Les DSI, remparts de l’entreprise contre le risque

Face à l'ampleur d'une panne du système d'information dans l'entreprise, les DSI doivent savoir mesurer les risques et les maîtriser en utilisant des démarches méthodiques.

Le 4 juin 1996, le vol inaugural d'Ariane 5 devait être un triomphe. Il ne dura que 40 secondes. Après analyse, on s'aperçut que la destruction de la fusée avait été causée par un logiciel embarqué écrit pour Ariane 4 et qui n'avait pas été testé dans le contexte du nouveau lanceur.

Pire, ce programme avait été conçu du temps d'Ariane 3 pour répondre à un besoin rendu caduc par les nouvelles procédures de tir ! Coût du désastre pour un morceau de code faux et inutile : 380 millions d'euros.

Printemps 2007. Un bug informatique bloque l'ouverture par carte magnétique des chambres d'un hôtel prestigieux. Seul le passe du personnel de l'accueil permet aux clients de regagner leur chambre, mais un employé l'a emporté chez lui par inadvertance... Par chance, les conséquences sont ici bénignes, mais l'image de la chaîne propriétaire de l'hôtel est néanmoins écornée.

D'ampleur et de nature très différente, ces deux exemples ont cependant un point commun : les deux incidents auraient pu être évités si l'on avait systématiquement envisagé les risques dans la conception et l'exploitation des systèmes informatiques embarqués ou opérationnels.
 
Dans la plupart des entreprises, la prise de risque fait naturellement partie intégrante de chaque projet, de chaque option stratégique, mais elle est rarement formulée comme telle, et encore moins évaluée, pondérée, de façon à devenir un critère de management et de prise de décision. Or, de plus en plus, les démarches de bonne gouvernance se doivent d'intégrer une approche de la gestion par le risque.

Pour une entreprise, le risque, c'est un événement potentiel susceptible de nuire à son activité et d'entraîner des conséquences significatives en termes de réputation, d'économie voire de vies humaines. Il faut donc d'emblée distinguer le risque - ponctuel, inattendu - du problème, dont on sait par avance qu'on devra le résoudre. Par exemple, sur un projet informatique, disposer des ressources suffisantes est un problème ; perdre en cours de route un membre clé de son équipe est un risque.

On distingue ensuite deux grands types de risques. Nonobstant les éventuels dommages humains, matériels ou environnementaux, le risque pour l'entreprise peut en effet se traduire par des préjudices de deux natures : financier et de réputation. L'un va d'ailleurs rarement sans l'autre tant les erreurs sont aujourd'hui médiatisées. Les pertes d'aujourd'hui peuvent ainsi engendrer celles de demain : on parle alors de risque positif (une perte d'opportunité), par opposition au risque négatif (une perte sèche).

On constate enfin que la cause d'un incident est rarement unique, mais que le problème a, en général, été occasionné par un faisceau d'événements conjugués. En affinant l'analyse, on se rend compte que l'on peut incriminer trois grands types de facteurs : des processus inadaptés, des technologies pas assez robustes, et une gestion inefficace de la crise. Dans chacun des cas, le rôle de l'informatique est souvent prépondérant...
 
Prévenir le risque dans l'entreprise, c'est donc évaluer si les outils, les hommes et les compétences ainsi que les structures organisationnelles sont capables de minimiser la probabilité d'occurrence des incidents et d'y répondre efficacement s'ils survenaient malgré tout. Lorsqu'une entreprise décide de lancer une véritable politique d'analyse et de prévention des risques, elle va le plus souvent faire appel à un conseil extérieur.

Celui-ci apporte non seulement une méthodologie, qui permet un recensement exhaustif et une classification des risques encourus, mais également un regard neutre. En effet, non seulement les risques ne sont pas identiques d'un domaine à l'autre de l'entreprise, mais un même risque peut également être perçu différemment en fonction des intérêts respectifs de chacun. Il s'agit donc d'harmoniser les points de vue dans une démarche pluridisciplinaire pilotée et arbitrée par la direction générale. On procède à des entretiens avec les responsables des différentes directions, parfois approfondis jusqu'aux équipes opérationnelles pour les points les plus sensibles.

La question sous-jacente est toujours la même : quel événement, ou quelle situation, pourrait le plus compromettre votre activité ? On s'intéresse aussi à la récurrence des situations et donc des risques. En procédant ainsi, par "worst case scenarios", on met le doigt sur les risques véritablement encourus, qui diffèrent parfois des risques perçus.

Ces entretiens permettent d'établir une classification des risques selon deux axes : leur probabilité d'occurrence et leur impact. A ce stade, il convient alors d'établir des business cases associés à chacun des risques de façon à évaluer le coût de la prévention relativement au préjudice potentiel. C'est ainsi que l'on va pouvoir décider des mesures à prendre et les prioriser dans un plan global de réduction des risques.
 
On s'aperçoit dès lors que dans les entreprises d'aujourd'hui peu, sinon aucune, des mesures envisagées sont indépendantes de l'informatique. Qu'il s'agisse des systèmes de gestion, opérationnels, d'alerte, de communication ou bien des systèmes embarqués au sein des produits, l'informatique est omniprésente, à la fois sujette aux risques et indispensable à leur prévention. Le système d'information est la moelle épinière de l'entreprise : s'il est touché, l'entreprise est impactée, et la réciproque est également vraie.

C'est pourquoi la définition de ce qu'on appelle l'IT Risk Management va au-delà de sa traduction par "gestion du risque informatique" : c'est en effet tout autant la gestion du risque par l'informatique. Dans ce contexte, le rôle du DSI est essentiel. Si la volonté de maîtrise des risques est une démarche d'entreprise, le plus souvent initiée au niveau de la direction générale, c'est bien au niveau des systèmes d'information que seront déployés les garde-fous nécessaires.

Sécurité des infrastructures et des données, processus de développement et maintenance, gestion des compétences, déploiement d'indicateurs : amené à jouer un rôle majeur dans la mise en place des systèmes et des procédures, le DSI doit être un moteur de ces initiatives pour ne pas avoir à les subir mais au contraire à en conserver la maîtrise.
 
La gestion par le risque constitue souvent un véritable changement culturel pour l'entreprise, et c'est pourquoi ce doit être une démarche progressive et continue. Il faut commencer modestement, par exemple en appliquant la méthode au périmètre d'un projet ou d'une entité, ou, dans une PME, en formant un référent risques qui sera ensuite porteur de cette idée dans l'entreprise. Puis, au fil des réalisations, on peut étendre la démarche et surtout approfondir la sensibilisation de chacun. Car la première étape de la prévention d'un risque est d'en prendre conscience.