Gestion des biens informatiques : les meilleures pratiques en 2018

Quels sont les points auxquels les DSI doivent faire attention en matière d'IT Asset Management ? Quelles sont les questions à se poser pour une meilleure gestion des biens IT ? Le point.

La gestion des biens informatiques (ou ITAM pour IT Asset Management) est un sujet de conversation récurrent au sein des DSI. Elles cherchent à savoir si leur approche de l’ITAM est efficace, ou si elles doivent encore l’ajuster. Certaines questions reviennent régulièrement, et notamment : quelles sont les meilleures pratiques en termes de gestion des biens IT ? Où trouver un ouvrage qui en parle ? Existe-t-il une formation certifiante en la matière ?

S’informer et se former est certes une excellente initiative. Mais les technologies, les entreprises et leur environnement évoluant sans cesse, une meilleure pratique encore viable il y a quelques temps pourrait aujourd’hui être totalement obsolète. Quels sont les points auxquels les DSI doivent faire attention en 2018 ? Quelles sont les bonnes questions à se poser pour une meilleure gestion des biens IT aujourd’hui ?

Tout commence par l’inventaire de vos biens informatiques

Il est difficile de gérer et de sécuriser des biens dont on ne connaît pas l’existence. Votre programme d’ITAM doit donc vous permettre de découvrir et d’inventorier l’ensemble de vos biens IT. 

Vous devrez déterminer quels biens doivent être suivis, et décider d’inclure ou non les actifs spécifiques à votre secteur d’activité – pour les établissements de santé, par exemple, il s’agira du matériel médical, biomédical, ou encore d’ingénierie.

Si certains types de biens et dispositifs IT sont exclus de votre programme d’ITAM, évaluez les risques sur la sécurité, les données et la gestion de votre entreprise liés à cette décision. Transmettez les résultats de cette évaluation aux responsables des départements IT et Finances de votre entreprise pour les en informer.

La sécurité informatique est aussi matérielle

« Sécurisez les données, pas le périphérique », tel est le mantra moderne. Or, avec la multiplication des objets connectés (IoT), la gestion des biens matériels n’est pas à prendre à la légère, et cela passe par une meilleure protection de tous les dispositifs de l’entreprise.

Pour ce faire, vous devrez notamment vous assurer que votre processus d’achat de biens IT inclut toutes les recommandations de l'équipe de sécurité.

Il vous faudra également localiser les biens IT utilisés à votre insu et présentant des risques, afin de pouvoir leur appliquer les mêmes exigences de sécurité et références d'authentification qu’aux actifs officiels de l’entreprise.

Il ne peut y avoir de bon processus sans bonne gouvernance

Même lorsqu’un processus existant semble solide, il y a de fortes chances pour qu’il ne le soit pas en réalité. La structure opérationnelle de nos entreprises fait que, généralement, aucune équipe spécifique au sein des services informatiques ne dispose de suffisamment de pouvoir pour mettre en place de tels processus. Ce problème pourrait être résolu par une vraie politique de gouvernance ; ce qui sous-entend que les dirigeants de l’entreprise doivent au préalable admettre que le manque de gouvernance est un facteur d’échec.

Si l’efficacité d’un processus repose sur la communication et la formation, il faut également qu’il soit adopté par tous dans l’entreprise, de la base au sommet de la hiérarchie, ce qui peut représenter un défi. Un audit interne régulier permettra par ailleurs de s’assurer que les processus, les personnes et les technologies en place répondent en permanence aux besoins de l’entreprise.

Des objectifs spécifiques devront également être établis pour le programme, notamment en termes de définition et de gestion de son scope. Avec le temps, les changements de direction et les évolutions dans l’entreprise ont un impact sur l'étendue des projets et leur priorité. Il faudra alors repenser les objectifs, les stratégies et les processus en adéquation. 

Obtenir l’adhésion et l’implication des collaborateurs

En termes d'achats IT, ce que nous savons provient de nos propres données et processus. Malheureusement, nous n'avons aucune visibilité sur les éléments achetés hors du processus d'achat, en particulier sur le Shadow IT (systèmes d'information et de communication réalisés et mis en œuvre au sein d'organisations sans approbation de la direction des systèmes d'information). Une stratégie qui encourage les collaborateurs à signaler le Shadow IT améliore le suivi et constitue une aide précieuse pour la DSI.

Si les technologies actuelles permettent à la DSI de détecter tous les éléments installés, il lui est beaucoup plus compliqué de s'assurer de leur conformité. Pour faciliter cette tâche, il faut que les collaborateurs adhèrent au processus. Leur proposer certains avantages peut les y encourager. Il s’agira par exemple de partager avec eux des informations qu’ils trouveront utiles, comme de nouveaux modèles ou tarifications.

Mesurer pour mieux convaincre

Les objectifs que votre programme d’ITAM doit permettre d’atteindre et les problèmes qu’il doit résoudre doivent être spécifiquement définis. De nombreux programmes d’ITAM sont lancés sans objectif particulier, ou avec des objectifs trop larges pour vraiment répondre à des besoins précis. Si vous ne parvenez pas à mesurer votre succès, vous aurez du mal à convaincre votre direction.

N'oubliez pas de mesurer tout particulièrement le succès des projets de haute priorité, très visibles. Si les mesures au jour le jour sont généralement bien gérées, les projets spéciaux sont parfois oubliés dans notre hâte à obtenir des résultats rapides.

Ne sous-estimez pas non plus la valeur des rapports d'exceptions. Ils sont particulièrement utiles pour illustrer les situations et les problèmes qui commencent seulement à émerger.

Je ne compte plus le nombre de fois où j'ai entendu dire « nous ne savons pas ce que nous ignorons » pour décrire un programme d’ITAM. En suivant ces bonnes pratiques, vous réduirez le nombre d'inconnues. Votre direction doit savoir que vous participez à l'effort de sécurisation des biens matériels et logiciels de votre entreprise. Qui sait, peut-être que ces conseils vous aideront à mieux dormir. Au lieu de compter les applications logicielles pour trouver le sommeil, recommencez à compter les moutons.