Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Thierry Jardin, Logica Management Consulting : Contrôle interne et SMSI

novembre 2008 par Thierry Jardin, Partner / HGA Country Leader, Logica Management Consulting

La maîtrise des risques pour une entreprise est un enjeu majeur des directions générales. Si nous examinons au sein de ces entreprises, comment sont traités les risques, nous constatons souvent qu’ils sont gérés en « silos » au sein des organisations. Contrôle Interne, SSI, direction des risques, etc., la multiplicité des structures est forte depuis des années.

Si nous ne pouvons affirmer que les contrôles internes ont été défaillants dans le cas des dernières affaires connues dans le monde bancaire, nous pouvons néanmoins affirmer que la multiplicité des contrôles et des mesures de sécurité n’est pas la garantie d’une meilleure maîtrise des risques opérationnels de processus métiers utilisant les Systèmes d’Information.

En analysant plus précisément les risques identifiés au sein des organisations, nous constatons qu’Il n’existe pas réellement de relations entre les différentes cartographies de risques réalisées au sein des entreprises. Deux activités traitant de ces risques nous intéressent plus particulièrement. Le contrôle interne qui développe des méthodes très dépendantes d’outils du marché et/ou de prestataires, afin de mettre en place les contrôles internes correspondants à des référentiels de type AMF ou COSO II et la SSI qui évalue des risques suivant des méthodes de type EBIOS, Méhari, etc...

Les risques que nous cherchons à identifier sont de nature très diverses et en analysant la nature de l’impact nous pouvons déterminer des familles de risques mais ce n’est bien évidement pas une règle. Il s’agit d’abord de l’IFOJ : Image, Financier, Organisation, Juridique dans le cas du contrôle interne et du DICA : Disponibilité, Intégrité, Confidentialité, Auditabilité dans le cas de la SSI.

Cette classification des impacts nous conduit à disposer de deux types de risques que sont les risques métiers/opérationnels traités par le contrôle interne et les risques IT traités par le RSSI. Sachant qu’il existe des liens entre les différents risques métiers et IT, il devient important de pouvoir traiter l’ensemble des risques de manière globale et cohérente.

L’un des apports principaux du SMSI est sa filiation avec la qualité et son approche par les processus. Concernant le contrôle interne, l’IFACI a bien compris tous les avantages apportés par le Système de Management de la Qualité (SMQ) notamment exprimé dans le cahier de recherche de mai 2008 « contrôle interne et qualité : pour un management intégré de la performance ».

Mais l’autre apport souvent méconnu du SMSI c’est d’exiger une méthode d’appréciation des risques adaptée à l’entreprise, notamment dans la définition des critères d’évaluation validé par le management. L’hétérogénéité des méthodes mises en œuvre dans le cas des outils de GRC ne permet pas d’avoir aujourd’hui une vision cohérente des risques. Sans parler de la confusion fréquente que nous voyons entre risque et menace dans certaines méthodes. En ce sens les travaux normatifs de type ISO27005/ISO31000 ont le mérite de clarifier la situation.

Cette exigence du SMSI, de formaliser une méthode d’appréciation des risques permettant de réévaluer périodiquement les risques et d’en déduire des mesures de sécurité (controls) dans la norme ISO27001 afin d’obtenir des risques résiduelles acceptables, est souvent considéré comme un frein au déploiement des SMSI. Mais dans le cadre d’une méthode de gestion harmonisée des risques, cette approche pourrait tout à faire identifier les contrôles internes pertinents à mettre en place sur les processus.

En conclusion la nécessité d’élaborer une méthode d’appréciation des risques adaptée à l’entreprise dans le cadre d’un SMSI devient quand l’effort a été réalisé, un avantage dans la recherche permanente d’une meilleure maîtrise des risques globaux pour l’entreprise.


Articles connexes:

Voir les articles précédents

    

Voir les articles suivants