management des risques : plaidoyer pour une vision unifiée

LES SYNTHÈSES SOLUCOM

Management des risques : plaidoyer pour une vision unifiée

Observatoire du management des systèmes d’information

no42

Le Sourcing des études

2• Les Synthèses © Solucom - Mars 2012


Marion Couturier est consultante senior chez Solucom, au sein de la practice Sécurité & risk management depuis 2007.

Diplômée de Telecom École de Management, elle intervient auprès de nos clients dans la mise en place de leur gouvernance sécurité, la réalisation de cartographies des risques et l’animation de campagnes de sensibilisation.

[email protected]

Etienne Bouet est manager chez Solucom, au sein de la practice Sécurité & risk managementdepuis 2008.

Diplômé de l’Institut des Sciences de l’Ingénieur de Montpellier, il a débuté sa carrière dans un cabinet d’audit. Chez Solucom, il accompagne nos clients dans l’évaluation et l’amélioration de l’organisation de leurs filières risques et sécurité. Il anime des démarches transverses de gestion des risques.

[email protected]

Gérôme Billois est manager chez Solucom, au sein de la practice Sécurité & risk manage-ment depuis 2004.

Diplômé de l’INSA Lyon, il accompagne depuis plus de 10 ans les DSI et RSSI dans l’évalua-tion et la mise en place de leur gouvernance sécurité et dans leurs projets de sécurisation de l’information.

[email protected]

Solucom remercie Patrick Peretti-Watel, docteur en sociologie du risque à l’INSERM, pour son intervention lors de notre Atelier du 22 septembre 2011, ainsi que tous les participants de l’Atelier.

2• Les Synthèses © Solucom - Mars 2012 Mars 2012 - Les Synthèses © Solucom 3•

ÉDITOLa gestion des risques : un des piliers de la gouvernance SI

Dans tous les bons manuels de management et de gouvernance, la gestion des risques

est bien considérée comme l’un des processus clés à mettre en place. Et ce constat se

vérifie aussi dans le domaine des systèmes d’information. Ainsi l’IT Governance Institute

évalue le niveau de maturité de la gouvernance SI à travers 5 grands domaines : l’ali-

gnement business / SI, l’apport de valeur ajoutée, la gestion des ressources, la mesure

de la performance et enfin, la gestion des risques.

Pourtant, les DSI ne l’ont pas encore intégrée dans leurs pratiques de pilotage courantes.

Entre la sécurité des systèmes d’information d’un côté, essentielle mais qui ne couvre

que très partiellement le sujet, et la gestion des risques opérationnels de l’autre, souvent

trop lointaine, la gestion des risques SI reste très mal couverte.

Peut-être est-ce tout simplement un symptôme de la faible maturité générale de la

gouvernance SI ? Nous sommes en effet tout juste en train de sortir de l’ère des DSI

« exécutantes », gérant au mieux la demande en silos des métiers, pour passer à l’ère

des DSI pilotes de leur stratégie, échangeant d’égal à égal avec les métiers pour faire

évoluer le SI comme un ensemble cohérent, au service de la stratégie de l’entreprise.

Dans ce mouvement de montée en maturité de la gouvernance SI, la gestion des

risques est bien une composante essentielle. Elle fait partie intégrante du dispositif

de pilotage et d’aide à la décision du DSI. Et elle doit s’articuler avec la gestion des

risques de l’entreprise, à la hauteur du poids critique que représente maintenant le SI.

Que recouvre la gestion des risques SI ? Comment l’articuler avec les filières organisa-

tionnelles existantes ? Comment la mettre en place ? Autant de questions auxquelles

nous vous proposons de répondre à travers cette nouvelle Synthèse de notre observatoire

du management des systèmes d’information.

Bonne lecture à tous.

Laurent Bellefin,

Directeur associé

Directeur de la publication

« I l y a bien des manières de ne pas réussir, mais la plus sûre est de ne jamais prendre de risques. » Benjamin Franklin




Quelle perception du risque dans la société ? Avant de plonger dans la gestion du risque en entreprise, prenons un peu de recul pour nous intéresser à la gestion du risque dans notre monde moderne.

Agrégé en sciences sociales, Patrick Peretti-Watel est docteur en sociolo-gie du risque et statisticien. Il a écrit de nombreux ouvrages sur le risque dans la société et a présenté, lors de l’Atelier Solucom, son point de vue sur cette thématique au cœur de nos préoccupations.

Un monde paradoxalement moins dangereux mais plus risqué…Alors que notre monde est de moins en moins dangereux, comme l’atteste notamment l’allongement considé-rable de notre espérance de vie depuis un siècle, nous avons aujourd’hui le sentiment de vivre dans un monde de plus en plus risqué. Risques ali-mentaires, écologiques, technolo-giques, financiers, métiers à risques, populations à risques… le risque est omniprésent et sans cesse mis sur le devant de la scène médiatique.

Pour paraphraser le philosophe François Ewald, rien n’est en soi un risque, mais tout peut en devenir un. Le risque est plus une façon d’appré-hender le réel, associée à une volonté de maîtriser l’avenir. Cette « mise en risque » progressive du monde est justement ce qui caractérise l’histoire du 20ème siècle. C’est dans ce sens que l’on parle parfois de la « société du risque », ou de la « civilisation du risque ». Dans une certaine mesure, plus nous « fabriquons » des risques, plus nous gagnons en sécurité : c’est pour cela que nous vivons dans un monde qui est para-doxalement de plus en plus risqué et de moins en moins dangereux.

Quel comportement face au risque ? Erving Goffman, sociologue améri-cain, remarquait que les hommes, comme les animaux, oscillent en permanence entre deux états d’acti-vité, la veille et l’alarme, passant de

l’un à l’autre lorsqu’un signal attire leur attention sur un danger dans leur environnement. Pour lui, certains individus sont plus sensibles que d’autres à ces signaux et plus prompts à réagir : « À considérer la tendance des individus à être tantôt tranquilles et tantôt sur leurs gardes, il est facile de voir que certains ressemblent à la biche, toujours prête à s’effrayer, alors que d’autres ressemblent à la vache, lente à se mobiliser ». Pour prolon-ger cette analogie, dans la mesure où, aujourd’hui, notre capacité à identi-fier des risques croît beaucoup plus vite que notre capacité à les gérer, on pourrait dire que l’homme moderne possède les aptitudes perceptives d’une biche, mais la réactivité d’une vache. Évidemment, ce décalage est anxiogène !

L’incongruité du risque zéroLa « mise en risque » progressive du monde a été au 20ème siècle corrélative d’une nouvelle utopie : celle du risque zéro. L’expansion continue du risque est portée par un espoir qui peut sem-bler rétrospectivement un peu naïf : on a longtemps pensé que la science, grâce aux techniques du risque, allait parvenir à éradiquer certains dangers pour nous garantir une sécurité totale.

Mais dans de nombreux domaines, les experts ont dû admettre que le risque nul n’existe pas, que certains risques sont rémanents, que d’autres sont concurrents, et que la réduction

des uns peut renforcer les autres. Par exemple, certains médicaments qui servent à réduire le risque de rechute après un type de cancer ne sont pas prescrits trop longtemps, car ils aug-mentent les risques d’autres cancers.

L’échec de l’utopie du risque zéro s’explique de différentes façons. L’une d’entre elles est l’intrusion du facteur humain. C’est ce qu’illustre par exemple la théorie du risque homéostatique. Selon cette théorie, les individus ne recherchent pas for-cément le risque zéro, ils sont même prêts à s’exposer à un certain niveau de risque qu’ils jugent « accep-table », pour en retirer un bénéfice. Par exemple, lorsque l’on a équipé des taxis allemands de systèmes qui réduisent la distance de freinage, dans un premier temps cela a réduit leur risque d’accident… Mais les chauffeurs se sont adaptés en en profitant pour conduire plus vite et en freinant plus tardivement, de sorte qu’au final, le nombre d’accidents est resté identique. L’ajustement du comportement de ces chauffeurs a ainsi rendu inopérante la mesure de réduction du risque d’accident.

Plus généralement, les experts de la sécurité ont souvent tendance à se focaliser sur le risque qu’ils ont à gérer, et peinent à se rendre compte que les individus qui sont exposés à ce risque peuvent très bien avoir d’autres contraintes, d’autres risques.

« L’homme moderne pos-sède les aptitudes percep-tives d’une biche, mais la réactivité d’une vache. Évidemment, ce décalage est anxiogène ! »


Par exemple, lorsqu’a été envisagé le fait d’enfouir des déchets radioactifs à Marcoule, la commission mise en place pour évaluer les risques s’est rendue compte qu’elle n’avait pas du tout envisagé le risque qui préoccu-pait le plus les viticulteurs locaux : un risque commercial fort, étant donné que ces viticulteurs exportaient beau-coup de leur vin vers le Japon…

Un déni du risque redoutableDans les années 80, l’anthropologue Françoise Zonabend a travaillé sur l’usine de retraitement des déchets radioactifs, située à La Hague. Dans cette usine, les ouvriers de La Hague étaient enclins à ce que l’on appelle le déni du risque. Autrement dit, face aux experts qui leur parlaient du risque de contamination radioactive auquel ils étaient exposés, ils avaient tendance à se trouver de bonnes raisons pour juger qu’eux-mêmes n’étaient pas ou peu exposés à ce risque, même si d’autres l’étaient. Les jeunes recrues pensaient que le risque toucherait les plus expérimentés, moins bien formés qu’eux. Les plus anciens étaient au contraire convaincus que seuls les jeunes, moins expérimentés qu’eux, étaient en danger.

Le déni du risque s’appuie souvent sur une stratégie de « bouc émis-saire », qui consiste à mettre un risque à distance en estimant que ce risque ne concerne qu’une caté-gorie d’individus bien particulière, à laquelle on n’appartient pas soi-même. Beaucoup de gens continuent à croire, aujourd’hui encore que le virus du VIH ne peut toucher que les homosexuels ou les toxicomanes. Ils ne se sentent donc pas concernés par les campagnes de prévention.

Un principe de précaution qui devient principe d’abstention Ces dernières décennies ont également été marquées par ce que l’on appelle le principe de précaution qui, dans une certaine mesure, marque une forme de

retour à l’utopie du risque zéro. Selon la loi Barnier de 1995, le principe de précaution implique que « l’ab-sence de certitudes, compte tenu des connaissances scientifiques et tech-niques du moment, ne doit pas retar-der l’adoption de mesures effectives et proportionnées visant à prévenir un risque de dommages graves et irré-versibles à l’environnement à un coût économiquement acceptable ». Nous avons largement pu expérimenter ce principe de précaution : ce dernier est très souvent invoqué pour récla-mer ou justifier des mesures préven-tives en l’absence de certitudes sur le risque encouru : cas de la vache folle, des OGM, des champs électromagné-tiques… En vertu de ce principe, le politique ou l’industriel a un devoir d’anticipation, il doit tenir compte des incertitudes scientifiques à long terme.

Mais aujourd’hui, est fait un usage galvaudé de ce principe de précau-tion, ce dernier se transformant en principe d’abstention. Il est invoqué à tort et à travers, passe outre les garde-fous posés par la loi, fait seu-lement mention des risques « graves et irréversibles » et n’envisage que des mesures « proportionnées », à un coût « économiquement accep-table ». Sans ces restrictions de bon

sens, ce principe conduit à toujours envisager le pire, et à payer très cher pour viser un « risque zéro » hors d’atteinte. Au nom de ce principe, vous pouvez défendre la vaccination de masse : il était théoriquement possible que la grippe H1N1 fasse des millions de victimes en France, il fallait donc vacciner tout le monde. Mais inversement, le nouveau vac-cin préparé dans l’urgence avait une probabilité non nulle d’engendrer des effets secondaires très graves : ainsi, au nom du même principe de précau-tion, la population pouvait tout aussi bien refuser de se faire vacciner.

Deux dimensions du risque, technique et humaineAujourd’hui, la gestion d’un risque, dans la société comme au sein d’une entreprise, implique au moins deux dimensions interdépendantes. D’abord une dimension technique, qui doit déterminer les coûts et les bénéfices attendus, ainsi que le degré d’acceptabilité du risque. Ensuite une dimension humaine, qui implique un dialogue avec les personnes concernées, et en particu-lier, au sein d’une entreprise, avec les salariés, avec les métiers, pour que leurs points de vues, leurs besoins et leurs objectifs propres soient pris en compte.




Un enjeu : savoir prendre des risques !

Une gestion des risques à mettre au service des métiers et de l’innovation Tout comme la société, l’entreprise évolue dans un environnement de risques qui sont de natures très différentes et touchent toutes les facettes de l’entre-prise : sa stratégie, son business, son système d’information...

Les menaces qui pèsent sur l’entreprise peuvent être dues à son environnement ou être liées à ses mutations :

• Exigences croissantes des clients, partenaires et utilisateurs… ;

• Durcissement des réglementa-tions ;

• Fusions, repositionnements, res-tructurations ;

• Émergence de la responsabilité sociétale ;

• Prise de conscience aigüe des risques technologiques et envi-ronnementaux, mis en lumière par des incidents de grande ampleur comme Fukushima en 2011.

Une gestion au service de l’atteinte des objectifs de l’entreprise La perception de plus en plus nette des menaces pousse les entreprises à mettre en œuvre des démarches de gestion des risques. Malheureusement, ces démarches restent encore trop sou-vent perçues comme des contraintes venant brider les métiers créateurs d’initiatives et de valeur.

Les démarches de gestion des risques peuvent donner l’impression de sur-traiter le risque, voire de le refuser systématiquement. En se focalisant sur les pertes potentielles, les filières de gestion des risques oublient par-fois les gains potentiels d’une prise de risque. Se développer sur un nou-veau marché, adapter son offre com-

merciale, acquérir une société… sont autant de démarches « risquées » qui se révèlent aussi sources potentielles de profits pour l’entreprise et bien sou-vent nécessaires à son évolution. Pour chaque risque, c’est ce difficile exer-cice d’équilibre entre gains et pertes potentielles qui doit permettre de modi-fier la perception que les métiers ont des démarches de gestion des risques.

Cibler une prise de risque alignée avec les enjeux métiersUne gestion des risques efficace doit apporter une aide à la décision et une réponse assumée et proportionnée aux menaces pesant sur l’entreprise. Cela ne peut être atteint qu’en collaboration avec les directions métiers qui sont les seules à même d’évaluer les impacts sur leurs activités.

« En se focalisant sur les pertes potentielles, les filières de gestion des risques oublient parfois les gains potentiels d’une prise de risque. »


Des risques très divers à gérerUn pré-requis : formaliser les objectifs de l’entreprise…Les risques créent une incertitude sur l’atteinte des objectifs de l’entreprise (définition de l’ISO 31000). Pour identifier, évaluer et gérer les risques, il est donc essentiel pour l’entreprise de bien identifier et formaliser ses objectifs. Cette définition permettra d’anticiper les menaces et d’empê-cher leur concrétisation.

L’environnement et le contexte interne sont également des éléments clés à intégrer dans sa gestion des risques : enjeux réglementaires, organisation interne, partenaires, forces et fai-blesses, etc.

… pour identifier les risques et leurs porteursLes risques touchent tous les niveaux de l’entreprise et sont portés en consé-quence par des acteurs multiples.

La Direction générale gère les risques stratégiques. Elle s’intéresse au travers de ces risques aux défaillances de la stratégie de l’entreprise qui pourraient avoir un impact sur son existence même. Il s’agit par exemple des risques relatifs aux fusions / acquisitions, etc.

Les risques métiers sont portés par les directions en charge de ces fonctions, car ils affectent directement le cœur de métier. Ainsi, la Direction commer-ciale s’intéressera aux risques relatifs aux ventes et aux clients, la Direction de la logistique aux risques relatifs à l’approvisionnement.. Ces risques dif-fèrent d’une organisation à l’autre : ils peuvent être particuliers à un secteur, comme par exemple le risque de mar-ché pour les banques.

Modélisation du risque

Les scénarios de risques sont caractérisés par :• les menaces et leur vraisemblance dans le contexte

de l’organisation ;• les vulnérabilités, c’est-à-dire les faiblesses intrinsèques

de l’entreprise, qu’elles soient organisationnelles, humaines ou techniques ;

• les objectifs qui pourraient être remis en cause...• … et les impacts occasionnés. On peut illustrer le « risque » à travers une situation très concrète : la menace serait un cambriolage, la vulnérabilité associée au manque de système d’alarme, l’objectif étant la sécurisation des objets de valeur dans la maison. L’impact est ici clairement identifié à travers la perte de biens de valeur et autres dommages occasionnés.

Enfin, les risques opérationnels sont similaires dans toutes les entreprises. Ils recouvrent les risques relatifs aux processus, aux personnes et aux sys-tèmes de l’entreprise. Il s’agit notam-ment des risques SI, sécurité, conti-nuité, RH, fraude, etc. Ces dernières années, les risques opérationnels ont fait l’objet d’une attention de plus en plus importante du fait du renforce-ment des réglementations, plus parti-culièrement dans le secteur financier.




Le SI, colonne vertébrale de l’entreprise, est au cœur de la gestion des risques

Parmi les risques opérationnels, les risques liés aux systèmes d’infor-mation ont évolué particulièrement rapidement ces dernières années et doivent faire l’objet d’une gestion de risques à part entière. Autour de l’information s’articulent en effet différents domaines de risques très dépendants les uns des autres.

Tout d’abord, les risques du système d’information sont des risques trans-verses à l’entreprise, qui intègrent l’ensemble des risques métiers et opérationnels ayant une composante SI. Il peut s’agir par exemple de la non-adéquation d’une application à un besoin métier, de la non-atteinte des niveaux de service ou encore d’une gestion de projet défaillante.

Les risques sécurité de l’information recouvrent pour partie les risques du système d’information. En effet, ils comportent une large composante SI, mais n’y sont pas limités. Ainsi, la sécurité de l’information couvre également les dimensions orales et papier de l’information. Bien ancrés

dans les pratiques de gestion de risques des entreprises, ils font sou-vent l’objet d’une filière dédiée.

Il en va de même pour les risques de continuité d’activité. Ils regroupent des risques SI sur les aspects conti-nuité informatique, mais débordent largement sur les risques opération-nels en traitant le secours utilisateur et les aspects logistiques, RH, juri-diques, etc.

Les référentiels de gestion des risques

Il existe des référentiels et des normes pour gérer la plupart des types de risques. S’ils convergent sur un certain nombre de concepts fondamentaux, leurs modalités de mise en oeuvre divergent en revanche : méthodologies variées, différences de vocabulaire, etc. Il manque ainsi un cadre commun de gestion du risque, applicable à l’ensemble de l’entreprise. L’ISO 31000 est dans ce domaine la norme aujourd’hui la plus globale qui, bien que récente, se généralise peu à peu. Elle définit les grands principes de gestion des risques en entreprise, en s’appuyant sur des processus et un modèle d’amélioration continue.

Les domaines de risques autour du SI

Principaux référentiels utilisés pour gérer les risques

« Autour de l’information s’articulent différents domaines de risques très dépendants. »


De multiples acteurs pour gérer les risques liés au SI

Solucom a analysé les pratiques d’un panel de 50 grandes organisations fran-çaises. Collectées fin 2011, ces infor-mations permettent d’identifier quatre acteurs principaux intervenant dans la gestion des risques SI liés au SI :

• Le Directeur des risques. Il assure la gestion des risques opérationnels et l’animation de la filière risques. Il rapporte généralement directe-ment à la Direction générale ;

• L’IT risk manager (IT RM). Il gère les risques SI, en lien avec la DSI et les métiers ;

• Le Responsable de la sécurité du SI (RSSI). Il a en charge les risques de sécurité du SI et le plus souvent de la sécurité de l’information au sens large ;

• Le Responsable plan de continuité d’activité (RPCA). Il gère les risques d’interruption de l’acti-vité : perte d’un bâtiment, d’un site informatique, etc.

Le degré d’adoption de ces diffé-rentes fonctions est variable en fonction de la maturité de la filière concernée (voir schéma ci-dessous).

Dans certains contextes, une même per-sonne peut cumuler plusieurs fonctions.

Un Directeur des risques qui ne gère pas toujours les risques SI Plus de la moitié des entreprises dispose d’un Directeur des risques ou Responsable des r isques opérationnels, et près de 90%

des Banques / Assurances. Si le Responsable des r isques opérationnels s’intéresse à un périmètre englobant ces risques, il n’est pas systématiquement pos i t ionné en coordinateur des filières SSI, PCA et SI. Ce positionnement est notamment lié au fait que les filières SSI et PCA ne sont pas toujours rattachées à la Direction des risques.

Un rôle d’IT risk manager en émergenceUne nouvelle fonction est en train d’émerger pour la gestion des risques SI : l’IT risk manager. À la croisée des risques touchant le SI, 20% des entreprises se sont désormais dotées d’un poste dédié d’IT risk manager. Ces chiffres sont encore supérieurs dans le secteur Banque / Assurance, avec 36% d’IT risk manager nommés.

Pour l’instant largement rattaché à la DSI (55%), le poste se déporte petit à petit vers la Direction des risques (32%), positionnement qui contribuera à rapprocher l’IT risk manager de la vision métier des risques.

Une fonction RSSI démocratisée

La fonction de RSSI est largement installée dans les entreprises, et son périmètre d’activité ne se limite plus aux risques de sécurité de l’in-formation. Son rattachement reste fortement lié à la DSI, de laquelle il dépend dans deux tiers des cas, même s’il est de plus en plus proche de la Direction des risques. Cette ten-dance est nettement marquée dans le secteur de la Banque / Assurance.

Le RSSI assure dans 43% des cas le rôle d’IT risk manager émergent et dans 42% des cas le rôle de RPCA.

Un RPCA en lien fort avec le RSSI et le Directeur des risques Le rôle de RPCA est largement répandu, même s’il ne fait pas tou-jours l’objet d’une filière dédiée et qu’il reste dans 42% des cas endossé par le RSSI.

Quand le poste existe, il est dans plus de la moitié des cas rattaché à la Direction des risques, voire jusqu’à 70% dans le secteur de la Banque / Assurance.

Acteurs mobilisés pour gérer les risques liés au SI

À qui est rattaché à l’IT risk manager ?

À qui est rattaché le RSSI ?

À qui est rattaché le RPCA ?

Panel de 50 grands comptes français tous secteurs confondus




Casser les silos...

Une vision d’ensemble difficile à obtenir Les multiples acteurs qui composent les filières de gestion des risques SI agissent le plus souvent indépen-damment les uns des autres. Chaque responsable traite ses risques avec sa propre méthode, sa propre échelle, son propre référentiel... tout en ayant peu voire même aucun échange avec les autres acteurs.

L’existence de filières de gestion des risques dédiées démontre une certaine maturité : elles apportent des réponses expertes aux risques qu’elles prennent en charge.

Mais ce fonctionnement en silos n’optimise ni l’identification, ni l’éva-luation et le traitement des risques. Les différents acteurs (DSI, RSSI, RPCA…) vont être, chacun indépen-damment, amenés à apporter des réponses. Ces silos pénalisent l’entre-prise dans son processus de prise de décision car ils ne permettent pas de répondre aux questions essentielles qu’elle se pose : • Quelle est globalement mon

exposition aux risques ?

• Ai-je bien mis les priorités aux bons endroits ?

Dès lors, il ne peut y avoir de réponse globale. Or c’est bien au niveau « entreprise » que la gestion des risques prend tout son sens.

…et d’inévitables redondances L’approche en silos a un second inconvénient : elle génère natu-rellement une sur-sollicitation des métiers : souvent autant de sollici-tations que de filières ! Or s’il est nécessaire que les acteurs de la gestion des risques SI collaborent

avec les directions métiers, notam-ment pour évaluer les impacts des risques, il ne faut pas que cette implication devienne excessive et donc contre-productive.

La solution réside donc dans l’or-chestration d’une collaboration entre les différents acteurs de la gestion des risques SI. Il ne s’agit pas de fusionner complètement les silos, mais de les transformer et de les faire collaborer pour assurer une gestion efficace des risques SI au niveau entreprise.

Comment les entreprises évaluent-elles leur gestion des risques ?

Dans l’étude menée, plus de la moitié des entreprises du panel jugent leur démarche de gestion des risques « assez effi-cace ». Pour 95% des entreprises, il y a une marge de progrès à franchir pour renforcer leur maturité et assurer une ges-tion optimale des risques. Cette marge de progrès réside principalement dans l’organisation et les méthodes de travail.

La prise de risque n’est pas mesurée dans 24% des cas : n’est-ce pas cela le risque majeur ?

Une gestion de risques en silos

Comment jugez-vous l’efficacité de la démarche risque ? Comment jugez-vous la prise de risque ?

Réponse risque SI

Réponse risque SSI

Réponse risque continuité

DSI

RSSI

RPCA

Risk manager

Clie

nts

Conc

urre

nce Pa

rtena

ires

Régu

late

urs


…en articulant les filières de gestion des risques traitant du SI

Voici quelques organisations « types » rencontrées dans les entreprises permet-tant, avec un niveau d’efficacité graduel, de répondre aux enjeux de la gestion des risques liés au SI. Ces principes pourraient être appliqués ensuite aux autres domaines de risques de l’entreprise.

La tour de Babel, des langages différents

L’organisation « tour de Babel » maté-rialise une situation où chacun parle des langages différents. Dans ce cas de figure, majoritaire aujourd’hui, les constats sont évidents :

• Il n’y a pas de liens entre les filières. Chacune traite de son périmètre en appliquant sa propre méthode ;

• Chaque filière s’adresse aux métiers indépendamment et sans concertation avec les autres acteurs de la gestion des risques, entraînant de multiples sollicitations ;

• Chaque filière remonte ses propres risques à la Direction générale.

Dans cette configuration, la consolida-tion de l’ensemble des risques iden-tifiés indépendamment les uns des autres n’est pas faite. Aboutir à une vision « entreprise » des risques est dès lors tout simplement impossible.

La tour de Pise, une situation déséquilibrée

L’organisation « tour de Pise » sym-bolise une situation déséquilibrée. Ce déséquilibre s’explique par une ébauche de consolidation verticale des risques vers la Direction des risques. Chaque cartographie des risques est intégrée à la cartogra-phie du niveau « supérieur » (par exemple : risques de continuité inté-grés aux risques sécurité).

Néanmoins, dans ce type d’organisa-tion, l’information redescend généra-lement peu vers les métiers qui restent sollicités de manière indépendante et souvent incohérente par l’ensemble des acteurs du risque. Les métiers ont en conséquence du mal à identifier l’intérêt de la démarche risques.

Dans cette organisation, les décisions sont prises sur des bases peu solides. Comment s’assurer de la pertinence des risques qui « remontent » jusqu’à la Direction générale ? Sont-ils vrai-ment les risques les plus importants de l’entreprise ? Sans concertation de l’ensemble des acteurs de la « filière » risque, il reste délicat de répondre à ces deux questions clés. En conséquence, si cette organisa-tion est plus opérante que la « tour de Babel », elle n’est néanmoins pas encore idéale.

La tour de contrôle, l’organisation intégrée cible

L’organisation la plus optimale est la « tour de contrôle », symbole d’une vision d’ensemble ainsi que d’une information partagée et consolidée. Dans cette situation, tous les acteurs de la gestion du risque SI partagent la même démarche. Ils se concertent sur la méthode, utilisent les mêmes échelles d’évaluation des risques et centralisent les résultats. Ce rappro-chement favorise ainsi la consolida-tion d’une information validée par tous et la construction d’une vision cohérente de l’ensemble des risques de l’entreprise. L’approche « tour de contrôle » favorise par ailleurs l’opti-misation budgétaire dans la mesure où elle permet de se concentrer sur les plans de réduction des risques jugés prioritaires.

Attention, rapprochement des filières ne veut néanmoins pas dire fusion des filières. Chacune a recours à des compétences, des expertises et des normes spécifiques.

La « tour de contrôle » est l’orga-nisation optimale mais il n’est pas évident de l’implémenter immédia-tement. Sa mise en place progressive est, de ce fait, préférable si elle pose les bases d’une approche des risques partagée et permet un changement de culture.




Étape 1 - Utiliser une échelle commune : un pré-requis à la démarche L’échelle vise à mesurer de manière objective les risques. Elle comprend deux axes : la probabilité et l’impact qui, combinés, permettent d’évaluer la criticité du risque.

Disposer d’une échelle commune au sein de l’entreprise semble une évi-dence. Pourtant, il est rare que cette bonne pratique soit en place, ce qui complexifie la collaboration entre les filières. Cette lacune rend impossible une lecture d’ensemble des cartogra-phies des risques élaborées. La pre-mière étape pour intégrer les filières de gestion des risques est donc de définir des échelles communes. La collecte des échelles en vigueur, leur analyse et la rencontre des porteurs des filières doivent permettre d’iden-tifier les points de dépendance clés. Quels sont les critères communs à l’ensemble des filières ? Quelles sont les spécificités de chacune ?

Cette phase d’analyse passée, il s’agit ensuite de construire les échelles cibles, en trouvant un compromis entre les visions des différents acteurs. Les métiers doivent en effet se reconnaître dans les types et les niveaux d’impacts définis. L’atteinte d’un consensus n’est pas toujours aisé, mais il est nécessaire de rester ferme sur l’utilisation d’une échelle commune pour permettre la suite de la démarche.

Exemple d’échelle d’impact financier

Les 1ères étapes de l’intégration des filières en pratique La mise en place de l’organisation « tour de contrôle » peut être réalisée selon les étapes suivantes : utilisation d’une échelle commune, définition d’un porte-feuille de risques, optimisation du travail avec les métiers et mise en commun des plans d’actions.

Facteurs clés de succès

Dans cet exercice, quelques clés permettent de garantir le caractère opéra-tionnel des échelles définies :

• L’impact financier suffit rarement à qualifier de manière représentative les impacts d’un risque, sans compter qu’il est parfois difficile pour les métiers de le quantifier. Il est donc judicieux d’intégrer les impacts opé-rationnels, juridiques ou encore d’image. Cette adaptation est à faire au regard des enjeux propres au secteur d’activité de l’entreprise.

• Les événements déjà survenus dans l’organisation ou son environnement permettent de calibrer de manière appropriée l’échelle.

• Enfin, la définition d’une échelle commune à l’entreprise doit permettre une certaine latitude et permettre des évolutions futures. Ainsi, il est préférable de fixer quatre voire cinq niveaux dans l’échelle, quitte à ce que certaines filières ou entités n’en utilisent qu’un sous-ensemble adapté à leur situation. Si l’échelle entreprise ne prévoit pas suffisamment de niveaux, les résultats finaux peuvent manquer de finesse et certains risques peuvent être « noyés » dans la masse, nuisant à l’analyse et la capacité de décision.

« Il est nécessaire de rester ferme sur l’utilisation d’une échelle commune pour permettre la suite de la démarche. »


Exemple de recouvrement de risques liés au SI

Étape 2 - Construire un portefeuille de risques : un référentiel de pilotage uniqueUne fois les échelles définies, il s’agit de construire le portefeuille de risques. La démarche de fédération et d’intégration du travail de plusieurs filières de gestion des risques doit effectivement passer par une étape de mise en commun des risques. Cela permet de définir la structure d’un portefeuille de risques. Ce référentiel centralisera le résultat du travail de chacun et sera la base du reporting.

La constitution d’un portefeuille de risques commence par l’analyse de l’existant : quels sont les objectifs de chacun ? Quels types de risques sont traités ? Cette première étape permet

de structurer les types de risques gérés au sein de grands domaines constituant le portefeuille, dans une logique de « catalogue » de risques génériques.

Il convient ensuite d’identifier les zones de recouvrement. En effet, il est bien souvent impossible de posi-tionner un risque dans une unique filière. Voici quelques exemples illus-trant ces zones d’adhérence pour les filières SI, SSI et continuité :

• La perte d’un datacenter est traitée à la fois par la filière continuité, dont le plan de conti-nuité informatique est l’un des axes de travail et par la filière SI, qui s’intéresse aux possibles défaillances de la production ;

• L’usurpation d’identité et l’abus de droits sont des risques trai-tés par le RSSI, mais qui inté-ressent aussi la filière SI sous l’angle applicatif ;

• La non-conformité réglemen-taire, enfin, est abordée par l’ensemble des trois filières.

Identifier les zones d’adhérence est un élément clé de la constitution du portefeuille de risques. Une fois ces recouvrements identifiés, il est alors possible de formaliser les responsa-bilités sur ces risques pour éviter, dans le meilleur des cas, un travail redondant, et dans le pire des cas des démarches contradictoires.




Pour chacun des domaines de risques définis, des responsables doivent être identifiés. Il s’agit souvent naturel-lement des acteurs des différentes filières risques en place, avec un travail plus fin au niveau des zones d’adhérence permettant de coordon-ner l’analyse sur ces périmètres. Des modèles de responsabilités de types RACI* permettent une formalisation claire et précise des responsabilités.

Étape 3 - Transformer la relation avec les métiersLes métiers souffrent des nombreuses sollicitations des filières risques qui créent une lassitude et leur rejet. La coordination et l’optimisation de la relation avec les métiers est donc un enjeu majeur, l’objectif étant de repositionner les filières risques en conseillers et non en demandeurs.

Plusieurs leviers d’optimisation sont à mettre en œuvre. Tout d’abord, le travail sur les zones d’adhérence des risques, effectué lors de la constitu-tion du portefeuille de risques, doit être remis à profit pour anticiper les redondances et les contourner au tra-vers d’entretiens ou de questionnaires communs sur ces périmètres.

Ensuite, l’échange des informations collectées auprès des métiers est un levier pour enrichir les démarches res-pectives des filières. Ce nouvel angle de vue doit permettre d’enrichir la

réflexion et de garantir une sollicitation efficace des métiers.

Pour mettre en œuvre de manière opérationnelle ces deux leviers, un calendrier partagé doit être défini. Il permettra de cadencer dans l’année les rendez-vous avec les métiers, et de les placer dans l’ordre le plus adapté. Attention, si optimiser la relation per-met la réduction des sollicitations, cela ne veut pas dire pour autant qu’un seul point de rencontre sera suffisant !

Enfin, la mutualisation de la restitu-tion et du reporting doit permettre la mise en perspective des risques et les éventuels arbitrages lors de la valida-tion des risques.

Cette restitution peut être portée par l’un des acteurs à définir par le Directeur des risques, par exemple au cours d’un rendez-vous annuel.

Étape 4 : partager les plans d’actions L’étape suivante de l’intégration des filières s’appuie naturellement sur le partage et la coordination des plans d’actions.

Historiquement chaque filière gérait son plan d’actions et les budgets associés. En partageant la vision des risques, la définition des plans d’ac-tions est plus simple à optimiser. Les actions identifiées par chaque filière

Quelles sont les attentes envers la gestion des risques liés au SI ?

Interrogées sur leurs attentes vis-à-vis de la gestion des risques liés au SI, les entreprises se prononcent majoritairement pour l’aide au pilo-tage et l’orientation des décisions de la DSI. La réduction des coûts, via l’optimisation des budgets, et la conformité viennent ensuite.

Facteurs clés de succès

La réussite de la mise en place d’un portefeuille de risques réside souvent dans une définition progressive :

• La démarche peut être initiée avec les domaines de risques correspondant aux filières les plus mûres, qui pourront ainsi alimenter le référentiel avec plus de facilité, dans une logique de « pilote » ;

• La couverture des risques peut ensuite être élargie progressi-vement, en s’appuyant sur de premiers retours d’expérience positifs.

sont partagées, et des synergies peu-vent être dégagées :

• Les actions de réduction des risques sur les zones d’adhé-rence peuvent ainsi être défi-nies collégialement, chaque filière traitant d’une compo-sante du risque ;

• Les actions redondantes, voire contradictoires, peuvent être identifiées et arbitrées.

Exemple de répartition des responsabilités par domaine de risques

Domaine

IT ri

sk

man

ager

RSSI

RPCA

Acha

ts

DSI

DSI

Risk

m

anag

er

Mét

ier

Continuité I C R I I A

Sécurité I R C I I A

Conformité R C C I I A

Production R I I A

Sourcing R I I A

...

•R : responsible

•C : consulted

•A : accountable

•I : informed

*cf lexique page 18


Les bases d’un reporting commun

Une instance de pilotage stratégique commune

Une instance commune doit être mise en place pour assurer le pilotage de la gestion intégrée des risques : il s’agit souvent du comité des risques, ou comité des risques SI selon le péri-mètre visé. Il regroupe les représen-tants des différentes filières et des métiers, ainsi que la DSI.

Ce comité doit a minima se réunir pour les étapes clés de la démarche de gestion des risques :

• Lors de son initialisation, pour valider les échelles, porte-feuille, dispositions méthodo-logiques, planning, etc.

• Après la constitution des car-tographies des risques qui alimentent le portefeuille de risques pour valider le niveau de risque ainsi que les actions de traitement et leur répartition dans les filières ;

• De manière régulière (trimes-trielle a minima) pour assurer le suivi du plan d’actions conso-lidé et la réévaluation du niveau de risque en conséquence.

Des comités peuvent également être mis en place pour le suivi opération-nel plus régulier.

Un autre bénéfice non négligeable du partage des plans d’actions est bien sûr l’optimisation des budgets. Les coûts globaux de traitement des risques sont ainsi consolidés et l’allocation des budgets gérée de manière plus per-tinente sur l’ensemble du périmètre. Par ailleurs, des actions mineures qui, prises indépendamment dans chaque filière n’auraient pas été retenues, peu-vent être finalement engagées si elles sont identifiées par plusieurs filières.

Une fois le plan d’actions défini et les budgets alloués, chaque filière dispose de sa feuille de route projet, dont elle porte la mise en œuvre et/ou le suivi selon les cas. Un suivi régu-lier et commun doit alors être mis en place, afin de mesurer l’évolution du niveau de risque en intégrant l’en-semble des composantes des plans de traitement.




« La démarche de gestion des risques SI se doit d’être transverse : c’est en avançant ensemble vers une organisation intégrée et en se dotant d’outils partagés que la maîtrise glo-bale des risques pourra s’améliorer. »


La gestion des risques s’est développée au fil des années dans les entreprises, en constituant peu à peu des silos

dédiés à chacun des types de risques, et ceci en particulier sur la filière SI. Cette réponse ne permet aujourd’hui

plus aux responsables des risques de jouer pleinement leur rôle d’aide à la décision. Il apparaît donc nécessaire

de décloisonner ces démarches et de faire travailler les filières main dans la main pour atteindre un objectif

commun : permettre une vision globale au niveau du SI et de l’entreprise.

La démarche de gestion des risques SI se doit donc d’être transverse : c’est seulement en avançant ensemble

vers une organisation intégrée de type « tour de contrôle », et en se dotant d’outils partagés que la maîtrise

globale des risques pourra s’améliorer. La transformation des filières nécessitera une mise en œuvre progressive

en s’appuyant sur les périmètres les plus mûrs pour amorcer la dynamique et ensuite étendre la démarche

à d’autres domaines de risques. Comme tous les changements d’organisation associés, elle nécessitera un

accompagnement par une conduite du changement.

Un acteur est tout désigné pour piloter cette démarche : l’IT risk manager, une nouvelle fonction à la croisée

des filières traitant des risques autour de l’information. Quand l’IT risk manager n’est pas encore identifié, le

RSSI est un bon candidat pour endosser cette mission comme le montrent les premières tendances. Habitué à

travailler à la fois avec les métiers et la DSI, il allie compétences techniques et méthodologiques ainsi qu’une

transversalité précieuse : il s’agit d’ailleurs sûrement là d’une évolution naturelle de la fonction de RSSI du

management des risques sécurité au management des risques SI !

En conclusion




Lexique

Cartographie des risquesReprésentation des risques identifiés au sein de l’entreprise et de leur cri-ticité relative

COBITRéférentiel d’objectifs de contrôle de l’information et des technologies associées

COSOCadre de référence de la gestion des risques en entreprise

CriticitéCombinaison de la probabilité et de l’impact d’un risque (peut être éga-lement appelée gravité)

ÉchelleOutil de mesure des risques, permet-tant de retranscrire les probabilités et l’impact des risques dans un langage simple

Filière Ensemble des acteurs intervenant sur un sujet donné, par exemple la ges-tion des risques pour la filière risque

ISO 27001Norme internationale définissant les exigences pour la mise en place d’un système de management de la sécu-rité de l’information

ISO 27005Norme internationale définissant les principes de gestion des risques de la sécurité des systèmes d’information

ISO 31000Norme internationale définissant les principes et lignes directrices pour le management du risque

ITGIIT Governance Institute

IT RMInformation technology risk manager. Personne en charge de la gestion des risques SI, en lien avec le DSI et les métiers

Portefeuille de risquesRéférentiel de centralisation des risques de l’entreprise

RACIModèle anglo-saxon de représen-tation des responsabilités basé sur quatre rôles : responsible (fait l’ac-tion), accountable (valide l’action), consulted (donne son avis), informed (est informé)

RPCAResponsable du plan de continuité d’activité. Il gère les risques d’in-terruption de l’activité : perte d’un bâtiment, d’un site informatique, etc

RSSIResponsable de la sécurité du sys-tème d’information. Il a en charge les risques de sécurité de l’information


À propos de Solucom

Solucom est un cabinet indépendant de conseil en management et système d’information.

Ses clients sont dans le top 200 des grandes entrepr ises et administrations. Pour eux, le cabinet est capable de mobiliser et de conjuguer les compétences de près de 1000 collaborateurs.

Sa mission ? Porter l’innovation au cœur des métiers, cibler et piloter les transformations créatrices de valeur, faire du système d’information un véritable actif au service de la stratégie de l’entreprise.

Solucom est coté sur NYSE Euronext et a obtenu la qualification entreprise innovante décernée par OSEO Innovation.

Pour en savoir plus, www.solucom.fr

L’Atelier Solucom

Acteur indépendant du marché du conseil, Solucom est témoin des mutations en profondeur de l’organisation des DSI. Fort de ses retours d’expérience en matière de gouvernance SI, le cabinet apporte sa vision sur des problé-matiques actuelles et émergentes.

Imaginé sous forme de club, l’Atelier Solucom, porté par des directeurs associés de Solucom, est un lieu d’échange où nos clients abonnés sont invités à partager et échanger sur le présent et le futur du management des systèmes d’information. L’objectif ? Accompagner nos clients dans leurs réflexions stratégiques et prospectives, formaliser les meilleures pratiques, pour identifier et se préparer ensemble aux challenges IT de demain.

Pour connaître les thèmes et les dates des prochains ateliers, [email protected]

Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 892042 Paris La Défense Cedex

Tél. : 01 49 03 25 00 Fax. : 01 49 03 25 01www.solucom.fr

Cop

yrig

ht S

oluc

om -

ISB

N 9

78-2

-918872-1

1-5

EAN

9782918872115- R

espo

nsab

le d

e la

pub

licat

ion

: Lau

rent

Bel

lefin

management des risques : plaidoyer pour une vision unifiée

Technology