Par Ludovic Tichit, Directeur de PortisEd.
Cloud, RSE, shadow IT... les nouveaux comportements des utilisateurs finaux, libérés des contraintes d'une infrastructure en interne, n'ont pas pour autant exempté le Directeur des Systèmes d'Information de ses obligations et de sa responsabilité professionnelle, civile et pénale. Retour sur les fondamentaux.
Une obligation d'assistance-conseil à tous les échelons
C'est la base : le DSI a pour responsabilité d'assurer la prestation de services et l'expertise en système d'information. Il a également un rôle d'assistance à la maîtrise d'ouvrage et à la maîtrise d'œuvre pour mettre en place les solutions informatiques nécessaires à l'activité d'une entreprise. Ça, c'est la généralité.
En détail, le DSI assume, au travers de son équipe (la DSI donc) un rôle de conseil et d'anticipation auprès de la direction générale et des directions métiers. L'exercer à tous les niveaux de la prise de décision est indispensable, au-delà de ses missions, pour border l'ensemble des risques susceptibles d'entraîner sa responsabilité. Le système d'information, quant à lui, compte ses utilisateurs parmi les entités qui le composent, puisque ce sont eux qui produiront la donnée ensuite traitée par le système.
Au sein de l'entreprise, on peut donc considérer que le DSI a une obligation d'assistance-conseil auprès de l'ensemble des collaborateurs, quel que soit le niveau hiérarchique, et qu'il engage sa responsabilité s'il ne s'en acquitte pas.
Une appréciation erronée du service fourni
Or, une récente enquête traitant du shadow IT montre que 64% des utilisateurs de l'IT n'ont qu'une compréhension faible du métier de la DSI, et 9% aucune. Ces mêmes utilisateurs ont une perception du service rendu par la DSI neutre à 29% et négative à 25%. Si ces résultats relèvent d'une étude spécifiquement dédiée au phénomène de shadow IT, ils portent néanmoins sur une perception générale de la DSI.
Les utilisateurs du système font partie intégrante du système mais n'en comprennent pas nécessairement tous les enjeux. Cette perception erronée alourdit les cas d'engagement de la responsabilité de la DSI. Mais au-delà des risques inhérents à ces comportements, c'est également la place réservée au DSI dans la réflexion stratégique de l'entreprise qui pâtit du problème.
Dans son étude L'ADN du directeur des systèmes d'information, Ernst&Young laisse entendre pour sa part que le regard de la direction générale et des directions métiers sur le DSI, même s'il reste positif, n'est pas suffisant pour dépasser le strict cadre des problématiques budgétaires. Et l'absence des DSI au sein des comités de direction illustre pleinement le stéréotype tenace.
Qu'il s'agisse de savoir répondre finement aux besoins des collaborateurs ou d'être perçu comme un partenaire stratégique, le DSI gagnerait à mieux communiquer auprès des métiers pour renforcer sa crédibilité, et surtout sa propre sécurité.
Nouveaux comportements et risques pour le DSI
Qui n'a pas entendu parler du Cloud, des réseaux sociaux d'entreprise (RSE) et autre shadow IT ? Plus que de simples concepts obscurs, ils ont, chacun à leur niveau, modifié la perception et l'usage des technologies de l'information dans l'entreprise. Des notions, qui, par ricochet, ont fortement impacté le DSI. Le Cloud par exemple : pour la DSI, le risque lié à l'utilisateur qui acquiert et pilote en autonomie des applications métiers disponibles en ligne est de rencontrer d'importantes difficultés dans la gestion du réseau, notamment en termes de débit et de bande passante.
Du côté des RSE, susceptibles d'attirer en particulier les collaborateurs ne bénéficiant pas de l'expérience d'un réseau social grand public, il s'agira des comportements les plus courants sur un réseau social : oubli du caractère public de l'outil, remarques trop acerbes, etc. A l'inverse, un RSE trop verrouillé, ne laissant que peu ou pas de place à l'expérimentation, est voué à l'échec.
Enfin, le shadow IT représente un risque à lui tout seul. Open source, freeware ou, au pire, licence piratée, on sait la facilité aujourd'hui pour chacun d'installer n'importe quel logiciel sur un terminal d'entreprise. Rappelons à ce titre la responsabilité du DSI, qui peut être engagée par le fait d'un salarié, qu'il soit ou non sous sa direction. Ce peut notamment être une responsabilité pour fourniture des moyens ayant permis la réalisation de l'infraction dans le cas d'une licence obtenue illégalement.
Pour répondre à ces risques, les chartes et les règlements sont bien sûr indispensables. Mais ils sont insuffisants pour créer le réflexe chez les collaborateurs. C'est par une communication régulière, pérenne, et donc efficace, que l'entreprise prendra en compte la DSI dans toute sa substance. Des années d'autoritarisme informatique ont en effet eu pour conséquence l'ultra-libéralisme des utilisateurs que l'on connaît aujourd'hui. Ne serait-il pas temps de réconcilier utilisateurs et DSI autour de systèmes d'information intelligents, performants et sécurisants pour tous ?
–
PortisEd. est une agence-conseil en marketing et communication, contenu stratégique et brand journalism.
Partenaire de nombreuses agences de relations de presse, PortisEd. compte également parmi ses clients des acteurs du secteur public tels que l'Inserm, et des sociétés de dimension internationale telles que SensioLabs, Metrixware ou encore Compuware.