L'informatique représente-elle un risque inacceptable ?
Les systèmes d'information exigent une stratégie de gestion de risques appropriée. Qui, au-delà des responsables de l'informatique ou des finances, doit impliquer la direction générale.
Deux familles de risques sont traitées dans une démarche de maîtrise des risques liés au système d’information :
- Les risques métiers se matérialisant dans le système d’information (risques liés à la conformité légale et règlementaires, risques de fraude, risques de perte d’image, etc.).
- Les risques « apportés » par le système d’information (perte de données, perte d’intégrité des données, disponibilité des applications et systèmes, etc.)
Le système d’information est de ce fait souvent perçu comme une nouvelle source de risques et le médium où les risques métiers se matérialisent.
Principales
attentes
Les principales attentes des utilisateurs sont les suivantes
dans l’ordre croissant de leur niveau de maturité :
- Définir une méthodologie pour traiter les risques efficacement,
- Identifier et cartographier les risques,
- Constituer et enrichir ses référentiels de risques et de dispositifs
de traitement des risques,
- Industrialiser sa méthodologie et faire gagner en maturité ses
différents acteurs,
- S’inscrire dans un processus d’amélioration continue des
dispositifs et de la méthodologie d’analyse des risques.
Le
choix de la méthodologie sur laquelle appuyer sa démarche, peut amène parfois à
comparer les grandes méthodologies développées aujourd’hui : EBIOS, ISO
27005, MEHARI, OCTAVE, MARION, etc.
Plutôt
que de lancer un débat d’experts sur les avantages et inconvénients de ces
différentes méthodologies, il est préférable de faire un bilan des approches
déjà mises en pratique dans l’entreprise et la culture qui y est développée. La
méthodologie retenue doit être adaptée à l’entreprise pour en faciliter son
appropriation : simplifier certaines étapes et adapter la sémantique par
exemple. Il est préférable de simplifier une méthodologie pour faciliter son
intégration plutôt que de coller au modèle et risquer un rejet des utilisateurs.
La méthodologie sera enrichie lorsque les utilisateurs gagneront en maturité.
La bonne
approche
La maîtrise des risques liés au système d’information nécessite
avant tout l’implication des bons interlocuteurs dans l’entreprise. Ces
utilisateurs, disposant nécessairement du soutient de la Direction Générale
doivent disposer d’un recul suffisant pour cartographier et prioriser les
risques, puis de rattacher leur traitement à la stratégie de l’entreprise.
Les entreprises les plus avancées dans cet exercice sont celles
qui, de par leurs contraintes règlementaires ou leur culture du risque, ont mis
en place des équipes dédiés au traitement du risque (Contrôle Interne, Audit
Interne, Sécurité des systèmes d’information) et sachant mettre en corrélation à
travers une vision transverse les résultats de leurs travaux et le cas échéant
des rapports de leurs organismes de contrôles ou donneurs d’ordre (Audits
externes).
En bonne
voie
Dans le domaine de la maitrise des risques, le système
d’information commence à se révéler comme un outil efficace et facilitateur
dans beaucoup de domaines. L’automatisation de contrôles métiers (IT Automated Controls) et la production
d’éléments probants à l’aide d’un module d’audit intégré permettent par exemple
d’optimiser le délai d’un audit externe et de publier ses résultats avant ses
concurrents.