Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sébastien Roman, ITekia : La gestion des risques IT peut-elle se faire sans les départements métiers ?

octobre 2008 par Sébastien Roman, Associé, ITekia

La gestion des risques est une pratique qui se répand au sein des entreprises. Toutefois, on oppose encore trop souvent les risques métiers aux risques IT que l’on voudrait gérer séparément. Dans cet article, Sébastien Roman montre que cette séparation est artificielle, qu’il convient de présenter les risques IT en utilisant le vocabulaire des départements métiers et de les traiter en collaboration avec les départements métiers.

Gérer les risques de l’entreprise, n’est-ce pas répondre aux questions suivantes : Quels sont les risques qui pèsent sur mon entreprise ? Quels sont leurs impacts ? L’entreprise est-elle prête à les accepter ? Sinon, quelles sont les stratégies pour traiter ces risques et quels sont leurs coûts organisationnels, techniques ou financiers ?

Gérer les risques n’est donc qu’une question d’arbitrage entre les différents moyens de traiter chacun des risques : l’accepter, l’éviter, le transférer ou le réduire. En situation réelle, la stratégie de gestion des risques de l’entreprise comprend quasi-systématiquement l’ensemble de ces mesures, le choix d’une mesure dépendant du risque traité.
Dans cette introduction, nous n’avons pas parlé de risques liés au Système d’Information mais de risques pour l’entreprise. Pourquoi ? Parce que la séparation entre risques métiers et risques IT est arbitraire et ne reflète pas la réalité des risques pesant sur l’entreprise. Elle est plutôt un reflet de l’organisation de l’entreprise qui sépare les départements métiers de la DSI. Si les risques IT étaient vraiment séparés des risques métiers alors leurs impacts ne concerneraient que le Système d’Information et on ne les traiterait qu’avec des mesures spécifiques aux Systèmes d’Information.

Or, nous connaissons tous des exemples qui montrent le contraire comme, par exemple, le risque d’incendie d’une salle machine. Le traitement le plus courant comprend la mise en place de dispositifs anti-incendie, d’un plan de continuité d’activité et d’une assurance incendie. L’efficacité du traitement du risque dépend de la mise en place de l’ensemble de ces mesures, notamment d’un plan de continuité d’activité impliquant les départements métiers.

On le voit, le dialogue avec les départements métiers est primordial afin de traiter un risque qui au départ semblait pourtant limité à une problématique purement DSI. Pour autant, de nombreux RSSI rencontrent des difficultés dans leur dialogue avec les départements métiers, la première d’entre elles concernant l’établissement d’un vocabulaire compris et accepté par toutes les parties. Si le quatuor DICP (Disponibilité, Intégrité, Confidentialité, Preuve) est en effet familier des équipes RSSI, il ne l’est généralement pas du tout pour les départements métiers qui n’y retrouvent pas une formulation en phase avec leurs préoccupations quotidiennes. La gestion des risques commence donc par là : l’emploi de mots, compris par tous les départements métiers, leur présentant les risques pour l’entreprise et leur offrant des choix pour les traiter en connaissance de l’impact de ces derniers.

Ainsi, si nous reprenons l’exemple de l’incendie, il convient de mettre en avant auprès des départements métiers l’impossibilité ou la difficulté de réaliser les processus métiers s’appuyant sur les applications indisponibles.

Cette approche nécessite donc une connaissance fine des différents processus de l’entreprise et plaide pour la mise en place d’une gestion collaborative des risques de l’entreprise comprenant des spécialistes des processus métiers comme de la sécurité des Systèmes d’Information.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants