Envue

De la technologie au business

  • Share

Numérisation, facturation électronique, cloud computing, médias sociaux, appareils mobiles… les départements informatiques n’ont jamais été confrontés à une succession aussi rapide de changements, au point de négliger parfois des questions essentielles comme la protection de l’information et la conformité aux exigences légales. Pour relever ces nouveaux défis, il est dans l’intérêt du CIO de se défaire rapidement de son image de technicien, et se concentrer pleinement sur l’essentiel : le business. Trois spécialistes d’EY y détaillent les raisons.

Le contexte dans lequel opèrent les départements informatiques a radicalement changé. Comment cela s’explique-t-il ?
Andy Deprez
: Je distingue deux grandes tendances. Tout d’abord, les tâches informatiques classiques perdent en importance. Ce qui était auparavant le coeur de l’informatique relève aujourd’hui du produit de base que l’on peut aisément soustraiter. Les connaissances techniques pointues ne sont plus aussi pertinentes pour le CIO. Deuxièmement, le contexte économique difficile que nous connaissons incite à privilégier l’optimisation, l’efficacité et l’innovation. Les innombrables évolutions techniques et informatiques peuvent y contribuer. Pensez aux nombreux nouveaux appareils, canaux et applications. Le business souhaite de plus en plus avoir la possibilité d’utiliser ces évolutions au profit des objectifs de l’entreprise. Le CIO est parfois pris de vitesse, et il néglige ainsi des aspects comme la protection de l’information et la conformité à la réglementation. Il est donc temps de redessiner fondamentalement le rôle du CIO.
Bernard Ghigny: Traditionnellement, le CIO était un technicien issu du département informatique. Ce département se profilait alors comme un fournisseur interne et exclusif de solutions informatiques pour l’entreprise, en appui au « coeur d’activité » de l’entreprise. Avec l’essor de nouvelles solutions externes à la fois attrayantes et compréhensibles pour les membres du business – qui ont ainsi nettement gagné en maturité dans le domaine de l’informatique –, le CIO subit une pression croissante de ses utilisateurs. Le business est ainsi tenté d’implémenter ces solutions alternatives « peu coûteuses et flexibles » directement avec des fournisseurs externes. C’en était ainsi fini de l’exclusivité des départements informatiques. Ces derniers ont ainsi dû subir une importante transformation pour redevenir concurrentiels et trouver de nouvelles solutions qui répondent plus adéquatement aux besoins en évolution constante des utilisateurs.

À quoi ressemble le nouveau CIO ?
Deprez:
Le nouveau CIO doit réfléchir à partir des nouveaux besoins de ses clients – qu’ils soient internes ou externes. Ces clients ont énormément gagné en maturité et sont généralement bien informés. Ils ne demandent plus un savoir-faire informatique : ils veulent des solutions qui contribuent à l’optimisation, à l’efficacité, à l’innovation. Le CIO doit travailler de manière proactive et « emballer » les innovations technologiques dans des solutions qui donnent du sens à l’entreprise. De plus, il doit apprendre à communiquer par rapport à ces solutions avec ses collègues managers, à partir de business-cases solides. Le nouveau CIO a une fonction de missionnaire, dans le cadre de laquelle il peut se reposer sur son équipe pour les connaissances techniques et les tâches opérationnelles quotidiennes.
Marc Joostens: Ces nouvelles tâches requièrent un nouveau profil. Idéalement, le CIO contemporain doit être issu des ventes ou de la finance. Une personne qui « sent » le business pourra communiquer de manière plus efficace avec ses collègues d’autres départements. Mais cela reste de la théorie – dans la pratique, il en va souvent autrement.

Tendances

En tant que consultants, vous êtes proches de ce qui se passe sur le terrain. Quelles sont les questions que vous posent vos clients ?
Deprez
: La facturation électronique est l’un des nouveaux services qui suscite un vif intérêt. Nos clients sont généralement assez bien informés des possibilités techniques. Leurs questions portent surtout sur l’aspect coût et le gain d’efficacité. En combien de temps un tel investissement est-il rentabilisé ? Combien d’équivalents temps pleins pouvons-nous économiser ? Ces questions sont révélatrices de la maturité du marché.
Joostens: Le succès de la facturation électronique dépend totalement de son adoption par les clients et fournisseurs. Les points sensibles concernent la protection des données et la conformité avec la législation, surtout au regard de la fiscalité et de la TVA.
Ghigny: Il est important que les autorités ne restent pas à la traîne dans ce domaine. En matière de facturation électronique, le législateur avait imposé l’utilisation de certaines technologies. Heureusement, on constate aujourd’hui un retour en arrière : l’idée que des lois doivent être neutres d’un point de vue technologique pénètre peu à peu les esprits. L’administration doit fixer des règles de base, comme l’obligation d’authenticité, d’intégrité et de confidentialité des données. Toutefois, il reste préférable de laisser le choix final de la technologie aux entreprises.
Joostens: Une autre tendance voit les autorités fiscales recourir de plus en plus aux audits électroniques. Elles étudient alors la conformité à la loi des différents systèmes et processus. Nos clients veulent s’y préparer à temps.

La protection des informations est-elle également un sujet brûlant ?
Deprez
: Nous avons été récemment approchés par une entreprise de production industrielle qui développait une innovation critique. Celle-ci voulait éviter toute fuite d’informations relatives à cette innovation. Les questions pertinentes à se poser seraient alors : comment allons-nous gérer ces informations ? Comment pouvons-nous les protéger ? Nous recevons également des questions de l’industrie pharmaceutique relatives à la protection des informations sensibles, où l’innovation des produits est fondamentale.
Joostens: Nous recevons également de nombreuses sollicitations de ce type de la part du secteur des télécommunications. Les opérateurs ne cessent de déployer de nouvelles technologies réseaux et de nouvelles applications. La protection des données sensibles des clients constitue dans ce cadre une préoccupation fondamentale. Dans ce secteur, la pression est souvent telle que cet aspect est parfois négligé. Récemment, des informations clients confidentielles d’un opérateur ont été publiées. Un tel incident occasionne des dommages irréparables à la réputation de l’entreprise. Nous allons alors adopter un regard proactif en se posant les questions suivantes : qu’est-ce qui est bien protégé ? Qu’est-il possible d’améliorer ? Quelles sont les données sensibles ?
Ghigny: Dans le secteur financier, les banques cherchent à nouveau à réduire les coûts en remplaçant leur réseau d’agences par des canaux électroniques, même si ces nouveaux canaux génèrent d’importants défis en terme de sécurité et de conformité.

Les entreprises gèrent-elles le cloud de manière adulte ?
Ghigny
: Elles ont de plus en plus conscience de l’importance du cloud. Les possibilités sont généralement connues. Les questions sont plutôt du type : qu’allons-nous conserver en interne ? Qu’allonsnous sous-traiter ? Qu’allons-nous envoyer dans le cloud? De nombreuses questions portent sur la sécurité. Des entreprises internationales qui offrent des services en ligne accordent une grande importance à cet aspect. Elles font dès lors très souvent appel aux services de parties indépendantes pour contrôler périodiquement la qualité de leur système de sécurité : en effet, pour ces entreprises, la réputation est fondamentale !
Deprez: Des questions concernant la sécurité de l’information se posent également dans le cadre de l’utilisation des smartphones, des tablettes et des médias sociaux. Ces appareils amènent de nombreux défis pour l’entreprise, confrontée à de réels dangers au niveau de la protection des données.
Joostens: Les managers sont souvent placés devant le fait accompli. Chacun des collaborateurs veut son propre appareil, surtout parmi la jeune génération. Lorsque de nouveaux collaborateurs arrivent dans une entreprise, ils ne demandent même plus s’ils sont autorisés à utiliser tel ou tel appareil. Leur première question est souvent : « Comment puis-je connecter cet appareil au réseau de l’entreprise ? » Nous devons accompagner cette évolution, veiller à ce qu’elle puisse s’accomplir de manière totalement sécurisée. Il en va de même pour l’utilisation des médias sociaux qui se développe de manière de plus en plus évidente.

Nouvelle réalité

Comment le CIO peut-il gérer cette prolifération d’appareils et de canaux de communication ?
Deprez
: Il est en tout cas impossible de s’opposer à la tendance prônant pour chacun de choisir son propre appareil. Nous recommandons surtout d’informer les collaborateurs sur une utilisation responsable et de les informer sur les risques. Il est plus intéressant de se focaliser sur la recherche d’attitudes positives que de rechercher la protection en imposant des interdits, qui seront de toute manière contournés. Ainsi, vous pourriez promouvoir l’utilisation de mots de passe performants, ou expliquer que laisser traîner son smartphone ou son ordinateur portable représente un risque réel. Il est dans l’intérêt de chacun d’ adopter une attitude responsable.
Ghigny: Cette attitude est également payante lorsqu’il s’agit de gérer les médias Facebook, Twitter et autres LinkedIn. Jusqu’à récemment, les entreprises étaient très réticentes à l’égard des médias sociaux. Notre conseil ? Ne vous laissez pas effrayer par les risques, mais donnez des directives qui indiquent clairement ce qui est possible et ce qui est interdit avec les nouveaux médias. Chez EY, nous avons par exemple réalisé un screening de tous les profils LinkedIn de nos collaborateurs. Conclusion : il était possible de faire mieux. Nous avons donc créé un modèle qui permet à nos collaborateurs de rationaliser et d’optimiser leur profil LinkedIn. Ils en ont été très satisfaits.
Joostens: En matière de protection des informations, il faut une politique axée sur les points essentiels. La réalité actuelle est complexe, et les flux d’informations ne sont jamais totalement étanches. Il est essentiel d’identifier ce qui doit être protégé, et dans quelle mesure.

Qui porte la responsabilité de protection de l’information ?
Deprez
: Chaque collaborateur de l’entreprise. Le CIO doit bien entendu créer une architecture optimale et assurer la sécurité des systèmes. Mais les pare-feux et les antivirus ne suffisent pas. La sécurité est une question technique à 30% et une question d’organisation, de processus et de mentalité à 70%. La culture de l’entreprise est cruciale dans la qualité de la protection de l’information. Chacun doit s’en sentir responsable.