Il y a un an, Cio Mag lançait son premier numéro à Marrakech au Maroc à l’occasion de la seconde édition d’AfroCio, la plate-forme de rencontre pour les DSI africains.
Interviews DSI
Mohamed SAAD, DSI Arab Bank Maroc: « le référentiel idéal n’existe pas »
Acteur dans le monde du management des systèmes d’information depuis 18 ans, Mohamed SAAD est titulaire d’un Executive MBA et des certificats CISA (ISACA, Chicago), PMP (PMI) et ITIL (Quint Group, Netherland). Il est depuis 2 ans DSI au sein du groupe Arab bank, une des plus grandes institutions financières internationales opérant dans le monde des finances (banque, assurance…), avec plus de 500 agences à travers une trentaine de pays couvrant les cinq continents. Arab Bank est spécialisé dans le développement et le financement des grands projets d'infrastructures dans la zone Moyen-Orient et Afrique du nord (MENA). Le groupe dispose d’une présence dans la plupart des grandes places financières internationales comme Londres, New York, Dubaï, Singapour, Zurich, Paris, Francfort, Sydney et Bahreïn. Basé à Amman en Jordanie, le siège social d’Arab Bank constitue la première banque privée du secteur des institutions financières dans le monde arabe. Avec une notation (A-) de Fitch, (A-) de Standard & Poor et (A3) de Moody's, Arab Bank a réalisé pour l’exercice 2007 un résultat avant taxe de 1001.1 millions $US. Mohamed SAAD répond à Cio Mag sur l’organisation des systèmes d’information de son groupe, le choix des référentiels ainsi que ses projets à court terme
Quelles sont vos principales missions en tant que DSI ?
En tant que DSI, je me place comme un fournisseur de services avant tout pour mes clients (interne et externe). La DSI est aussi dans l’obligation, en tant qu’acteur principal, responsable des outils de production. Il doit aussi veiller à aligner la politique des systèmes d’informations sur la politique générale de l’entreprise et à mettre en place des solutions à valeur ajoutée pour l’entreprise dans les meilleurs délais tout en respectant les budgets. En tant que responsable de l’outil informatique, ma direction s’assure, pour une meilleure gestion des risques SI, à mettre en place des outils et des processus de surveillance des vulnérabilités et menaces pouvant impacter les processus business de l’entreprise. Notre mission consiste également à gérer les performances en utilisant des instruments et des processus générant des tableaux de bords d’indicateurs que nous surveillons à différents niveaux de management mais également les ressources humaines et matérielles.
Au regard de toutes ces responsabilités, j’intègre le comité de pilotage de notre entreprise par rapport aux processus métiers en termes d’implémentation des contrôles automatiques pour assurer le niveau de maîtrise et de contrôle adéquat.
Chez nous le DSI fait partie de tous les comités (Comité de direction, Comité des risques, Comité Informatique bien évidemment, Comité de management des crises…)
C’est loin d’être le cas dans beaucoup d’organisations. Comment concevez-vous le profil du DSI de demain ?
Pendant un certain nombre d’années, le DSI était un technico technicien maîtrisant un jargon connu uniquement par les siens et faisant de l’informatique sa chasse gardée ; cette vision a évolué il y a une vingtaine d’années pour faire du DSI ce que l’on appelle un « T » man ; c'est-à-dire à profil pointu en systèmes d’information et à compétences transversales en termes de management des ressources, de communication, d’animation, de coaching et surtout d’acteur des processus business. De nos jours le DSI est un « `0; » man (lire Pi : lettre grecque) (2ème composante verticale), parce qu’en plus de ce qui a été noté précédemment, il est en plus à forte connotation projet, puisque 80% des tâches accomplies relèvent de la gestion des programmes et des portefeuilles de projets d’entreprise, encore une fois, je rappelle alignés (les projets) sur la politique générale de l’entreprise. Les projets d’entreprise conditionnent le développement de l’entreprise à moyen et long terme. C’est ce qui lui permettra de passer d’une situation « n » à une situation « m », meilleure, génératrice de profits.
Quels référentiels de bonnes pratiques utilisez-vous ?
Les référentiels, normes, standards et bonnes pratiques connaissent actuellement un engouement tel, que les professionnels ne savent plus ou donner la tête. Quel référentiel utiliser ? Pour quelle problématique ? Qui est habilité à implémenter quoi ? Qu’est ce qui est recommandé ? Quel budget ? Quel pré requis ? Pour quel besoin ?...
Le marché pêche par son immaturité en termes de mise en place de ces référentiels, du manque de bons conseillers qui puissent orienter les entreprises par rapport à l’utilité de ces standards et du retour sur investissement qu’on peut en tirer.
Vous voulez dire qu’il n’y a pas aujourd’hui sur le marché des référentiels qui répondent à vos besoins ?
Actuellement le référentiel idéal n’existe pas. Mettre en place l’ensemble des référentiels risque d’entraîner les entreprises dans des projets pharaoniques, consommateurs d’énergie et de budget dont le résultat risque de ne pas atteindre les objectifs escomptés.
A notre niveau, le référentiel utilisé est un « mix » de politiques et de procédures puisant dans les bonnes pratiques (CoBIT, ITIL, PMBOK, ISO 27 001) permettant d’atteindre les objectifs que nous nous sommes fixés. Ce mixe a aussi été enrichi par des procédures (scripts, outils de supervision…) liées aux plateformes techniques et outils de management de l’infrastructure dont nous disposons. Ainsi, ce recueil de politique et procédure est devenu taillé sur mesure sur notre environnement.
Cet assemblage de bonnes pratiques traite des domaines très variés allant des procédures administratives à l’audit en passant par le budget des SI, les achats informatiques, la sécurité des SI (sous la responsabilité du RSSI qui fait partie du Risk management) etc..
Comment s’y prendre pour justement tirer le meilleur de chaque référentiel ?
Il y a une trentaine d’années, le monde des SI se focalisait sur l’automatisation des processus et sur l’infrastructure et on a développé et déployé à outrance sans se soucier de l’aspect qualitatif des systèmes et plateformes. Actuellement, on sait qu’il ne suffit pas de répondre à un besoin, il faut surtout livrer en respectant les aspects suivants :
• la gouvernance IT (alignement stratégique) ;
• le niveau de service qu’il faut (ITIL) ;
• les bonnes pratiques en termes de gestion de projets (PMBOK, PRINCE II) ;
• et, en garantissant les contrôles et la sécurité qu’il faut (CoBIT, ISO 27001).
Notre vision est de prendre de chaque standard ce dont nous avons besoin au lieu d’utiliser une informatique SICOB comme on l’appelait dans le temps.
Nos tâches quotidiennes (développement, administration, déploiement, support, assistance…) doivent être conduites d’une manière sécurisée, contrôlée et approuvée; les missions d’audit qui nous évaluent le font par rapport à un référentiel (ce que nous avons appelé politiques et procédures) instauré par le Top Management des systèmes d’information du groupe (basé à Amman en Jordanie) et qui est à la base du travail de réflexion, d’analyse et d’étude qui a pu créer un cadre de référence (framework) ingénieux et avant-gardiste permettant une complémentarité entre les différents standards cités précédemment.
Comment faire cohabiter et dialoguer plusieurs de ces référentiels à la fois ?
Il faut chercher une complémentarité entre les différents standards au lieu d’une application aveugle, cherchant une conformité à ces référentiels qui, malheureusement, ne viendra jamais. Les experts peuvent remarquer que chaque référentiel est développé pour répondre à une problématique bien précise (IT Governance, Gestion de Projets, Sécurité, Développement…) ; ceci fait que le DSI doit orienter ses priorités en fonction des domaines ou processus à contrôler ou sécuriser.
La classification de la criticité des processus métier fait que les objectifs diffèrent d’une organisation à l’autre. Il s’y ajoute que ce qui est prioritaire pour l’une ne l’est pas forcément pour l’autre. Les structures doivent prioriser leurs objectifs et puiser dans les référentiels ce qui va les aider à planifier, exécuter, contrôler et améliorer leurs processus.
Existe-t-il une spécificité pour le monde bancaire en termes de mises en place des référentiels?
D’un point de vue des besoins de l’activité, les SI dans le monde bancaire revêtent une importance très critique puisqu’ils sont l’outil de production des services offerts à la clientèle, mais aussi un levier stratégique de développement capable d’offrir au banques des opportunités de développement (eBanking, SMS Banking, Phone banking, CRM, Call Centers…), donc à forte valeur ajoutée. L’infrastructure informatique dans les banques est très importante, ce qui nous oblige à en faire une gestion optimale en vue de garantir une utilisation adéquate, mais surtout garantir une continuité de service aux clients tout en gérant le risque que cela peut engendrer.
Quelles sont les attentes 'métiers' vis-à-vis des outils informatiques dans le secteur bancaire ?
La plupart des banques actuellement sont en cours de confection de leurs schémas directeurs ou en cours de réflexion à des solutions de Global Banking ; cela constitue un point très important dans la vie d’un système d’information. Nos structures ont subi une informatisation à outrance durant les 20 dernières années, bien évidemment pour répondre aux besoins métiers et aux projets réglementaires, sans pour autant se soucier d’une certaine uniformisation ou urbanisation des SI ; Actuellement, les DSI travaillent sur la refonte des architectures SI en vue d’intégrer la vision stratégique de leurs entreprises et planifier les évolutions futures de leurs SI.
Quels sont les autres chantiers à court et moyen terme ?
Aujoiurd’hui, un certain nombre de DSI travaillent sur le management des risques, comme exigence des accords de Basel II. Un des projets phares est la continuité de service qui se matérialise entre autres par la mise en place de Disaster Recovery Site permettant une disponibilité des services SI sans interruptions. La complexité des composantes SI des banques rend ce genre de projets très importants par rapport aux scenarii à adopter, aux techniques à mettre en place, budget, délais…
Dans ce même cadre, d’autres chantiers sont aussi ouverts au niveau des DSI concernant l’installation et l’interconnexion des systèmes de suivi et de diffusion de l'information (décisionnels) :
• sur la gestion des fonds propres ;
• sur le risque client ;
• sur le risque lié aux marchés et aux fluctuations des cours.
Qualitativement, les modifications porteront sur la remontée des informations, leur cohérence et la capacité à les mettre en forme
Est-ce qu’il y a une volonté de tout centraliser ou bien les filiales ont-elles une autonomie de gestion de leur système d’information ?
Le monde des SI a testé à travers les 50 dernières années, ces deux scenarii d’architectures des SI, sans pour autant arriver à décider d’une manière définitive le meilleur scénario à adopter. A mon avis, cela dépend de la nature de l’activité et des processus ; le pendule des plateformes a fait que nous avons centralisé au début de l’avènement de l’informatique, puis décentralisé pour démocratiser son utilisation en vue de rendre les utilisateurs autonomes. On s’est rendu compte par la suite que les aspects de la sécurité étaient défaillants, et on est revenu vers la centralisation durant les 10 dernières années !
Actuellement, l’architecture des SI doit prendre en considération les trois aspects suivants : l’autonomie des utilisateurs, la sécurité (données, habilitations…) et la continuité de service.
Le 20/11/2008 Auteur: CIOMag
- Interview Bruno MENARD : « Les DSI seront moins enclins à engager des investissements au risque de pénaliser l’innovation ».
- Ibrahima SOW, DSI de CSS « Les ERP ne comportent pas que des avantages »
- USF : L’adhésion des pays francophones d’Afrique reste marginale
- Patrick HERENG : « Nous avons une gouvernance informatique solide et bien organisée »
- Le Port Autonome de Dakar, un des premiers campus de haute technologie de la sous-région
