L'informatique représente-elle un risque inacceptable ?

Les systèmes d'information exigent une stratégie de gestion de risques appropriée. Qui, au-delà des responsables de l'informatique ou des finances, doit impliquer la direction générale.

Deux familles de risques sont traitées dans une démarche de maîtrise des risques liés au système d’information :
- Les risques métiers se matérialisant dans le système d’information (risques liés à la conformité légale et règlementaires, risques de fraude, risques de perte d’image, etc.).
- Les risques « apportés » par le système d’information (perte de données, perte d’intégrité des données, disponibilité des applications et systèmes, etc.)
Le système d’information est de ce fait souvent perçu comme une nouvelle source de risques et le médium où les risques métiers se matérialisent.

Principales attentes
Les principales attentes des utilisateurs sont les suivantes dans l’ordre croissant de leur niveau de maturité :
- Définir une méthodologie pour traiter les risques efficacement,
- Identifier et cartographier les risques,
- Constituer et enrichir ses référentiels de risques et de dispositifs de traitement des risques,
- Industrialiser sa méthodologie et faire gagner en maturité ses différents acteurs,
- S’inscrire dans un processus d’amélioration continue des dispositifs et de la méthodologie d’analyse des risques.

Le choix de la méthodologie sur laquelle appuyer sa démarche, peut amène parfois à comparer les grandes méthodologies développées aujourd’hui : EBIOS, ISO 27005, MEHARI, OCTAVE, MARION, etc.
Plutôt que de lancer un débat d’experts sur les avantages et inconvénients de ces différentes méthodologies, il est préférable de faire un bilan des approches déjà mises en pratique dans l’entreprise et la culture qui y est développée. La méthodologie retenue doit être adaptée à l’entreprise pour en faciliter son appropriation : simplifier certaines étapes et adapter la sémantique par exemple. Il est préférable de simplifier une méthodologie pour faciliter son intégration plutôt que de coller au modèle et risquer un rejet des utilisateurs.
La méthodologie sera enrichie lorsque les utilisateurs gagneront en maturité.

La bonne approche
La maîtrise des risques liés au système d’information nécessite avant tout l’implication des bons interlocuteurs dans l’entreprise. Ces utilisateurs, disposant nécessairement du soutient de la Direction Générale doivent disposer d’un recul suffisant pour cartographier et prioriser les risques, puis de rattacher leur traitement à la stratégie de l’entreprise.
Les entreprises les plus avancées dans cet exercice sont celles qui, de par leurs contraintes règlementaires ou leur culture du risque, ont mis en place des équipes dédiés au traitement du risque (Contrôle Interne, Audit Interne, Sécurité des systèmes d’information) et sachant mettre en corrélation à travers une vision transverse les résultats de leurs travaux et le cas échéant des rapports de leurs organismes de contrôles ou donneurs d’ordre (Audits externes).

En bonne voie
Dans le domaine de la maitrise des risques, le système d’information commence à se révéler comme un outil efficace et facilitateur dans beaucoup de domaines. L’automatisation de contrôles métiers (IT Automated Controls) et la production d’éléments probants à l’aide d’un module d’audit intégré permettent par exemple d’optimiser le délai d’un audit externe et de publier ses résultats avant ses concurrents.