Conformité et gestion de parc au centre de la gouvernance IT

Au regard des différentes évolutions des standards et des normes, mais également des risques liés à une utilisation malveillante des postes de travail, la mise en œuvre d’une bonne gestion des actifs informatiques de l’entreprise s’impose aux DSI.

En effet, élément stratégique pour les sociétés comme pour les administrations, la conformité de leurs postes représente une problématique complexe souvent encore gérée de manière empirique et artisanale par les départements informatiques.

Pourtant, la conformité des postes représente à la fois une donnée stratégique pouvant impacter la productivité de l'entreprise mais également la sanctionner, comme par exemple en cas d'installation non conforme de logiciels illégaux 

 

Alors comment se prémunir de ce type de risques ?

 

Il convient tout d'abord de prendre le problème dans son ensemble. Les projets de gestion de la conformité doivent être portés par le top management qui doit transcrire et expliquer de manière précise et opérationnelle les risques liés à une non-conformité (financiers, sécurité, productivité...).

Une charte d'entreprise impliquant les collaborateurs et les informant clairement de leurs droits et devoirs en matière d'utilisation de l'outil informatique et des applicatifs et périphériques associés doit ensuite être diffusée.

 

L'établissement des politiques de conformité nécessite une vision globale sur l'infrastructure en place. Cet élément est une donnée fondamentale notamment pour les entreprises bénéficiant d'une structure organisationnelle multi-sites et décentralisée où les inventaires physiques sont difficilement réalisables et rapidement obsolètes.

Mais, une fois ce travail de fond réalisé, il convient de s'assurer de la bonne mise en oeuvre des politiques définies et de leurs  applications sur le terrain. Très vite, l'on constate qu'à partir de 20 postes, cet exercice devient fastidieux, consommateur de ressources et difficile à maintenir sans une industrialisation des processus de gestion des actifs informatiques de l'entreprise.

 

Un point marquant tient également à la sensibilisation de l'ensemble des acteurs sur ces problématiques et notamment à la demande croissante des entreprises du « middle market » qui avaient jusqu'alors plutôt ignoré ces aspects. Avec l'accroissement significatif des équipements IT dans les PME (serveurs, postes,...), il apparaît désormais naturel de veiller à leur utilisation.

 

Imaginons par exemple une PME dans le domaine du e-commerce dont les serveurs web auraient chuté suite à une attaque virale car ils n'étaient plus protégés...La perte de chiffre d'affaires suffirait à elle seule à justifier de la mise en production d'un outil permettant d'avertir automatiquement le responsable informatique lors de l'expiration des prestations de protection, ou encore de l'état de vulnérabilité globale de l'infrastructure.

 

On comprend donc parfaitement, à travers ces éléments, l'importance des outils de gestion de la conformité et de leurs tableaux de bord, et leur essor constant au sein de l'entreprise.

Forts de leur caractère très opérationnel et de leur simplicité d'accès et de mise en oeuvre, ils permettent non seulement de décharger les DSI d'une veille fastidieuse de la conformité de leur parc grâce à une vision synthétique, mais également de mettre en oeuvre les actions nécessaires pour remédier aux non-conformités.

Maillon clé de la gouvernance IT, la gestion de la conformité permet ainsi de renforcer les aspects liés à la fois à la mise en oeuvre des bonnes pratiques dans l'entreprise mais également à sa sécurité.

 

En ce sens, la complémentarité et la convergence des standards (ISO 27000, ISO 20000, ITIL) devrait favoriser leur adoption par le cadre et les possibilités de certification qu'ils proposent.