Patrick Anglard (Thales - CIGREF) : "DSI et RSSI partagent une culture souvent commune sur la gestion des risques"

Quelles sont les principales conclusions du rapport présenté par le CIGREF sur la gestion des risques ?

Nous avons présenté un rapport faisant état des pratiques de gestion des risques parmi certaines entreprises du CIGREF. Dans l'échantillon considéré, on constate une maturité de la gestion des risques qui est peut-être annonciatrice d'une future maturité plus globale des grandes entreprises Françaises.

On constate que la gestion des risques correspond à la définition moderne des risques, avec notamment les risques de non-conformité réglementaires, qu'elle est organisée, qu'il y existe des responsables qui appliquent des méthodes et que le processus est en marche.

Quel est selon-vous le niveau de sensibilisation des DSI à la sécurité ?

Elle est variable selon les secteurs d'activité. Entre la banque, l'assurance et des secteurs moins exposés, le DSI sera d'autant plus sensible que l'information sera à risque. De manière générale, je pense qu'elle est bonne parce que comme le précise le rapport, la DSI est un domaine dans lequel on a une bonne pratique de la gestion des risques.

La continuité de fonctionnement notamment est un risque traité depuis longtemps, de même que les problèmes de virus et de spam. Il y a une culture, des pratiques relativement anciennes dans la DSI par rapport aux autres métiers.

Comment qualifieriez-vous l'interaction du DSI avec le RSSI et le Risk Manager ?

Elle est relativement mure. C'est finalement un dialogue entre spécialistes des risques. Ils partagent une culture souvent commune sur la gestion des risques, sur ce qu'est la probabilité d'occurrence, l'impact, les méthodes de réduction, les plans d'action, etc. Comme le domaine est vaste, chacun est déjà très occupé à traiter son domaine et la DSI je pense comprend de plus en plus qu'elle n'est qu'un métier de l'entreprise et que le Risk Manager pilote le tout.

La prise en charge des risques par les métiers, à quel horizon ?

Le rapport n'a pas de valeur statistique puisque, je le rappelle, ont contribué les entreprises qui le souhaitaient. Nous avons capitalisé probablement les meilleures pratiques des entreprises les plus avancées. Pour répondre à votre question, il faudrait faire un véritable travail d'enquête.

On peut simplement constater que cette notion de risque global et de risque de non-conformité est très récente, qu'elle est d'abord née aux Etats-Unis. Tout cela se propage avec des retards. Il serait peut-être présomptueux de penser que l'ensemble de l'économie française est mure à cet égard. Le travail qui reste à faire est probablement significatif.

Quelles actions seraient donc à entreprendre auprès des métiers pour les sensibiliser aux risques, et qui doit prendre piloter cette démarche ?

Cette démarche n'est vraiment productive que si elle est prise en charge par la direction générale. La direction financière bien sûr va probablement être un acteur important. Mais le DSI ne peut qu'aider ses collègues à prendre conscience parce qu'il a des relations de pair avec eux. Pour que la démarche soit vraiment déployée dans l'entreprise avec le niveau qui convient, il faut que la direction générale s'implique.

Quel rôle tiendrait alors le RSSI dans cette démarche de sensibilisation ?

Le RSSI est finalement l'expert et celui qui dit, ou traduit la loi dans bien des cas, vis-à-vis des risques de la sécurité informatique. Dans une répartition des rôles bien comprise, chaque métier gère ses risques. Le DSI et le RSSI gèrent ceux de la direction informatique de l'entreprise.

Les DSI suivent-ils des formations liées à la sécurité et se tournent-ils souvent vers le RSSI ?

Les RSSI font depuis longtemps des actions de sensibilisation. Les personnels de la DSI sont des cibles prioritaires de ces actions de formation et de sensibilisation. Et puis, les deux dialoguent lorsque de nouveaux risques apparaissent. Cela aussi est fondamental. Le RSSI va donc venir voir le DSI pour dire attention tel risque apparait, que faisons-nous ?