Cobit, ITIL et ISO 17799, l'analyse de Nicolas Stampf
Nicolas Stampf, d'ActuSécu, nous livre une analyse très intéressante du fameux rapport de l'ITGI. « Il y a confusion des genres » dit en substance cet expert. Confusion entre les notions de principe et de bonne pratique, confusion entre documents qui ne relèvent pas du même esprit -et de s'interroger sur l'absence de référence à la fameuse « tiret-2 » devenu ISO 27001-, confusion entre publication officielle d'organisme et lutte d'influence. Passionnant est bien le mot. De plus en plus souvent, l'on entend, au détour des salons, parler d'Itil, de méthodes, de normalisation, de certification ISO... et de conseils (rémunérés) de mise en oeuvre. Car si les normes et bonnes pratiques sont importantes, voir indispensables, leur application relève souvent de l'art chamanique et de l'expérience d'un intercesseur patenté. Les documents de références sont généralement illisibles, truffés de tautologies, et impliquent parfois des remises en cause structurelles importantes de la part de ceux qui souhaitent les appliquer. Si, au sein des grands groupes, ces processus sont généralement assez bien maitrisés, les moyennes entreprises risquent fort de se trouver dépourvues quand la bise d'un ISO soufflera sur leurs autorisations de production, de vente ou d'exportation. Et l'on entend déjà les sociétés de conseil et de service proposer leurs offices, en garantissant une « obligation de résultat » que peu parviennent à situer. C'est quoi, les conséquences d'une normalisation 27001 ? Ca coûte combien ? Cà porte sur quoi ? Et si mon conseiller met la clef sous la porte ou se trompe, qui donc est responsable ? Et pourquoi donc ceux qui en parlent le plus refusent énergiquement de vendre de tels conseils et répondent évasivement « oh, y'a des sociétés pour çà, c'est pas notre métier... » ? Autant d'interrogations glanées lors des deux dernières grandes manifestations qui ont eu lieu à Monaco et Paris. Itil-cobit-ISO, on n'a pas fini d'en entendre parler.
