Vers la gouvernance des risques opérationnels

La gestion des risques en entreprise a longtemps été dévolue à un ensemble de responsables, éclatés au sein de différentes directions, dont les domaines de compétence étaient souvent étanches. Ainsi, la prise en compte des risques juridiques par les entreprises était souvent de la responsabilité d'un juriste, tandis que la direction des ressources humaines se devait de régler les problèmes liés aux personnels. De son côté, la direction informatique se préoccupait de la sécurité et de la maintenabilité du système informatique interne. Mais les lignes bougent.

La croissance de l'informatique d'entreprise, en termes de volume de données traitées mais aussi de champs d'application, met aujourd'hui la gestion du risque global au cœur de la problématique de la DSI. Le cabinet NTI évoque même cette transition comme celle de la gestion de la sécurité vers celle de la gouvernance des risques opérationnels de l'entreprise, au sens le plus extensif du terme.

Jusqu'aux années 90, l'informatique d'entreprise exigeait de prendre en compte des aspects de la sécurité lié essentiellement à la sécurité physique des installations, aux plans de secours, à la cryptographie et à la lutte antivirus.

Mais l'évolution est rapide. Il est à ce titre intéressant de noter que le glissement sémantique du terme de "sécurité informatique" vers celui de "sécurité des systèmes d'information" s'est effectué au tournant des années 90. C'est aussi à cette époque que l'arsenal juridique commence à se développer. Les lois sur la fraude informatique (1988), le secret des correspondances (1991) ou encore le droit du logiciel (1995) donnent à la fois un cadre d'action au système d'information mais aussi des obligations à la DSI en termes de traitement et de conservation des données.

La responsabilité juridique des DSI se renforce

La période suivante, entre 1995 et 2000, est marquée par un travail de fond sur la sécurisation des données. Il ne s'agit plus de sécuriser le système diInformation, mais bien plus d'assurer la sécurité de l'information en tant que telle. C'est pendant cette période qu'apparaissent les concepts d'intelligence économique dans la sphère informatique, avec les outils de détection et de tests d'intrusion.

Le début des années 2000 accompagne pour les DSI l'apparition des enjeux de la dématérialisation et du commerce électronique. Là encore, la question de la cyber-sécurité est centrale dans la mise en place de gros systèmes, ouverts tant aux employés qu'à l'extérieur de l'entreprise. On commence ici à toucher à des secteurs de l'entreprise, comme les processus métiers, qui étaient jusqu'alors étrangers aux DSI.

De fait, l'informatique d'entreprise s'intègre par le biais de l'intranet et des progiciels dans le cœur d'activité des entreprises, dépassant largement le cadre des fonctions support auquel elle avait été assignée pendant ses jeunes années. Dès lors, la responsabilité juridique des gestionnaires de l'information numérique se renforce.

Enfin, les enjeux actuels sont plus que jamais ceux de la mise en conformité du système diInformation avec d'un côté les règlementations boursières sur les publications de comptes (SOX, Bâle II) et de l'autre côté la question essentielle de la gestion d'identité, qui implique des actions à entreprendre dans le domaine de la biométrie, de la lutte contre les malware, de la maîtrise des réseaux IP et des réseaux sans fil.

Par sécurité, on entend donc désormais certes une protection technique contre les intrusions, les attaques, et les défaillances du système. Mais on entend aussi et surtout la capacité des gestionnaires du système d'information à mettre en place des systèmes de traitement, de communication et de stockage performants qui respectent l'arsenal législatif grandissant qui encadre l'informatique d'entreprise.

Pour ce faire, les compétences techniques et managériales dont font preuve les DSI compétents ne suffisent pas. D'ou l'appel de plus en plus fréquent à cette fonction si particulière dans l'entreprise qu'est celle du déontologue.