La révolution du contrôle des risques informationnels

L'organisation de la gestion des risques a été adaptée au fil des années aux différents risques d’entreprise. Le risque informationnel a notamment été abordé par plusieurs filières complètes, dont la continuité d’activité et la sécurité du Système d’Information.

Continuité d’activité, sécurité du Système d’Information, la protection des biens et des personnes, la conformité légale (CNIL notamment) et réglementaire (SOX, Bâle II et autres), la déontologie dans les banques, la fraude, l’Intelligence économique... : Chacune de ces « filières » a mis en place sa propre politique et les processus associés, son organisation reposant notamment sur des responsables ou correspondants par entité, ses programmes de communication et ses moyens de contrôle. Ces filières peuvent ainsi chacune regrouper une centaine de collaborateurs.
 
Si cette organisation a permis de traiter clairement et directement les principaux risques, elle est aujourd'hui principalement exposée à quatre challenges :
Ø       Se concentrer sur les risques les plus impactants pour les métiers
Peu d'entreprises connaissent clairement les pertes liées à la fraude ou aux fuites d'information. Pour autant, de récents tests menés par Devoteam démontrent que plus de 50 % des collaborateurs de grands groupes donnent leur mot de passe par téléphone à une personne inconnue, pour peu que le script d'appel soit « intelligent ».
Ø       Instaurer un plan de conduite du changement responsabilisant chaque métier, in fine porteur du risque, donc de son évaluation et de sa maîtrise ;
Nombreux sont encore les Directeurs « soumis » régulièrement à des analyses de risques partielles, dont les outils de mesure ne sont pas cohérents entre types de risque. La notion même de risk manager le déresponsabilise ou le rend, dans le meilleur des cas, co-responsable des résultats.
Ø       Garantir une vision globale et cohérente du risque aux Directions Générales et à leurs instances de régulation ou de tutelle ;
Ø       Optimiser les coûts, bien éclairés en période de crise, et améliorer l'efficacité des dispositifs, parfois freinée par des filières de management distinctes ;
 
La prise de maturité du contrôle des risques, déjà engagée dans certains groupes, s'appuie sur plusieurs axes :
Ø       La mise en cohérence des différentes filières de gestion de risque au sein d'une direction du contrôle des risques, rattachée à la Direction Générale ;
Ø       La mise en œuvre d'un plan de conduite du changement auprès des métiers. Les métiers doivent avoir un interlocuteur précis, directif et pédagogue, édictant les règles et en charge du contrôle de leur respect et efficacité. Cet interlocuteur doit mettre à disposition des métiers l'ensemble des expertises nécessaires, organisationnelles, techniques et juridiques.
Ø       La mise en place d'un plan de contrôle des risques, basé à la fois sur une action déclarative des métiers et sur un plan de contrôle opérationnel efficient ;
Ø       L'utilisation optimale des solutions technologiques permettant une gestion unifiée des identités, une traçabilité des opérations sensibles, les contrôles opérationnels, la corrélation des événements, alertes et incidents, la sensibilisation des métiers aux risques, etc.
 
Les perspectives économiques actuelles ne devraient pas ralentir cette évolution mais l'accélérer, les grands groupes souhaitant vivement réduire les risques opérationnels, aucun incident majeur interne ne devant s'ajouter aux difficultés de marché.