Édition Imprimée
      septembre 2013

Enjeux TI de l’heure

Chaque année, nous vous présentons les principaux enjeux TI. Voici un aperçu des enjeux de 2013.

Par Robert Parker
Illustration : John Ueland

Chaque année depuis septembre 2004, le numéro de CAmagazine sur les technologies de l’information (TI) comprend un article sur les dix principaux enjeux auxquels la profession est confrontée.

Cette année, CPA Canada s’est alliée à l’American Institute of Certified Public Accountants (AICPA) pour sonder les professionnels quant aux initiatives et aux préoccupations des organisations. Parmi les participants canadiens, 25 % travaillent en cabinet, 40 % en entreprise, 15 % dans la fonction publique, 10 % dans les services-conseils et 10 % auprès d’OSBL ou d’autres organisations.

Les répondants devaient classer chaque initiative par ordre de priorité et indiquer leur degré de certitude de voir leur organisation ou celles de leurs clients réaliser cette initiative, sur une échelle de 1 à 5, où « 1 » équivalait à pas du tout certain, et « 5 », à très certain (voir le tableau à la page 24). À chaque rang correspond le pourcentage de répondants qui sont certains ou très certains de voir leur organisation ou celles de leurs clients mener à bien l’initiative.


Gérer et conserver les données
Malgré les différences observées entre sondés canadiens et américains, tous deux ont classé la gestion et la conservation des données (« mégadonnées ») comme première priorité.

Pourtant, seulement 57 % des répondants canadiens sont certains ou très certains de voir leur organisation ou celles de leurs clients réaliser cet objectif.

Avec les mégadonnées, les entreprises disposent de données de sources non traditionnelles : réseaux sociaux, cartes à puce intelligentes ou RFID, GPS, blogues, caméras vidéo, courriel et messagerie vocale. La plupart peuvent leur être utiles, mais ces données n’étant pas structurées, il faut de nouvelles taxonomies et de meilleurs logiciels d’interrogation et d'analyse pour en extirper la valeur.

L’exploitation des mégadonnées a plusieurs avantages : décisions plus éclairées, meilleur service à la clientèle (temps de réponse réduit), meilleure planification grâce à une meilleure compréhension, possibilité d’améliorer et de diversifier les communications clients avec les médias sociaux.

Cependant, la collecte et l’utilisation des données, notamment les renseignements personnels, doivent respecter les lois, règlements, normes sectorielles et obligations contractuelles. Pour régler les problèmes que posent les mégadonnées, les entités doivent élaborer de nouvelles politiques et procédures, sécuriser davantage les renseignements personnels et confidentiels, et adopter des lignes directrices sur le regroupement et l’utilisation des données provenant de sources disparates et parfois non vérifiées.


Sécuriser l’environnement TI
Au Canada, 56 % des répondants sont certains ou très certains de voir leur organisation ou celles de leurs clients réaliser cet objectif.

Les répondants se soucient surtout de la perte, du vol ou de la compromission des appareils mobiles et de la recrudescence des cyberattaques qui pourrait nuire à la marque de même qu’à la réputation de l’organisation.

La sécurité des réseaux et de l’infonuagique inquiète aussi. On ne saurait surestimer l’importance de la sécurité TI, surtout dans des environnements touchés par des changements infrastructurels et par les risques qui en découlent.

Comme l’interconnectivité des appareils n’appartenant pas à l’entreprise est autorisée dans les environnements TI, les stratégies, les politiques, les procédures et les logiciels de gestion des appareils mobiles sont indispensables. Infonuagique, réseaux sociaux et mode PAP (« Prenez votre appareil personnel ») suscitent des problèmes techniques et des défis de gestion : ils accroissent l’empreinte numérique de l’entité et, partant, le risque de cyberattaques.

La perte ou le vol d’appareils mobiles peut entraîner la perte de données sensibles ou confidentielles, la violation d’engagements contractuels ou, lorsque des renseignements personnels sont en cause, une infraction à la loi. Les entreprises doivent gérer l’utilisation des nouvelles technologies selon leur degré de tolérance aux risques qui y sont associés.

Elles doivent protéger les appareils, les réseaux et les serveurs contre les attaques directes, établir des directives et techniques de chiffrement pour les appareils mobiles et pouvoir supprimer à distance les données des appareils perdus ou volés. Plus de 40 % des répondants doutent de pouvoir gérer la sécurité TI : un signal d’alarme pour la direction, les auditeurs et les conseillers.


Favoriser l’aide à la décision
Les principaux enjeux sont l’implantation de logiciels d’analyse efficaces, la surveillance des sources de données, la garantie de l’exactitude, de l’authenticité et de l'intégrité des données, et la création de rapports étoffés sur les stratégies de l’entité ainsi que des données nécessaires à leur réalisation.

On remarque que les rapports recourant aux présentations graphiques gagnent en popularité : ils permettent de mieux visualiser les liens unissant les données provenant de diverses sources et facilitent la prise de décisions. Les systèmes d’aide à la décision facilitent la production de rapports, l’extraction de données et l’intégration avec les progiciels de gestion intégrés.

Bien conçus, ils constituent une solution interactive qui rassemble l’information utile provenant de diverses données brutes, de documents et de connaissances personnelles ou de modèles d’affaires afin de détecter et de résoudre les problèmes et de prendre des décisions.

Par un examen objectif de ces solutions, on s’assure que celles-ci respectent les normes de l’entité, sont réalisables et peuvent être mises en œuvre conformément au profil de risque et aux impératifs financiers de l’entité. Pourtant, seulement 33 % des répondants se sont dits certains de pouvoir mener à bien cette initiative.


Gérer les risques liés aux TI et à la conformité des systèmes
Vu l’utilisation généralisée des TI dans les entreprises, la fonction TI doit aligner sa stratégie de conformité et de gestion des risques sur les objectifs stratégiques de l’organisation afin qu’elle puisse appuyer les activités critiques. Ainsi, elle doit bien cerner les risques et quantifier les probabilités et les incidences de leur occurrence. Elle doit aussi établir des procédures permettant de réduire les probabilités, d’identifier les occurrences et d’intervenir.  

L’utilisation accrue des appareils sans fil accroît les risques que court l’entité. L’infonuagique, les applications mobiles, le mode PAP et les réseaux sociaux comportent tous de nouveaux risques. La direction doit les gérer, évaluer les vulnérabilités et définir et mettre en œuvre des politiques, des procédures et des solutions technologiques pour atténuer les risques.

Il faut réévaluer périodiquement les risques et la capacité de l’entité à les gérer efficacement.  Malgré un degré de certitude global de 57 %, seulement 39 % des répondants au sondage sont certains de l’efficacité de leur surveillance.


Assurer la gouvernance et la gestion des investissements en TI
En plus de leurs initiatives globales de gouvernance, les entités doivent établir une structure de gouvernance TI qui englobe les politiques, les procédures, la formation du personnel et la surveillance de la conformité. L’alignement des stratégies et initiatives TI sur la vision, la mission et les objectifs de l’entité et sur les stratégies et initiatives visant leur mise en œuvre est indispensable à l’implantation d’un bon programme de gouvernance TI.

Le modèle de l’IT Governance Institute comprend l’alignement stratégique, la création de valeur, la gestion des risques, la gestion des ressources et la mesure de la performance. Le programme de gouvernance TI vise la création de valeur pour l’organisation en permettant à la fonction TI de soutenir et de stimuler la performance de l’entité.  

Le degré de certitude global de 38 % indique que la majorité des répondants n’étaient pas certains de leur capacité à gérer leurs investissements en TI. Seulement 29 % estimaient faire une bonne analyse de la valeur (rendement du capital investi, analyse de la valeur acquise) de leur portefeuille d’investissements en TI.

La direction et le conseil doivent déterminer leur rôle dans la gouvernance et la gestion de la fonction TI pour accroître le rendement des investissements en TI.


Assurer la protection des renseignements personnels
La protection des renseignements personnels doit faire partie intégrante des processus fonctionnels et technologiques et non constituer une préoccupation secondaire. Elle va au-delà de la technologie, mais l’utilisation de celle-ci peut faciliter la conformité dans certains secteurs. Ainsi, lorsque le choix et le consentement sont exigés, il faut pouvoir les enregistrer dans les bases de données. Il faut aussi modifier les programmes d’application pour qu’ils puissent, avant d'utiliser les renseignements personnels, vérifier si le consentement a été obtenu. Ensuite, cette utilisation doit être conforme au consentement.

La protection des renseignements personnels se traduit par une restriction d’accès, d’où l’importance de la sécurité, notamment les contrôles d’accès au niveau des systèmes et des applications, le chiffrement, la journalisation, le partage et la divulgation, et la surveillance efficace.    

Il existe d’autres raisons de restreindre l’accès aux renseignements personnels. En février 2013, Global News rapportait que, selon la Cour d’appel de l’Ontario, le droit d’accès des policiers au téléphone d’un individu dépendait de la présence ou non d’un mot de passe : lors d’une arrestation, la police peut jeter un coup d’œil au téléphone de la personne arrêtée s’il n’est pas protégé par un mot de passe; sinon, les enquêteurs doivent obtenir un mandat de perquisition.

Pour les ordinateurs portables, les tablettes, les téléphones intelligents et autres appareils mobiles qui sont perdus ou volés facilement, les renseignements personnels doivent être chiffrés et les organisations doivent pouvoir en effacer le contenu à distance.


Gérer la mise en œuvre des systèmes
Qui dit mise en œuvre des systèmes dit planification, conception, développement, essais, formation, implantation, conversion et, enfin, suivi. Cette mise en œuvre vise notamment à s’assurer que l’organisation s’occupe des bons enjeux ou préoccupations et que les investissements dans le système profitent à l’organisation.

Le degré de certitude global de 47 % montre qu’un peu moins de la moitié des répondants étaient certains de pouvoir gérer le processus de mise en œuvre. Par contre, seulement 26 % étaient certains qu’ils « faisaient une bonne analyse de la valeur RCI, analyse de la valeur acquise, etc. des projets et des systèmes informatiques ».  

Le sondage est formel : de bonnes pratiques de gouvernance TI s’imposent.


Tirer parti des technologies émergentes
En technologie, la nouveauté comporte son lot d’écueils. Cela dit, la direction doit connaître les nouvelles technologies et savoir en évaluer les avantages par rapport aux risques associés à l’état d’adopteur précoce.

Quand l’organisation envisage d’adopter des technologies de pointe (mode PAP, informatique mobile, tablettes et applications) ou des technologies qui ne sont pas encore parvenues à maturité (infonuagique), elle doit évaluer les risques-avantages. Parmi les risques, il y a évidemment ceux liés au changement ou à l’adoption ou à la non-adoption d’une nouvelle technologie.

Les politiques en vigueur sont un autre domaine auquel les entreprises doivent porter une attention accrue. Un récent sondage du SANS Institute a révélé que 49 % des participants trouvaient que leurs politiques régissant les appareils mobiles répondaient à peine à leurs préoccupations.

Dans une récente étude effectuée par Dimensions Data, 67 % des répondants ont affirmé que les investissements annuels dans les appareils mobiles étaient demeurés relativement stables, 9 % ont dit qu’ils avaient diminué de plus de 20 %, et 24 %, qu’ils avaient augmenté de plus de 20 %. Les entreprises doivent réfléchir aux coûts, risques et avantages possibles de l’adoption des technologies émergentes.


Prévenir et combattre la fraude informatique
Alors que la sécurité TI se classe au deuxième rang des préoccupations, la prévention de la fraude figure au neuvième rang.

La prévention de la fraude informatique exige une bonne gestion des risques, une conception et un fonctionnement appropriés des contrôles et un programme efficace de suivi, d’identification, de recours hiérarchique et d’intervention, avec volonté ferme de la direction de bien faire saisir l’importance de cette prévention.

En cas de crise, l’intervention suit normalement une série d’étapes reconnues : planification et préparation, identification de l’incident, stabilisation et maîtrise de la situation, correction de l’incident, communication de l’incident, reprise après l’incident, suivi et rapports. En informatique, quand on répond à une crise, le volet communications est primordial.

Que la fraude soit le fait d’utilisateurs autorisés d’un système ou résulte d’une attaque externe, les parties prenantes — clients, associés, autorités de réglementation, autorités policières, juricomptables et comptables — doivent être tenues au courant.  S’il y a des renseignements personnels en jeu, il faut tenir compte d’autres aspects juridiques et des pratiques exemplaires, et respecter les exigences en matière de notification des atteintes à la protection des données. Bien que non obligatoire, l’offre d’un service gratuit de surveillance du crédit est devenue une pratique courante.


Gérer les fournisseurs de produits et de services
Les entreprises externalisent les processus et fonctions TI depuis l’avènement des grands centres informatiques dans les années 1970. Les technologies ont changé, mais non les concepts. À la base, on retrouve les considérations techniques, les considérations commerciales et, bien sûr, l’administration des contrats.

Sur le plan technique, l’entreprise doit s’assurer que les technologies et les services offerts par le fournisseur respectent ses exigences technologiques, notamment la vitesse de traitement, la bande passante, le temps de disponibilité et la capacité de mémoire. Elle doit également tenir compte de la compatibilité technique ainsi que des connaissances et des compétences du personnel de soutien quant aux applications clés et aux principaux secteurs d’activité.

Sur le plan commercial, l’entreprise doit prendre en compte la stabilité financière du fournisseur, sa stratégie et ses plans de croissance, sa capacité à se mettre à niveau, ses prix et tout autre engagement contractuel. Tout cela doit être consigné dans un contrat en bonne et due forme stipulant les prix des divers services, les engagements en matière de rendement, les ressources supplémentaires, les conditions de remaniement, etc.

L’entreprise doit envisager une stratégie de sortie si le contrat devenait désavantageux ou inapplicable, et faire inscrire dans le contrat des frais, pénalités, procédures et livrables si le fournisseur décidait de se désengager.

Sur le plan administratif, le contrat doit, outre les aspects financiers et de gestion, comporter une entente sur les niveaux de service qui précise les normes, indicateurs et attentes en matière de rendement, ainsi que les technologies et services à fournir et le personnel du centre de dépannage à affecter.

Si le fournisseur est responsable de la sécurité des applications et des données de l’entreprise utilisées dans la prestation du service, le contrat doit stipuler que l’entreprise doit être informée de toute intrusion et recevoir, dans le rapport mensuel de l’entente de services, des renseignements détaillés sur tout problème lié à la sécurité.

Comme le montrent les statistiques sur la performance, la disponibilité doit s’appuyer sur un plan de continuité des activités et un plan antisinistre pour les TI.

Le contrat ou l’entente de services doit obliger le fournisseur à communiquer les résultats de tout test portant sur les procédures de reprise et prévoir des discussions sur les mesures à prendre. Il doit indiquer clairement les responsabilités du fournisseur et de l’entreprise en matière d’initiatives, de calendrier ainsi que de priorités pour la reprise.

Ce contrat doit prévoir la tenue de réunions mensuelles pour les techniciens et les gestionnaires, et stipuler que l’entreprise recevra une copie de tout rapport d’audit de centres informatiques tiers. Vu l’importance de l’externalisation (partielle ou totale) des TI de l’entreprise, les parties contractantes doivent s’engager en toute connaissance de cause pour la réussite de l’entente. D’après le degré de certitude (42 %), la grande majorité des répondants n’étaient pas du tout à l’aise dans ce domaine.

Conclusion
Le classement des initiatives technologiques selon la capacité de l’entité à les mener à bien apporte un éclairage unique.

Les CPA devraient se concentrer sur les initiatives pour lesquelles le degré de certitude exprimé par les répondants était le plus bas.

Les trois premières initiatives soulignent l’importance de données concises, à jour et exactes dans l’environnement d’affaires actuel.

Elles suggèrent également que les entreprises, en cherchant à déchiffrer les secrets enfouis dans toutes les données qu’elles recueillent, ont du mal avec les notions de mégadonnées, d’analyse de données, de système d’aide à la décision et de visualisation.

Le sondage de cette année fait ressortir les domaines dans lesquels les organisations auront besoin d’aide si elles veulent profiter des bienfaits de la technologie.


Robert Parker, MBA, FCA, CPA, CA, CISA, CRISC, CMC, associé à la retraite de Deloitte & Touche, a été président international de l’ISACA. Il siège au Professional Influence and Advocacy Committee de cet organisme et au Comité consultatif sur la gestion de l’information et les technologies de l’information de CPA Canada. Il est membre du conseil du Centre for Information Integrity and Information Systems Assurance de l’Université de Waterloo.




CAmagazine – Numéros archivés

2013 | 2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 20062005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998 | 1997