprises fondées sur le Web. L’industrie a produit de nombreux milliardaires, elle a fait beaucoup parler d’elle dans les médias et elle a créé un grand nombre d’emplois. Au début des années 2000, la bulle a éclaté et bon nombre des jeunes entreprises point com ont disparu, emportant beaucoup d’emplois.

Du coup, les jeunes ont cessé de s’inscrire aux programmes d’informatique dans les universités et les cégeps. Le nombre d’étudiants a chuté en vrille et la situation ne s’est pas encore redressée.

Entre-temps, après une légère baisse au lendemain de l’éclatement de la bulle, la demande pour des informaticiens de talent a repris. Selon ComputerWorld, en 2007, la demande de compétences TI au Canada avait augmenté de 17 % en un an.

Ces tendances, aggravées par le départ à la retraite des baby-boomers, annoncent des perturbations en vue, une convergence de facteurs dont l’effet sera exponentiel.

Cette question pourrait avoir des conséquences sérieuses, par exemple une délocalisation accrue. En effet, si les entreprises n’arrivent pas à trouver les compétences nécessaires au Canada, elles iront ailleurs. Plus grave encore, cela pourrait compromettre la capacité d’innovation de notre pays dans l’avenir.

De nombreux commentaires concernaient les implications de cette pénurie et la façon d’y faire face. Beaucoup de répondants ont souligné le besoin d’offrir une meilleure formation en TI, à la fois dans les établissements d’enseignement et dans les entreprises. Certains spécialistes des «contrôles en matière de TI» ont dit que le programme de la profession de CA doit être encore amélioré si nous voulons répondre aux besoins constants du marché dans ce domaine. Par ailleurs, la fidélisation des employés compétents pose également problème.

D’autres répondants ont souligné qu’en raison de la pénurie d’informaticiens compétents, ceux qui travaillent dans des secteurs comme la gestion des risques informatiques doivent s’occuper d’un éventail de questions beaucoup plus vaste que s’ils pouvaient s’adjoindre plus de spécialistes des TI, et ce, parfois au détriment de leurs responsabilités premières.

Certains se demandent d’ailleurs si une seule personne peut s’acquitter efficacement d’un ensemble de tâches aussi variées. Bien sûr, cela soulève également la question de la séparation des tâches, une exigence fondamentale de tout environnement informatique bien contrôlé.

Les répondants ont aussi indiqué que la pénurie d’informaticiens aura un effet important sur la capacité globale de tous les types d’organisation à fournir des services de TI.

2. La protection des renseignements personnels

Les préoccupations concernant la protection des renseignements personnels (PRP) dominent notre sondage depuis ses débuts il y a cinq ans. Les exigences législatives connexes constituent toujours un défi majeur pour les entreprises. En outre, le vol d’identité continue à sévir et il est étroitement lié à la protection des renseignements personnels.

Or, cette année, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE ), révisée le 3 mars 2006, a été mentionnée parce que les révisions ont causé d’autres problèmes qu’il a fallu affronter en 2007. Par exemple, la loi prévoit maintenant des sanctions en cas de manipulation imprudente des données, mais elle ne définit pas en quoi cela consiste.

Les enjeux liés à la PRP sont lourds de conséquences pour la gestion des TI. Il faut protéger l’information conformément aux lois nationales (LPRPDE et autres), et aux lois internationales lorsque les données sont stockées à l’étranger. Une obligation qui peut être d’importance critique, par exemple, lorsqu’il s’agit de données personnelles relatives à des paiements.

La PRP est un enjeu constant en gestion informatique et elle doit être gérée en lien avec les contrôles sur la confidentialité et la sécurité, et les politiques sur la diffusion d’informations à l’extérieur de l’entreprise.

3. L’externalisation

L’externalisation a poursuivi sa croissance au cours de l’année et, comme indiqué plus haut, cette tendance demeurera tant que la recherche de compétences en TI continuera. Cela soulève des questions relatives à l’intégration des opérations TI à partir de divers points du globe, dont la standardisation des processus, le maintien de la qualité, et les différences culturelles et législatives. Cela inclut aussi le risque de perte de données appartenant à l’entreprise, d’où la nécessité d’un niveau élevé de contrôles internes.

Il est parfois difficile, pour la direction et d’autres parties, d’obtenir une assurance à l’égard de l’existence et de l’efficacité de ces contrôles. De plus, une certaine confusion entoure l’application des normes d’audit dans le cas des services fournis par des tiers. Il faut espérer que l’adoption du projet de NCA 402, Facteurs à considérer pour l’audit d’entités faisant appel à une société de services extérieurs, et de norme ISAE 3402, Rapport d’assurance sur les contrôles d’une société de services, stabiliseront cet aspect une fois qu’ils auront remplacé l’actuel chapitre 5970 du Manuel de l’ICCA, «Rapport du vérificateur sur les contrôles d’un organisme de services».

En réaction peut-être à l’extension de leurs systèmes informatiques, certaines entreprises essaient de regrouper ces derniers en centralisant leur gestion. Le regroupement assure de meilleurs contrôles au centre informatique (systèmes d’alimentation sans coupure, contrôles de température et d’humidité, par exemple) et réduit les coûts tout en améliorant la sécurité.

D’autres adoptent la virtualisation, un moyen de centraliser la gestion, la sécurité et les contrôles, indépendamment de l’architecture physique du système. Il s’ensuit que l’externalisation et l’extension des réseaux informatiques qui en résulte mènent à de nouvelles techniques de gestion.

L’externalisation implique la délocalisation et certaines équipes délocalisées éprouvent des problèmes de qualité et de roulement de personnel. Les projets de développement de systèmes dans des environnements multiculturels se heurtent parfois à des problèmes de communication, de qualité et de mise à l’essai. De plus, il peut être difficile pour les prestataires de services délocalisés d’assurer leur conformité à des lois locales (comme la LPRPDE).

4. La gouvernance en matière de TI

La gouvernance a été mentionnée par la majorité des répondants comme un enjeu majeur. Maintenant que les TI sont devenues un élément stratégique important pour la plupart des entreprises, leur gestion doit être structurée en conséquence. Beaucoup d’organisations auraient avantage à nommer un vice-président des TI, et le conseil d’administration ainsi que le comité de vérification devraient accorder plus d’attention à cet aspect. Plusieurs répondants ont suggéré qu’un comité informatique relevant du conseil devrait surveiller le déploiement des TI, les implications stratégiques, les coûts et les risques afférents et, surtout, l’alignement de la stratégie des TI avec celle de l’entreprise.

5. La surcharge d’information

Un facteur qui contribue grandement à la surcharge d’information, selon plusieurs, consiste en l’utilisation et la puissance accrues des appareils mobiles tels que les Blackberry et les cellulaires intelligents. Les employés sont ainsi bombardés d’informations, parfois les mêmes plusieurs fois par jour. De plus, ils se noient dans une mer de messages vocaux, de courriels et de notes instantanées dont ils se passeraient, mais dont ils doivent s’occuper rapidement, car les expéditeurs s’attendent à une réponse immédiate, ce qui augmente le stress et empêche les employés de se déconnecter du travail. Cette question touche les assises mêmes de la culture de l’entreprise et elle devrait être examinée.

6. La valeur des TI

Quelle est la valeur des TI pour une organisation? Question importante à laquelle il est difficile de répondre! Pourtant, en y répondant, l’entreprise peut déterminer si elle tire la valeur attendue de ses systèmes ou, du moins, si elle reçoit une valeur équivalant aux sommes qu’elle y investit. La valeur des TI est donc étroitement liée à la gouvernance. Pour déterminer cette valeur, il faut fixer des indicateurs de performance, mesurer les résultats et évaluer le rendement. Les mesures repères varient selon les entreprises et les secteurs d’activité.

En mettant l’accent sur la valeur des TI, l’entreprise fait en sorte que le service informatique cesse d’être considéré comme un centre de coûts et de services, ce qui est encore le cas dans la plupart des sociétés. L’approche «centre de coûts» occulte la force stratégique importante que revêtent les TI. La valeur des TI réside dans la mesure selon laquelle elles permettent à une organisation de réaliser ses objectifs stratégiques ou elles lui facilitent la tâche.

7. La sensibilisation aux contrôles en matière de TI

La sensibilisation aux contrôles a suscité de nombreux commentaires. Les répondants ont souligné l’importance des contrôles pour la profession et le besoin de normes rigoureuses pour soutenir le travail portant sur les contrôles en matière de TI.

Ils ont indiqué qu’une conscientisation accrue à l’égard de ces contrôles dans l’entreprise s’impose pour qu’ils soient mis en place et puissent fonctionner de façon efficace. Comme l’a déclaré l’un des répondants, ce sont les gens et non les ordinateurs qui assurent l’efficacité des contrôles. Les obligations d’information réglementaires ont augmenté ces dernières années et ce sont les professionnels de la finance, des TI et des systèmes, qui en paient le prix. Leur degré de sensibilisation aux contrôles est plus élevé que jamais, mais ce n’est pas encore le cas dans le reste de l’entreprise.

Un grand nombre d’organisations sont très inquiètes de la qualité de leurs données et elles dépensent beaucoup d’argent pour obtenir une qualité élevée. Or, de bons contrôles sont essentiels à la qualité des données, et ce fait doit être reconnu. En un mot, il faut faire valoir l’importance des contrôles en matière de TI pour l’entreprise, au-delà de ce qu’en tire le service informatique.

8. Le réseautage social

C’est la première année où le réseautage social, c’est-à-dire l’utilisation d’outils tels que Facebook, MySpace ou Linkedin, apparaît dans la liste des enjeux. Il existe de nombreux sites de ce type. Facebook et MySpace sont surtout des forums où les ados et les jeunes dans la vingtaine clavardent, mais ils sont aussi utilisés à des degrés divers par la plupart des groupes d’âge.

Cependant, la jeune génération est en voie de faire entrer rapidement ces outils dans le monde des affaires. Ils y vont pour trouver un emploi et les employeurs font de plus en plus de recherches dans les sites Facebook de candidats potentiels à des fins de recrutement. Le site Linkedin, pour sa part, cible davantage le monde des affaires et permet de maintenir le contact avec des relations de travail. Attirant une clientèle plus posée, il est considéré comme plus sûr que les autres.

Il n’est pas surprenant que le réseautage social ait été mentionné si on pense à la croissance extraordinaire de ce domaine et à la publicité dont il fait l’objet. Les gestionnaires de TI doivent commencer à se préparer aux technologies du Web 2.0, comme les wikis, les blogues et les sites de réseautage social, car elles s’intègrent de plus en plus à la vie sociale des gens, qui s’attendront bientôt à pouvoir les utiliser au travail.

À plusieurs occasions, l’an dernier, des entreprises ou des employés ont été mis dans l’embarras à la suite de la diffusion d’information sur des sites de réseautage social. Il faut donc mettre en place des politiques pour encadrer ces activités.

Certains milieux de travail, comme les organismes du gouvernement de l’Ontario, les ont interdites, mais cela risque de ne pas être une solution viable à long terme. Le réseautage social ne va pas disparaître. Les enjeux qu’il faut examiner sont les politiques sur la PRP, la confidentialité et la gestion de l’information. Il faut élaborer des politiques et informer les employés sur l’utilisation du réseautage social en contexte d’affaires.

Certains organismes (publics, militaires ou de soins de santé, par exemple) doivent absolument définir des politiques claires sur le type d’informations qui peut être divulgué. En outre, il faut établir des politiques sur la responsabilité potentielle liée aux activités sur les sites de réseautage social.

Le réseautage social fait partie du dossier plus vaste de l’utilisation acceptable des technologies. La démarcation entre la vie professionnelle et la vie privée a tendance à s’estomper, maintenant que les gens travaillent de chez eux ou d’ailleurs. Les technologies coûtent de moins en moins cher et la distinction entre les réseaux personnels et professionnels commence à disparaître. C’est un sujet d’une importance stratégique considérable à long terme.

9. L’informatique verte

Il existe peu de domaines qui n’ont pas été touchés par la révolution verte et les TI n’y font pas exception. Le mouvement «pro-informatique verte» milite pour l’adoption de politiques, notamment sur :

• la consommation d’électricité;
• l’élimination du matériel;
• le contrôle des radiations;
• le contrôle de l’impression de documents.

La quantité d’électricité consommée par la plupart des réseaux ne représente qu’une faible part de toute l’électricité utilisée par l’entreprise, mais il faut bien commencer quelque part. Il est bon, du point de vue de la sécurité, de mettre les ordinateurs hors tension quand on ne les utilise pas.

L’élimination du matériel désuet constituait un gros problème depuis des années, mais le prix à la baisse des ordinateurs personnels l’a aggravé. Côté positif, les cartouches des imprimantes à laser sont recyclées depuis plusieurs années.

Les écrans à tube cathodique posent problème, de même que la multitude de vieux téléviseurs qui se retrouvent aux déchets. Les disques durs sont déchiquetés pour des raisons de sécurité, ce qui est un bon moyen de s’en débarrasser. Il y a longtemps que les radiations du matériel informatique posent problème, mais leurs effets sur les utilisateurs sont controversés et n’ont pas été démontrés. Il n’y a pas eu beaucoup de progrès de ce côté.

Globalement, l’informatique verte est un phénomène très nouveau et, vu l’intérêt porté à tout ce qui est écologique, on peut parier que les gestionnaires des TI y accorderont beaucoup plus d’attention sous peu.

10. Les contrôles d’accès aux données

Dans les systèmes informatiques modernes, les données sont mobiles en raison de la prolifération des puissants appareils portatifs et sans fil. Il en découle un changement majeur dans la façon dont on doit considérer les contrôles.

Il y a une différence évidente entre les données mobiles et les données «sédentaires». Ces dernières sont plus faciles à contrôler et elles sont suffisamment protégées par les contrôles classiques dans les centres informatiques et les réseaux traditionnels. La portabilité des données signifie que la sécurité et les contrôles doivent «suivre les données».

Ils doivent être créés en fonction du déplacement des informations. Si celles-ci sont envoyées depuis un réseau vers un Blackberry, les contrôles doivent sécuriser leur transfert. Si elles restent ensuite dans le Blackberry, les contrôles doivent inclure des politiques sur la conservation des données dans les appareils mobiles.

Les unités USB constituent une autre grande source de préoccupation, car elles peuvent contenir des données confidentielles et elles sont faciles à perdre.

L’un des répondants s’est exprimé ainsi : «Les entreprises qui veulent garder le contrôle sur leurs données devront adopter des mesures de contrôle plus rigoureuses pour l’accès à ces données, qu’elles se trouvent dans leur infrastructure ou ailleurs.»

Il existe diverses méthodes pour «pomper» les données provenant d’autres entreprises, notamment par le truchement d’iPods, de clés USB et du stockage en ligne (Microsoft offre actuellement cinq gigaoctets de stockage en ligne gratuit). De grandes quantités de données peuvent être copiées ainsi et les contrôles doivent couvrir toutes les possibilités, du moins celles qui présentent un risque important.

Essentiellement, on parle de gestion de l’infrastructure. Les changements constants apportés à l’infrastructure constituent un problème de longue date, mais celui-ci se trouve exacerbé par la multiplication récente des façons de copier et de stocker des données sur de nouveaux types d’appareil.

Méthodologie et conclusions

Pour la deuxième année consécutive, le CCTI a établi un cadre pour son sondage. Il a identifié dix grands secteurs d’intérêt liés aux TI et a demandé aux répondants de nommer, pour chacun d’entre eux, l’enjeu le plus important qu’il faudrait inclure dans la liste de 2008. Pour chaque secteur d’intérêt lié aux TI, un certain nombre d’enjeux étaient déjà identifiés.

Les répondants devaient en choisir un et dire pourquoi ils le considèrent important, ou ils devaient décrire un enjeu non compris dans la liste qu’ils estiment primordial, et expliquer les raisons de leur choix.

Le CCTI a reçu de nombreuses réponses de personnes d’expérience dans le domaine des TI, grâce à l’aide des correspondants des membres du CCTI, de l’Alliance pour l’excellence en TI de l’ICCA et des membres de la section torontoise de l’ISACA.

Il en résulte une liste des grands enjeux qui montre clairement comment un grand nombre de ces questions sont interreliées et elles devront donc être résolues par une approche coordonnée.

---

Gerald Trites, FCA, CA•CISA/TI, est consultant en systèmes d’information, auteur et chercheur. Il est également membre et consultant technique du CCTI.

Andrée Lavigne, CA, est directrice de projets, Monographies, à l’ICCA.

---

  Droits d’auteur | Protection des renseignements personnels | ICCA