Actu
Pascal Stopnicki, Effisoft : le rôle des DSI en matière de Risk Management
février 2008 par Pascal Stopnicki, Directeur Général d’Effisoft
Le risque informatique est aujourd’hui une problématique majeure des
entreprises souvent dépendantes de leurs systèmes d’information et donc
particulièrement exposées aux menaces qui pèsent sur leur activité.
Ces menaces peuvent avoir des conséquences opérationnelles (ralentissement
voire arrêt de la production), financières (coût des investissements
informatiques) ou légales (Sarbanes-Oxley, LSF, …).
La gestion des risques, informatiques ou autres, a longtemps été traitée
de
manière « artisanale » par les entreprises, mais elle remporte aujourd’hui
un franc succès auprès des grands comptes internationaux qui, poussés par
une évolution des réglementations et un souhait de se prémunir au maximum
contre les risques divers, demandent à leurs DSI de déployer des systèmes
dédiés à cette problématique.
Le défi de la gestion des risques est donc plus que d’actualité pour les
DSI
avec comme ligne de conduite la mise en oeuvre d’une démarche normalisée et
industrielle !
Mais cartographier et gérer les risques n’est pas pour eux une chose
évidente. En effet, la gestion du risque informatique s’attache à
identifier
les risques qui pèsent sur le système d’information, ses activités, ses
utilisateurs... Son analyse impose donc une veille étendue prenant en
compte
toutes les spécificités propres à la société.
L’on comprend donc parfaitement que la duplication d’un modèle existant
est
difficile à reproduire au vu des données spécifiques de chaque entreprise.
La réussite de ces projets passe finalement par une sensibilisation active
de l’ensemble des collaborateurs. Il s’agit de mettre fin à des habitudes
de
gestion individuelle et d’insuffler un modèle organisationnel tourné vers
le
partage de l’information et le travail collaboratif. Sans ce pré requis,
les
entreprises ne pourront pas mettre en place une véritable politique
efficace
de gestion de risque. En effet, le succès de ce type de déploiement repose
sur une implication forte des collaborateurs qui doivent adhérer au
processus défini (prise en compte de référentiels risques et de la
méthodologie définie en amont, utilisation d’un outil de saisie
normalisé).
Notons d’ailleurs que les phases amont de définition des référentiels
risques occupent aujourd’hui une place grandissante dans les nouveaux
projets de Risk Management.
Dans le contexte actuel, fort est de constater qu’une démarche
industrielle
reposant sur l’utilisation d’outils informatiques semble devenir la règle
de
fonctionnement.
Ce type de pratiques a d’ailleurs été largement porté par de grands
groupes
pour qui la cartographie et la gestion des risques informatiques
représentaient une donnée stratégique et ce, quelle que soit la nature de
leurs activités et leur organisation.
Néanmoins, la puissance et la fiabilité de l’outil de gestion du risque
informatique ne font pas tout et il ne faut pas oublier que mots de passe,
anti-virus et autres mesures de sécurité dépendent avant tout de contrôles définis et suivis par des personnes.
Sans une structuration stricte de la politique de gestion des risques et
sans la mise en place de procédures détaillées respectées par tous les
utilisateurs, il est toujours possible de contourner les contrôles
informatiques. (C’est même considéré par certains comme un challenge !)
La gestion de ce type de risques est donc avant tout une problématique
humaine où la moindre faille peut rapidement être exploitée, à des fins de
malveillance ou non, mais toujours au péril de l’entreprise.
Dans le cadre de sa gestion des risques, le DSI doit donc instaurer une
démarche efficace qui ne saurait dissocier la mise en ouvre d’outils
spécifiques et l’application de mesures de contrôles rigoureuses.
