Édition Imprimée
      septembre 2009

10 enjeux TI à surveiller

La récession a bousculé l’ordre des priorités en matière de technologies de l’information. Voyez ce qui préoccupe les experts cette année!

Par Gerald Trites
Illustration : Ryan Snook

Bien des choses ont changé depuis l’année dernière. Lorsque le Comité consultatif sur les technologies de l’information (CCTI) de l’ICCA a réalisé sa dernière enquête sur les principaux enjeux TI, l’économie était florissante et la valeur du marché boursier était élevée. De plus, les baby-boomers planifiaient leur retraite. Un an plus tard, l’économie connaît sa pire dégringolade depuis la Grande Crise, le marché boursier a perdu le tiers de sa valeur et plusieurs baby-boomers ont reporté le moment de leur départ à la retraite, sans parler de ceux qui ont été forcés de la prendre. Bien que les enjeux prédominants de la liste de l’année dernière, c’est-à-dire la pénurie de compétences en TI, la protection des renseignements personnels et l’externalisation, soient toujours d’actualité, les deux derniers de ces trois enjeux ne figurent même pas dans la liste des dix priorités de cette année. Ils ont cédé la place à d’autres, comme l’incidence de la récession, les nouvelles exigences réglementaires et le rôle des applications Web 2.0 dans les systèmes des organisations. Cette année, la récession vient en tête de liste.

1. Le maintien de contrôles adéquats pendant la récession
Maintenir un cadre de contrôle adéquat et efficace en période de difficultés économiques pose un défi aux entreprises qui doivent réduire leurs effectifs. Elles disposent de moins d’employés pour exécuter les contrôles et assurer une séparation des tâches.

Un répondant a présenté le problème comme suit : «Je crois que les entreprises qui réduisent leurs coûts ne tiennent pas suffisamment compte de l’incidence que leurs décisions en matière de dotation en personnel ont sur le plan de la gouvernance. Les mises à pied créent des problèmes en matière de séparation des tâches, et les employés qui restent ne comprennent pas toujours l’importance ou la subtilité des contrôles associés aux nouvelles fonctions qui leur sont confiées.» De plus, les entreprises réduisent les dépenses et reportent les investissements en matière d’infrastructures, notamment en ce qui concerne les projets de TI, ce qui accroît le risque d’un financement insuffisant pour les projets déjà approuvés, les projets en cours d’exécution ou les nouveaux projets jugés prioritaires aux fins du maintien de contrôles adéquats et efficaces. Ce risque accru pose le nouveau défi de bien évaluer les risques afin de déterminer comment les entreprises affectent leurs fonds, désormais limités, pour atténuer les risques et réaliser leurs objectifs d’affaires.

2. Le maintien de la sécurité des transferts de données
Le nombre de petits appareils portables (ordinateurs portatifs, téléphones intelligents et BlackBerry) ne cesse d’augmenter dans les organisations, et il est difficile de maintenir une sécurité adéquate des transferts de données.

En outre, on trouve des clés USB ou des cartes médias intégrées non chiffrées ou non protégées par un mot de passe. Ces clés USB peuvent maintenant contenir des programmes exécutables, devenant de véritables petits ordinateurs.

Ces appareils facilitent le transfert des données qui passent ainsi rapidement par différents environnements de contrôle. Par contre, ils intensifient les risques, car les données se retrouvent en plusieurs endroits, certains peut-être non souhaitables. Certaines organisations détiennent des renseignements personnels, reproduits dans diverses parties de leur système et compliquant l’application des lois sur la protection des renseignements personnels. Les médias regorgent d’histoires de pertes d’ordinateurs portables et de BlackBerry contenant des renseignements personnels sur des clients.

En raison des contraintes économiques, certaines entreprises ne peuvent compter sur leurs ressources internes pour intégrer leurs systèmes ou pour protéger suffisamment leurs données. L’absence fréquente de techniques sûres de stockage et de chiffrement de données pour les appareils mobiles accroît les risques pour l’organisation. On doit sensibiliser les employés à la nécessité d’utiliser des mots de passe avec ces appareils. Les répondants ont répété que le chiffrement est nécessaire pour prévenir la perte ou le vol de données, qu’il y ait transfert ou non. Certains sont toutefois préoccupés par le fait que les systèmes de chiffrement pourraient ne pas être assez sûrs ou stables pour qu’on puisse s’y fier. Il y a eu des cas où des entreprises ayant chiffré leurs données n’ont jamais été capables de les déchiffrer par la suite.

Le CCTI a publié récemment un dossier d’information sur la sécurité des données, qui traite des enjeux liés à l’élaboration d’une politique en matière de sécurité axée sur les données, immobiles ou mobiles, et qui met l’accent sur le recours au chiffrement.

Plusieurs répondants s’inquiètent de la perte de données non protégées. «Le vol de données aura une grande incidence sur la confiance du public envers les organisations. Les demandes de rapports d’assurance dans le cadre des échanges entre entreprises augmenteront et les consommateurs voudront de plus en plus savoir quelles données sont recueillies par les détaillants et comment elles sont stockées et utilisées», a dit l’un d’eux.

3. Le manque de gouvernance efficace en matière de TI
La gouvernance en matière de TI figurait en quatrième place sur la liste de l’année dernière. Les inquiétudes exprimées cette année portent notamment sur les éléments suivants :  le manque d’activités efficaces de la gouvernance des TI; la faible concordance entre les TI et la stratégie de l’organisation; la sensibilisation limitée des conseils d’administration à l’égard des enjeux TI.

Ces préoccupations font ressortir la nécessité d’un comité des TI relevant des conseils d’administration, ce que quelques entreprises seulement semblent avoir réalisé. Les conseils sont conscients de l’importance des TI pour les affaires et savent qu’une défaillance dans ce domaine peut causer des torts sérieux à l’entreprise, à sa réputation et à ses bénéfices. Toutefois, selon les répondants, les conseils ne savent pas quels sont les enjeux TI qui doivent retenir leur attention, comme ceux influant sur la capacité de l’organisation à s’acquitter de ses responsabilités au chapitre de la gouvernance.

L’importance des enjeux TI doit être rehaussée au niveau des conseils d’administration pour que les entreprises mettent à profit les TI, au lieu de se contenter de les contrôler comme une fonction de soutien. Il faut prendre davantage conscience que les TI sont un inducteur de valeur de grande importance stratégique, et que la stratégie de TI doit être en accord avec la stratégie globale de l’organisation.

Un répondant a toutefois exprimé une opinion différente quant au manque de concordance des stratégies : «Pendant cette période de difficultés économiques, les entreprises ont eu pour priorité d’améliorer l’efficacité de leurs TI et de veiller à ce que celles-ci soient en phase avec les initiatives générales de réduction des coûts.»

4. La gestion de la surcharge d’informations
Selon plusieurs répondants, les différents outils de communication (courriel, BlackBerry, téléphones intelligents) créent une surcharge d’informations. Les commentaires ont été nombreux sur ce «trait de la vie moderne qui ruine la vie privée». Cet enjeu a été qualifié de «significatif» et «important». On a fait valoir que le tri et le filtrage de toutes ces informations prennent du temps et réduisent la productivité des employés. De plus, la majeure partie des informations qui passent par ces canaux ne sont d’aucune utilité pour l’entreprise.

La surcharge d’informations entraîne des distractions qui empêchent les employés de se concentrer sur les tâches à accomplir. Les employés perdent du temps à retrouver leur concentration après avoir été distraits par des informations non pertinentes. Certaines personnes en viennent à ne porter attention qu’à certaines sources d’informations, laissant tout simplement les autres de côté. Un grand nombre de répondants ont parlé abondamment de la surcharge d’informations, se plaignant que les courriels incessants, les communications internes, les messages BlackBerry et les réseaux sociaux comme Facebook et LinkedIn, et même la télévision et les journaux, contribuent à cette surcharge. Un répondant a cependant fait valoir un autre point de vue : «C’est un faux problème. La surcharge d’informations est réelle, mais vu l’absence de stratégie visant à agencer les différentes plateformes en une seule, au moyen des outils Internet sans fil, tout le monde doit composer avec une surcharge d’informations, alors que l’on pourrait mieux utiliser les protocoles et les outils Internet de réseautage social au sein de la structure d’entreprise. Pourquoi utilisons-nous encore le courriel aujourd’hui? Voyez la génération Internet qui utilise FaceBook pour toutes les formes de gestion et de communication de données (complétées par du texte bien sûr) avec une efficacité tout à fait stupéfiante. Les baby-boomers continuent pourtant de lutter avec la surcharge d’informations parce qu’ils utilisent cinq outils ou systèmes différents de communication au lieu de ne faire appel qu’à un seul système sûr, du genre FaceBook.» Ce commentaire ne manque pas d’intérêt. Nous avons accès à trop de canaux de communication simultanément. Nous sommes bombardés d’informations souvent superflues. Nous devons intégrer nos canaux de communication. S’inspirer de la génération qui a grandi avec Internet semble une avenue logique.

5. L’incidence des IFRS sur les systèmes d’information
La convergence avec les IFRS figure dans la liste des dix enjeux de cette année, car ces normes deviendront obligatoires dans moins de deux ans. Certains pourraient s’en étonner puisque les IFRS sont rarement associées à un enjeu TI. Pourtant, il s’agit bien d’un enjeu TI. Les IFRS exigent que les entreprises obtiennent et gardent à jour des informations qu’elles ne consignaient pas auparavant. Ces nouvelles informations comprennent, par exemple, les valeurs de marché des immobilisations corporelles, des informations suffisantes pour le suivi de la réévaluation des actifs en vertu des IFRS, des informations pour le suivi des taux d’actualisation et des informations au soutien des méthodes de constatation des produits.

Les incidences sur les TI comprennent la saisie et le traitement de ces informations supplémentaires, les modifications des processus d’affaires nécessaires à la mise en œuvre et à la mise en application des nouvelles obligations d’information, et les changements qui en découlent au chapitre du contrôle des données et des processus d’affaires. Le CCTI donne des indications sur cette question cruciale au moyen de balados qu’on peut télécharger à partir de son site Web à www.cica.ca/itac (en anglais seulement).

Certaines entreprises se sont déjà penchées sur cet enjeu. D’autres commencent à y penser. Un certain nombre implanteront de nouveaux systèmes intégrant les nouvelles fonctionnalités. D’autres, malheureusement, se serviront de feuilles de calcul, tenant ainsi deux jeux de livres dont un, sur feuilles de calcul, dépourvu de contrôles adéquats et présentant un risque élevé d’erreur.

Certains répondants déplorent que l’incidence des IFRS soit sous-estimée et traitée comme une simple modification comptable par certains. La plupart estiment qu’il s’agit d’une question hautement prioritaire. L’un d’entre eux a toutefois fait le commentaire suivant : «Pourquoi s’en faire puisque les IFRS touchent principalement les grandes sociétés ouvertes?» Il y a du vrai dans cette réflexion et c’est un aspect que les gens oublient souvent. La plupart des entreprises canadiennes n’ont pas d’obligation publique de rendre compte et pourront adopter une version allégée des PCGR proposée récemment par le Conseil des normes comptables de l’ICCA.

6. L’informatique verte
«Le vert est à la mode», s’exclame un répondant. Un grand nombre de répondants et d’entreprises accordent beaucoup d’importance à la sensibilisation à l’informatique verte. Cette notion va au-delà de la sensibilisation élémentaire aux TI vertes, et englobe plus particulièrement la consommation d’énergie, l’élimination de l’équipement de même que les politiques d’impression. «Les entreprises ont à cœur de joindre la révolution verte, explique un répondant, surtout que les nouvelles recrues et les générations suivantes voient la pensée écologique comme une valeur fondamentale et en tiennent compte dans leur évaluation d’une entreprise.»

Les entreprises doivent intégrer les valeurs écologiques à leurs activités courantes, comme les achats et les ventes en matière de TI, les politiques d’impression ainsi que la consommation d’énergie. L’informatique verte présente toutefois un problème important. Si beaucoup d’entreprises sont conscientes des enjeux, beaucoup d’entre elles ne savent pas ce qu’elles doivent faire. Les répondants indiquent que les clients demandent souvent des conseils sur la façon de cerner les enjeux. La gestion de l’énergie demeure une question complexe. Ce serait une bonne chose si tous les systèmes pouvaient être fermés en période d’utilisation minimale, par exemple la nuit. Mais cela est irréalisable, car les employés utilisent les systèmes à distance à toute heure. En outre, les activités de beaucoup d’entreprises couvrent plusieurs fuseaux horaires.

Par ailleurs, une analyse détaillée de l’utilisation des systèmes peut permettre d’identifier certains sous-systèmes qui peuvent être mis hors tension de temps à autre, mais rares sont les entreprises qui ont amorcé un tel processus. L’informatique verte fera l’objet d’une réglementation plus rigoureuse par les gouvernements à l’avenir. Certaines provinces ont déjà mis en place des règlements sur l’élimination de l’équipement informatique, mais les entreprises doivent bien comprendre ces règlements et les intégrer à leurs processus d’affaires. Ce changement bien réel est nécessaire. «Le risque s’accroît, mais les organisations conservent les mêmes profils et scénarios. Les tendances passées ne serviront pas de modèles pour l’avenir en raison des changements climatiques et du vieillissement des systèmes d’alimentation électrique», relève un répondant.

7. Les normes de sécurité du secteur des cartes de paiement
Un nouvel enjeu a fait son apparition cette année lorsque le Payment Card Industry Standards Council (PCI) a resserré les normes de sécurité pour les commerçants, les sociétés émettrices et les utilisateurs. Les entreprises doivent procéder à des auto-évaluations aux fins du traitement des cartes de crédit et de débit. Ces règles s’accompagnent de coûts de conformité importants que certains commerçants ne peuvent assumer entièrement.

En outre, les incidences des normes du PCI ne sont pas bien comprises par les organisations. L’empressement de ces dernières à accepter les cartes de crédit est dicté par des raisons d’affaires et ne repose souvent sur aucune analyse exhaustive des risques et contrôles. Plusieurs praticiens rapportent qu’ils ont travaillé avec un nombre important de leurs clients sur ces questions et que ceux-ci ont de la difficulté à composer avec les normes du PCI.

8. Les activités malveillantes d’employés mis à pied
Voilà un problème vieux comme le monde appelé à s’aggraver en période de récession : les employés mécontents ou récemment mis à pied pourraient s’adonner à des activités malveillantes. Les dirigeants sont habitués à composer avec ce problème. La méthode, établie de longue date, consiste à mettre à pied les employés à la fin de la journée, à annuler leurs droits d’accès au système pendant l’entrevue de départ et à les raccompagner à la sortie de l’immeuble.

Cette approche est humiliante pour les employés, mais l’expérience a convaincu beaucoup d’entreprises qu’elle était nécessaire, surtout dans les situations plus à risque où des employés ont des droits d’accès très étendus et une connaissance approfondie du système. Les praticiens ayant participé au sondage disent avoir observé des activités malveillantes chez de nombreux clients.

9. Le rôle des applications Web 2.0 dans les systèmes d’information des entreprises
Avec le Web 2.0, Internet devient un réseau d’interaction humaine comprenant le réseautage social, les wikis, les blogues, etc. Le réseautage social, notamment, a soulevé un ensemble de questions très complexes. Certaines entreprises y voient des avantages sur le plan de l’amélioration des communications internes et de la création de communautés axées sur des secteurs d’activité, des besoins et des projets particuliers, mais il s’agit de savoir comment le réseautage social s’intègre aux systèmes d’information d’une organisation et à sa culture. Il y a là clairement un nouveau besoin.

Comme le mentionne un répondant : «Les applications Web 2.0 sont courantes dans les aspects sociaux, personnels ou culturels de la vie des gens, mais il semble y avoir une coupure avec les technologies accessibles dans le cadre du travail. Les entreprises sont plus lentes à adopter les applications Web 2.0. Celles qui mettent plus de temps à les intégrer à leur culture peuvent avoir plus de difficultés que les autres à attirer des employés, perdant des occasions de tirer parti des idées des employés en place.» Selon certains, l’utilisation du réseautage social pourrait transformer l’entreprise d’aujourd’hui en favorisant la collaboration, en réduisant ou en éliminant les cloisonnements et en simplifiant les communications. Malgré son caractère révolutionnaire pour beaucoup d’entreprises, des répondants estiment que le réseautage social est une approche que la génération Internet est susceptible de juger naturelle. Certains répondants s’inquiètent de la gestion du contenu dans les systèmes de réseautage social. Selon eux, le matériel utilisé peut être très aléatoire et représenter le point de vue des individus plutôt que celui de l’entreprise. Un répondant y voit le signe d’un possible conflit intergénérationnel entre les baby-boomers qui ont l’expérience de la prise de décisions et les jeunes qui ont l’expérience des communications par Internet. Certains baby-boomers tiennent à leur univers de communications fermées et centralisées et les plus jeunes sont habitués à une interaction sans entrave. Ce répondant estime que chaque génération peut offrir beaucoup à l’autre : les plus vieux apportent leur expérience et les plus jeunes, de nouveaux moyens de communication et de nouvelles méthodes de travail. Il espère que les entreprises se donneront une orientation fondée sur la collaboration pour tirer parti des apports des deux groupes.

10. La pénurie de compétences en TI
La récession a aggravé la pénurie de compétences en TI qui sévissait déjà depuis quelques années. Des baby-boomers sont partis à la retraite, malgré eux ou de leur plein gré, ou ont été mis à pied, et certains répondants signalent que des compétences très importantes en TI sont parties avec eux.

Même si Internet n’a guère de secrets pour les membres de la jeune génération, ceux-ci mesurent généralement mal les enjeux TI dans un contexte organisationnel ou de gestion. Les entreprises perdent ainsi des compétences en TI et ont de la difficulté à les remplacer. Des répondants ont également signalé qu’en mettant à pied les employés les mieux rémunérés, des entreprises se privent des plus compétents.

L’importance de cet enjeu grandira au cours de la prochaine décennie avec l’accroissement du nombre de départs à la retraite. Une reprise économique n’apportera pas nécessairement la solution, car les entreprises risquent de perdre leurs employés les plus compétents si l’économie s’améliore.

La formation des nouveaux CA ne résout rien. Comme l’indique un répondant : «Les TI ne sont pas le point fort des CA.» Un autre déplore les connaissances insuffisantes de nombreux CA sur la technologie, d’où un risque accru de compréhension inadéquate des risques technologiques. Un autre enfin affirme sans ménagements que son entreprise ne fait appel qu’à des CA chevronnés.

Cela tendrait à indiquer que nos politiques de formation en matière de technologie privent les nouveaux CA d’une part importante de leur marché potentiel.


Gerald Trites, FCA, CA•CISA/TI, est consultant, auteur et chercheur en systèmes d’information. Il est membre et consultant du CCTI.




CAmagazine – Numéros archivés

2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 20062005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998 | 1997