Sébastien Roman, ITekia : La gestion des risques IT peut-elle se faire sans les départements métiers ?
octobre 2008 par Sébastien Roman, Associé, ITekia
La gestion des risques est une pratique qui se répand au sein des entreprises. Toutefois, on oppose encore trop souvent les risques métiers aux risques IT que l’on voudrait gérer séparément. Dans cet article, Sébastien Roman montre que cette séparation est artificielle, qu’il convient de présenter les risques IT en utilisant le vocabulaire des départements métiers et de les traiter en collaboration avec les départements métiers.
Gérer les risques de l’entreprise, n’est-ce pas répondre aux questions suivantes : Quels sont les risques qui pèsent sur mon entreprise ? Quels sont leurs impacts ? L’entreprise est-elle prête à les accepter ? Sinon, quelles sont les stratégies pour traiter ces risques et quels sont leurs coûts organisationnels, techniques ou financiers ?
Gérer les risques n’est donc qu’une question d’arbitrage entre les différents moyens de traiter chacun des risques : l’accepter, l’éviter, le transférer ou le réduire. En situation réelle, la stratégie de gestion des risques de l’entreprise comprend quasi-systématiquement l’ensemble de ces mesures, le choix d’une mesure dépendant du risque traité.
Dans cette introduction, nous n’avons pas parlé de risques liés au Système d’Information mais de risques pour l’entreprise. Pourquoi ? Parce que la séparation entre risques métiers et risques IT est arbitraire et ne reflète pas la réalité des risques pesant sur l’entreprise. Elle est plutôt un reflet de l’organisation de l’entreprise qui sépare les départements métiers de la DSI. Si les risques IT étaient vraiment séparés des risques métiers alors leurs impacts ne concerneraient que le Système d’Information et on ne les traiterait qu’avec des mesures spécifiques aux Systèmes d’Information.
Or, nous connaissons tous des exemples qui montrent le contraire comme, par exemple, le risque d’incendie d’une salle machine. Le traitement le plus courant comprend la mise en place de dispositifs anti-incendie, d’un plan de continuité d’activité et d’une assurance incendie. L’efficacité du traitement du risque dépend de la mise en place de l’ensemble de ces mesures, notamment d’un plan de continuité d’activité impliquant les départements métiers.
On le voit, le dialogue avec les départements métiers est primordial afin de traiter un risque qui au départ semblait pourtant limité à une problématique purement DSI. Pour autant, de nombreux RSSI rencontrent des difficultés dans leur dialogue avec les départements métiers, la première d’entre elles concernant l’établissement d’un vocabulaire compris et accepté par toutes les parties. Si le quatuor DICP (Disponibilité, Intégrité, Confidentialité, Preuve) est en effet familier des équipes RSSI, il ne l’est généralement pas du tout pour les départements métiers qui n’y retrouvent pas une formulation en phase avec leurs préoccupations quotidiennes. La gestion des risques commence donc par là : l’emploi de mots, compris par tous les départements métiers, leur présentant les risques pour l’entreprise et leur offrant des choix pour les traiter en connaissance de l’impact de ces derniers.
Ainsi, si nous reprenons l’exemple de l’incendie, il convient de mettre en avant auprès des départements métiers l’impossibilité ou la difficulté de réaliser les processus métiers s’appuyant sur les applications indisponibles.
Cette approche nécessite donc une connaissance fine des différents processus de l’entreprise et plaide pour la mise en place d’une gestion collaborative des risques de l’entreprise comprenant des spécialistes des processus métiers comme de la sécurité des Systèmes d’Information.
Articles connexes:
- Gérôme Billois, Solucom Group : Décentraliser les accès Internet, une stratégie gagnante ?
- Eric Doyen et Hervé Schauer, Club 27001 : une démarche pragmatique des normes
- Edouard Jeanson, Sogeti : Les password managers, Sésame ouvre-toi !
- Christophe Maira, Devoteam Consulting : Homogénéiser la sécurité des Systèmes d’Information, une question de méthode ?
- Scanners de vulnérabilité : une nécessité, mais le test d’intrusion humain est irremplaçable
- Jean-Marc Rietsch, FedISA : Dématérialisation et archivage électronique
- Edouard Jeanson, Sogeti : quelques conseils de sécurisation d’Exchange 2007
- Thierry Jardin, Logica Management Consulting : Contrôle interne et SMSI
- Tristan Savalle, Solucom : La maîtrise des risques, nouveau cheval de bataille des RSSI
- Gérôme Billois, Solucom : Bilan de la journée ISO 27001 organisé par le Club 27001
- Gérome Billois, Solucom : Du château fort à l’aéroport, l’évolution des modèles de sécurité
- Edouard Jeanson, Sogeti : La Certification de Sécurité de Premier Niveau (CSPN), la bouffée d’air de la SSI basée sur le pragmatisme
- Edouard Jeanson, Sogeti : Le cryptage des laptops avec Biltocker Drive Encryption
- Guillaume Durand, Solucom group : Sensibilisation à la sécurité de l’information : traiter le « maillon faible »
- Biométrie « sans traces » : une nouvelle génération de techniques biométriques
- Gérôme Billois Solucom Group : ISO 27001 : l’arme anti-crise du RSSI
- Gérôme Billois, SoluCom : La confiance mutuelle, un nouveau modèle de sécurité ?