Par Christophe Legrenzi

et Claude Salzman

Les véritables enjeux de l'informatique et des systèmes d’information des économies modernes

L’informatique et les télécommunications sont devenues en à peine quelques décennies le premier secteur économique mondial avec un total annuel des dépenses de l'ordre de 4.500 milliards de dollars. Le PIB créé par les technologies de l’information et de la télécommunication (TIC) représente 8,4 % du PIB mondial et représente 5,5 % du total des emplois. L’importance de ce secteur n’est plus à démontrer. Les investissements informatiques s’élèvent à 28 % des investissements productifs aux Etats-Unis. En Europe, le ratio est plus faible. Il varie de 12 % à 22 % (du Portugal à la Grande Bretagne). Il est probable qu'à terme on atteindra les 40 à 50 %. Déjà, dans certains secteurs comme la banque et l'assurance, on avoisine les 50 %. Les TIC sont omniprésentes et représentent, ni plus ni moins, que le premier levier de modernisation et de compétitivité des économies modernes.

Du point de vue micro économique, on n'utilise pas ces ratios mais le traditionnel rapport du budget informatique au chiffre d’affaires de l'entreprise. Il varie selon les secteurs de 1 à 5 %. Il est très souvent utilisé mais il ne permet pas d'apprécier le véritable enjeu des TIC au sein de nos organisations. Il a l'avantage d'attirer l’attention des dirigeants. Mais est-ce le bon indicateur ? Pas forcément, car il tend à se concentrer sur les dépenses et non sur les investissements. On se concentre sur l’outil et on minore l'importance de l'usage qui en est fait et de ses incidences sur l’organisation et les nouvelles manières de travailler.

Cependant tout change. Jadis les cols blancs n'employaient l'outil informatique que quelques pourcents de leur temps de travail. Au début des années 2000, le taux d’utilisation de l’outil informatique a dépassé la barre symbolique des 50 %. Ainsi, près de 30 % de la masse salariale dans l'industrie, et plus de 50 % dans le tertiaire est consommé devant un ordinateur. Or, dans la plupart des économies développées et des organisations modernes, le premier poste de dépenses est justement la masse salariale. Par conséquent, le coût du système d'information qui intègre l’usage s'élève de 10 à 25 % du total des dépenses de fonctionnement des organisations dans l’industrie, et plus de 50 % dans le tertiaire, soit 10 fois plus que le simple budget informatique.

Or, nos systèmes traditionnels de gestion, comme la comptabilité analytique ou le contrôle budgétaire, sont très loin d’appréhender ces enjeux. C’est normal, car ils sont issus du monde industriel et sont conçus pour piloter les activités productives. Ils sont, en grande partie, inadaptés pour appréhender correctement des activités transverses comme les systèmes d'informations. C'est la raison pour laquelle la plupart de nos systèmes de gestion doivent être repensés sous peine de ne pas percevoir et donc maîtriser les enjeux réels liés au traitement de l’information, source nouvelle et majeure de productivité.

Dans ce contexte, il est indispensable de repositionner l’informatique par le haut, celui de la gouvernance. L'approche recommandée repose sur la nécessité d'avoir une vision d'ensemble. Dans ces conditions il ne faut pas se limiter à la seule gouvernance informatique mais de prendre en compte l'ensemble du système d'information et donc privilégier la gouvernance des systèmes d'information.

Le long cheminement de la gouvernance d’entreprise

La gouvernance est un sujet à la mode. On ne compte plus les articles et les ouvrages sur ce thème. Les déclinaisons font florès : gouvernance d’entreprise, gouvernance sociétale, gouvernance humaniste, etc. Mais, malgré cet effet de mode, c'est un sujet sérieux qui mérite réflexion.

La gouvernance se base sur des travaux très anciens qui datent des philosophes pré-socratiques qui se posaient alors une question fondamentale : « quels dispositifs faut-il mettre en place pour assurer que la Cité soit bien gouvernée » ? Platon, au travers de son ouvrage culte « La République » synthétise brillamment tous ces travaux. « La République » est devenue la principale source d’inspiration des régimes démocratiques en inspirant largement au XVIIIème les auteurs des constitutions américaines et françaises.

Ainsi, l’objectif fondamental de la gouvernance est d’assurer qu’un État, un système ou une fonction soient justes, libres et gérés efficacement, à la fois pour les actionnaires, les partenaires et les citoyens. Ceci montre que la gouvernance a un caractère « exogène », c'est-à-dire qu’elle s’adresse en priorité aux instances externes à l’organisation.

Le terme de « Corporate Governance », apparaît pour la première fois en 1932 dans la thèse d’Adolf Berle et de Gardiner Means (« The Modern Corporation and Private Property ») et dans un article de Ronald Coase (« The nature of the firm »). Ils introduisent ce concept à la suite de la crise de 1929 qui est, en grande partie, due à la défaillance des systèmes de contrôle. Ces réflexions ont influencé Franklin D. Roosevelt qui a, dans le cadre du New Deal, renforcé la réglementation boursière en créant en 1934 la « Securities and Exchange Commission (SEC) ».

Soixante dix ans plus tard, les scandales d'Enron, de Worldcom et de Parmalat ont été l’occasion de remettre au goût du jour et de compléter les concepts de gouvernance. En 2002, les Etats-Unis ont promulgué la loi « Sarbanes Oxley » (SOX). Elle vise à rétablir la confiance des investisseurs dans l’économie américaine. Elle engage la responsabilité des gestionnaires, leur éthique, en assurant notamment l’exactitude et l’accessibilité aux informations ainsi que l’indépendance des auditeurs. SOX a été un tournant majeur en imposant pour la première fois un véritable cadre juridique et législatif autour des principes de « bonne gestion institutionnelle » des entreprises, comme le résume le professeur Almiro de Oliveira initiateur du club européen de la gouvernance des systèmes d’information.

La France n’est pas restée sans réaction. En 2003, le Parlement a modifié le Code de Commerce pour donner aux sociétés anonymes une plus grande transparence de fonctionnement grâce à la « Loi sur la Sécurité Financière (LSF) » (loi LSF n°2003-706).

Dans le secteur financier, il faut bien entendu évoquer Bâle II puis Bâle III qui ont pour objectif de limiter les risques pris par les institutions bancaires et financières en fixant un montant minimum de leurs fonds propres. Dans la lignée de Bâle II et III, les assureurs ont mis en place Solvency II. Ces mesures sont positives mais elles n'ont pas été suffisantes pour éviter la crise financière de 2008. Reconnaissons-le, l’informatique est au cœur de cette crise car elle a permis de multiplier de manière déraisonnable les possibilités et les produits qui ont perdu tout contact avec la réalité en se désynchronisant rapidement de toute contre partie matérialisable. Que ce soit le cas d’Enron et consorts ou plus généralement au niveau de la crise financière actuelle, l’explication est en grande partie à chercher sur ce terrain.

L'analyse des grands principes de la gouvernance d’entreprise, que ce soit dans la loi Sarbanes-Oxley, en particulier dans les sections 302 et 404 ([1]), ou la LSF, indique qu'ils ont des conséquences importantes sur les systèmes d’information. En particulier, l’entreprise doit assurer de nouvelles prérogatives à savoir :

-       la transparence et l'accessibilité de l’information,

-       la fiabilité et la sécurité des données,

-       la traçabilité de l’information.

Mais ceci n’en fait pas pour autant une gouvernance informatique. C’est juste la conséquence des règles de gouvernance d’entreprise sur la fonction informatique.

Gouvernance informatique à la dérive

L’application de la gouvernance au domaine informatique est récente. Dans certains cas elle a donné lieu à des dérives très loin des racines et des fondements de la gouvernance. Elle repose souvent sur une vision très endémique de la gouvernance informatique en contradiction totale avec les principes élémentaires. Certains auteurs affirment que la gouvernance se résume à l'application des bonnes pratiques. Cette interprétation doit faire retourner dans leur tombe les concepteurs de la gouvernance, tombe vieille pour certains, de plus de 2.400 ans !

Ainsi, on n’hésite pas à assimiler ITIL (démarche visant à améliorer les processus d'exploitation) ou CMMi (modèle de maturité de projets informatiques) voire ISO 27002 (bonnes pratiques de la sécurité informatique) comme des référentiels permettant d’assurer une bonne gouvernance informatique. Cette approche est fortement contestable et doit être réfutée au plus vite, sous peine d’entraîner des entreprises et leurs Directeurs des Systèmes d’Information (DSI) sur de biens mauvaises voies.

Cette affirmation est une erreur de management de base. On confond allègrement la notion de bonne pratique de gestion qui correspond à une vision « endogène » de l'entreprise, et celle de gouvernance dont l’orientation est fondamentalement une vision « exogène ». La gouvernance n’est pas, et n’a jamais été, synonyme de bonnes pratiques de gestion interne. Il ne s’agit nullement de critiquer l'application des bonnes pratiques qui sont très utiles au demeurant, mais il est évident qu'elles ne répondent pas aux questions que se posent les actionnaires ou les dirigeants d’une entreprise à propos de l’informatique.

Les bonnes pratiques sont, en fait, destinées aux professionnels de l’informatique. Évidemment, l’on retrouve dans ces référentiels quelques recommandations ayant trait à la gouvernance, mais elles restent très minoritaires. Même l’ISACA qui est à l’origine de l’ITGI – IT Governance Institute entretien cette confusion. Dans CobiT, le référentiel d'audit informatique, une analyse montre que moins de 20 % de son contenu est lié à la gouvernance.

En réalité, les acteurs externes à l’informatique, comme les actionnaires et les dirigeants, sont intéressés par des informations d’un autre niveau. Ils ne s'intéressent pas à la nature du gaz employé dans le centre de calcul pour éteindre l’incendie (cf. CobiT). Ils ne se demandent pas comment est organisé le processus de gestion des sauvegardes informatique ou du service desk (cf. ITIL) ou quel est le niveau de maturité du processus de gestion des projets informatiques (cf. CMMi). Ces bonnes pratiques qualifient le niveau de professionnalisation de la fonction informatique, mais ne répond pas aux questions fondamentales que se posent les décideurs et les parties prenantes extérieurs.

La définition de la gouvernance informatique selon l’ITGI

Elle a le mérite d’exister même si elle est encore largement perfectible. Elle est conforme à l’esprit du concept de gouvernance en phase avec cette vision exogène. Il s’agit bel et bien d’assurer aux acteurs externes, direction générale et conseil d’administration notamment, que la fonction informatique est bien gérée. Les cinq piliers de la gouvernance informatique tels que définis par l’ITGI sont :

-       l’alignement stratégique (« IT Strategic Alignment »),

-       la création de Valeur (« IT Value Delivery »),

-       la gestion du risque informatique (« IT Risk Management »),

-       la mesure de performance (« Performance Measurement »),

-       la gestion des ressources (« IT Resource Management » ).

L’apport d’ISO 38500

En 2008 l'ISO a publié la norme ISO 38500 (“Corporate Governance of Information and Communication Technology”). Elle a pour but de fournir des principes directeurs pour toute organisation indépendamment de son secteur d’activité et de sa taille. Ce nouveau standard repose sur un certain nombre de sources dont AS 8015, standard australien, qui propose les six principes suivants :

-       définir les responsabilités (‘establish responsibilities’),

-       planifier l’organisation (‘plan to best support the organization’),

-       acquérir efficacement (‘acquire validly’),

-       être performant (‘ensure performance when required’),

-       assurer la conformité (‘ensure conformance with rules’),

-       assurer la déontologie (‘ensure respect for human factors’).

Que faut-il en conclure ? L’ISO s’est positionné sur un sujet clé pour les DSI comme il l'avait fait par le passé avec les normes ISO 9001, ISO 20000 pour ITIL ou ISO 27000 pour la sécurité. La définition est intéressante car elle reprend certains des piliers fondamentaux de l’ITGI à savoir les aspects stratégiques, la gestion des ressources et le pilotage de la performance mais en plus elle met l'accent sur trois domaines ignorés par l’ITGI et très pertinents à savoir :

-       l’organisation et la définition des rôles et des responsabilités,

-       la déontologie qui est un élément clé de la gouvernance d’entreprise,

-       la conformité aux réglementations.

Par contre elle n’évoque pas la création de valeur si ce n’est au travers de la planification et de la politique d’acquisition.

La gouvernance informatique et la performance d’entreprise

Des travaux de recherche récents publiés fin 2008 (cf. ICIS 2008 - International Conference on Information Systems qui a eu lieu à Paris du 14 au 17 décembre 2008) ont démontré l’importance de la maturité en matière de gouvernance informatique des organisations et le lien existant avec la performance d’entreprise :

-       Les firmes qui possèdent un faible niveau de gouvernance informatique ne retirent pas de bénéfices de leurs investissements informatiques. A contrario, celles qui ont un fort niveau de gouvernance génère deux à trois fois plus de bénéfices que celles qui présentent un score moyen (cf. Gouvernance informatique et rentabilité des investissements système d'information : une étude empirique).

-       Plus le positionnement du DSI est élevé au sein de l’organisation, plus les performances financières sont bonnes. L’explication se trouverait dans la capacité des DSI à amener de nouveaux débats et de nouvelles solutions au-delà d’amener un point de vue différent (cf. Les DSI comptent-ils vraiment? Évaluer la valeur liée à la présence des DSI dans les équipes de direction).

-       La légitimité du DSI influence aussi bien la capacité d’assimilation informatique de l’entreprise que l’optimisation des processus métier (cf. L’aptitude à gérer les innovations techniques et le rôle du DSI).

Penser à la gouvernance des systèmes d'information

Mais au-delà de la gouvernance informatique il ne faut pas perdre de vue que la finalité de l’informatique est d'améliorer la performance et la compétitivité de nos organisations. Il faut donc se préoccuper en priorité de la gouvernance des systèmes d'information. Le but n'est plus d’optimiser l’informatique mais de développer des systèmes d’information performants en mesure d'accroître la capacité de l’entreprise à créer de la valeur ajoutée. Cela se traduit par :

-       une marge d’exploitation plus importante,

-       des retours sur investissement plus élevés,

-       une croissance du montant de la valeur ajoutée créée par salarié,

-       une capacité de l'entreprise à créer le la richesse qui permet d'augmenter le PIB (cercle vertueux de la croissance),

-       une meilleure appréhension des risques.

Il est dans ces conditions indispensable de développer la réflexion sur la gouvernance des systèmes d'information. Pour ce faire, il a été créé en 2007 l'ISG – GSI : Information System Gouvernance – Gouvernance des Systèmes d'Information qui est une association européenne d'experts. Elle a pour mission de :

-       clarifier le périmètre de la gouvernance des systèmes d'information et de préciser les notions de base qui lui sont liées,

-       élaborer des concepts opérationnels permettant de maîtriser l'évolution des systèmes d'information,

-       construire des modèles permettant de mettre en œuvre de manière efficace la gouvernance des systèmes d'information.

Comme on le voit la gouvernance mérite d'être traitée sérieusement. Il est important de ne pas succomber aux théories fantaisistes. Les entreprises se trouvent aujourd’hui à un carrefour important. Les enjeux liés à l’informatique et aux systèmes d’information sont tels qu’une direction générale ne peut pas ignorer le fait qu’une gouvernance informatique et surtout qu’une gouvernance des systèmes d'information est aujourd’hui synonyme de compétitivité et de performance économique supérieure.



[1]- La section 302 fait obligation à l'entreprise de mettre en œuvre un ensemble de procédures de contrôle interne permettant d'assurer une communication financière exacte. Parmi les mesures proposées, une des plus intéressante est l'obligation faite aux dirigeants de signer les comptes de leur entreprise, ce qui n'était pas le cas avant.
La section 404 fait obligation au management et aux auditeurs externes de s'assurer l'adéquation des contrôles internes concernant l'établissement des documents financiers. Ceci concerne directement l'informatique.

Aller au haut