Gestion des risques : la DSI plus que jamais au cœur du dispositif de gouvernance
Le risque est partie intégrante de la vie des entreprises. La gestion du risque, généralement considérée comme une activité de support avec quelques nuances en fonction du secteur d’activité, se prévoit en amont et implique aussi le département informatique. Mais pour quel rôle ?
Si le propre d’une entreprise est de prendre des risques, elle doit aussi s’assurer qu’ils ne la mettent pas en péril. Un accident industriel, un fournisseur qui fait défaut ou une attaque numérique qui bloque tout le système d’information sont des événements ni rares ni marginaux. En y ajoutant les évolutions réglementaires ou législatives qui changent dans le temps et diffèrent d’un pays à l’autre, on prend la pleine mesure de l’exposition au risque, active ou passive, à laquelle l’entreprise doit faire face avec une vigilance accrue.
Digitalisation des entreprises aidant, en matière de gestion des risques la DSI a un rôle d’autant plus primordial à jouer.
Préparer en amont, anticiper la gestion des risques, voire des crises, et veiller en permanence à la mise en conformité de l’entreprise, c’est éviter de se retrouver démuni quand un événement ou une crise survient. C’est à quoi sert le dispositif de continuité d’activité. Voilà un domaine capital de support au business qui a pris une place prépondérante dans la dernière décade. Un tel plan de continuité doit englober toute la chaîne de valeur pour assurer la cohérence des actions prévues, bien au-delà des limites classiques de l’entreprise, en amont vers les fournisseurs, en aval en mode B2B, et « de côté » pour englober les partenaires, qu’ils soient commerciaux ou institutionnels (Etat, collectivités…). Car l’entreprise n’est pas seule dans son environnement. Elle fait partie d’un écosystème qui doit être intégré – pour le meilleur et pour le pire – à son plan de continuité.
Dans les grands groupes, appréhender le plan de continuité comme partie intégrante du dispositif de gestion de risque et de conformité est par conséquent un programme complexe, polymorphe, et incombant le plus souvent au département de… gestion du risque. Il engage généralement une cartographie des risques, afin de les répertorier, de les évaluer et d’analyser leur impact business, puis prévoit la mise en place de dispositifs de prévention, de contrôle et d’intervention. Mais le gestionnaire de risque, s’il concentre la connaissance des risques de l’entreprise, n’est heureusement pas seul dans sa mission. Il trouve à la Direction des Systèmes d’Information (DSI) un partenaire et un support indispensables.
D’abord, en raison-même de la digitalisation de l’activité, le risque technologique est devenu un risque opérationnel également couvert par un plan de continuité. Que ce soit pour la détection des fraudes, le déni de service, le piratage, la cybercriminalité… les gestionnaires de risque peuvent s’appuyer sur l’historique et les compétences des DSI.
Mais les risques inhérents à la fonction informatique cohabitent avec ceux d’autres départements. Ces derniers reposent aussi sur une forme d’automatisation à base de composants informatiques. Un premier exemple est porté par les dispositifs de scoring crédit dans les banques, automatisés depuis bien longtemps à base de moteurs d’inférence. Un autre sur les dispositifs « Bâlois » répondant aux exigences la réglementation « Bâle II ou Bâle III », qui calculent automatiquement le capital à réserver pour couvrir les risques de crédit, de marché et les risques opérationnels, à partir de méthodes statistiques simples ou avancées. Un troisième exemple nous est apporté par les dispositifs de gestion de crise, qui nous ramènent au cœur-même des dispositifs de continuité d’activité.
Pourquoi le rôle de la DSI est plus que jamais critique pour la gestion des risques et la continuité à l’ère digitale ?
D’abord parce que la DSI apporte des outils et des méthodes permettant de cartographier toutes les natures de risques en les liant directement à la connaissance de l’entreprise et de ses actifs, qu’ils soient métier, informatiques ou humains. Le plan de continuité est un sujet rarement simple en soi, encore moins dans des groupes complexes : sans outils à base de référentiel, il est strictement impossible de l’appréhender en mode « industriel », c’est-à-dire à la fois dans sa globalité et au niveau de détail requis. Or un plan de continuité ne peut se satisfaire d’à peu près. C’est tout, ou rien. Et donc c’est tout.
Ensuite parce que la DSI est en première ligne dans la mesure où la continuité du business, c’est très vite la continuité de la fonction informatique. Il suffit pour s’en convaincre de demander sur combien de « data centers » repose l’activité de la plus petite des entreprise « Fortune 1000 ». L’imbrication est déjà bien profonde, et l’ère digitale la renforce encore.
Enfin parce que la DSI sera nécessairement impliquée dans le choix et la mise en œuvre d’outils de gestion de la continuité d’activité. Par exemple, comment s’assurer que l’outil de gestion de crise sera bien épargné par la crise ? Pense-t-on pouvoir répondre à cette question sans la poser à la DSI ?
En réalité, et en conclusion, il y a une raison « intégrante » au caractère primordial du rôle de la DSI pour la gestion du risque et la continuité d’activité : c’est qu’il est impossible aujourd’hui d’envisager la gouvernance d’une organisation à l’ère digitale sans en confier une part significative à la DSI. La DSI comme acteur, non comme victime ou fonction support. Ceci peut commencer par la gestion automatisée des indicateurs de performance, pour aboutir à ce que l’on pourrait appeler une cybernétique de la gestion du risque, où, une fois décantées les priorités – quels sont les processus critiques et les ressources, donc critiques, sur lesquels ils reposent – la fonction informatique est mise à contribution pour automatiser autant que possible, et améliorer ensuite, le contrôle des risques.