Le rôle des DSI en matière de risk management

La gestion des risques, informatiques ou autres, a longtemps été traitée de manière artisanale par les entreprises, mais elle remporte aujourd'hui un franc succès auprès des grands comptes internationaux.

Le risque informatique est aujourd'hui une problématique majeure des entreprises, souvent dépendantes de leurs systèmes d'information et donc particulièrement exposées aux menaces qui pèsent sur leur activité.

Ces menaces peuvent avoir des conséquences opérationnelles (ralentissement voire arrêt de la production), financières (coût des investissements informatiques) ou légales (Sarbanes-Oxley, LSF, ...).

La gestion des risques, informatiques ou autres, a longtemps été traitée de manière « artisanale » par les entreprises, mais elle remporte aujourd'hui un franc succès auprès des grands comptes internationaux qui, poussés par une évolution des réglementations et un souhait de se prémunir au maximum contre les risques divers, demandent à leurs DSI de déployer des systèmes dédiés à cette problématique.

Le défi de la gestion des risques est donc plus que d'actualité pour les DSI avec comme ligne de conduite la mise en oeuvre d'une démarche normalisée et industrielle !

Mais cartographier et gérer les risques n'est pas pour eux une chose évidente. En effet, la gestion du risque informatique s'attache à identifier les risques qui pèsent sur le système d'information, ses activités, ses utilisateurs... Son analyse impose donc une veille étendue prenant en compte toutes les spécificités propres à la société.

L'on comprend donc parfaitement que la duplication d'un modèle existant est difficile à reproduire au vu des données spécifiques de chaque entreprise.

La réussite de ces projets passe finalement par une sensibilisation active de l'ensemble des collaborateurs. Il s'agit de mettre fin à des habitudes de gestion individuelle et d'insuffler un modèle organisationnel tourné vers le partage de l'information et le travail collaboratif.

Sans ce prérequis, les entreprises ne pourront pas mettre en place une véritable politique efficace de gestion de risque. En effet, le succès de ce type de déploiement repose sur une implication forte des collaborateurs qui doivent adhérer au processus défini (prise en compte de référentiels risques et de la méthodologie définie en amont, utilisation d'un outil de saisie normalisé ...).

Notons d'ailleurs que les phases amont de définition des référentiels risques occupent aujourd'hui une place grandissante dans les nouveaux projets de Risk Management.

Dans le contexte actuel, fort est de constater qu'une démarche industrielle reposant sur l'utilisation d'outils informatiques semble devenir la règle de fonctionnement.

Ce type de pratiques a d'ailleurs été largement porté par de grands groupes pour qui la cartographie et la gestion des risques informatiques représentaient une donnée stratégique et ce, quelle que soit la nature de leurs activités et leur organisation.

Néanmoins, la puissance et la fiabilité de l'outil de gestion du risque informatique ne font pas tout et il ne faut pas oublier que mots de passe, anti-virus et autres mesures de sécurité dépendent avant tout de contrôles définis et suivis par des personnes.

Sans une structuration stricte de la politique de gestion des risques et sans la mise en place de procédures détaillées respectées par tous les utilisateurs, il est toujours possible de contourner les contrôles informatiques. (C'est même considéré par certains comme un challenge !)

La gestion de ce type de risques est donc avant tout une problématique humaine où la moindre faille peut rapidement être exploitée, à des fins de malveillance ou non, mais toujours au péril de l'entreprise.

Dans le cadre de sa gestion des risques, le DSI doit donc instaurer une démarche efficace qui ne saurait dissocier la mise en oeuvre d'outils spécifiques et l'application de mesures de contrôles rigoureuses.