Le développement continu des technologies de l’information (Web, mobilité, réseaux sociaux, cloud computing, etc.), le recours croissant à l’externalisation de fonctionnalités, la gestion de l’entreprise numérique étendue, l’implication croissante des métiers conduisent les entreprises à ajuster régulièrement leur stratégie, leur politique et leur organisation. Toutes ces évolutions sont autant d’opportunités permettant de créer de la valeur mais leur mauvaise maîtrise accroît le risque pour l’entreprise de ne pas atteindre ses objectifs.

Le management par les risques est donc une des dimensions importantes de la gouvernance de l’entreprise. L’AFAI accompagne les parties prenantes concernées par le risque informatique en publiant deux ouvrages complémentaires pour favoriser le passage de la gestion des risques à la gestion par les risques informatiques.

RISK IT est le référentiel de management du système d’information et des technologies par les risques. C’est à la fois un guide de principes directeurs et de bonnes pratiques. Il aide les entreprises à mettre en place une gouvernance ad hoc, à identifier et à gérer efficacement les risques informatiques. Il a été réalisé par une centaine d’experts internationaux de l’ISACA et adapté en langue française par l’AFAI, en coopération étroite avec d’autres associations francophones. Parallèlement, l’AFAI a élaboré un document sur la cartographie des risques informatiques, outil majeur du management des risques, au service du management par les risques.

RISK IT

RISK IT considère le risque informatique comme un risque d’affaire/métier alors qu’il est trop souvent vu comme un risque technique réservé aux experts de l’informatique. Il est conçu pour servir de socle au management par les risques informatiques en traitant à la fois des aspects de gouvernance et des principes de gestion. Il s’appuie sur des normes reconnues comme COSO ERM, ISO 31000 et ISO 27005. Il s’enrichit naturellement par des référentiels, normes ou méthodes plus spécifiques de tel processus ou activité (par exemple EBIOS ou MEHARI pour l’analyse des risques). RISK IT comprend deux documents :

• Le Référentiel RISK IT présente de façon détaillée le modèle de management par les risques informatiques reposant sur 3 domaines (Gouvernance, Évaluation, Traitement), 9 processus et 47 bonnes pratiques.

• Le Guide utilisateur RISK IT aide à mettre en place le modèle. Il fournit de nombreux conseils et outils d’aide à l’évaluation des risques dont une cartographie s’appuyant sur 36 scénarios de risque informatique. Il propose également des bonnes pratiques de contrôle et de management tirées des référentiels COBIT et Val IT pour réduire les risques liés à ces mêmes scénarios.

Cartographie des risques informatiques : exemples, méthodes, outils
Cet ouvrage se veut un « état de l’art » sur la cartographie. Il dresse un panorama des pratiques en montrant ce que font un certain nombre d’organisations témoins. Il vise à guider le lecteur désirant mener une démarche d’identification et d’appréciation des risques informatiques. Il traite de sujets de nature et de portée aussi différentes que les principaux modes de représentation des cartographies, la nécessité ou non d’une vision unifiée des risques au sein de l’organisation, les acteurs à impliquer. Il aborde également les facteurs clés de succès. Il s’agit d’un document concret et d’application.

En savoir plus sur l’AFAI (Association Française de l’Audit et du Conseil Informatiques)

L’AFAI est le chapitre français de l’ISACA, organisation internationale qui regroupe 95 000 membres dans 75 pays. L’association rassemble plus de 800 professionnels autour des problématiques transversales liées à la gouvernance, au risque, à l’audit et la sécurité des systèmes d’information, ainsi qu’à la diffusion des meilleures pratiques associées. Elle a également une activité de formation tournée notamment vers la certification professionnelle. Sa spécificité : croiser les approches managériales, RH, sociologiques et juridiques.

* Les deux ouvrages sont en vente à l’AFAI