Thierry Jardin, Logica Management Consulting : Contrôle interne et SMSI
novembre 2008 par Thierry Jardin, Partner / HGA Country Leader, Logica Management Consulting
La maîtrise des risques pour une entreprise est un enjeu majeur des directions générales. Si nous examinons au sein de ces entreprises, comment sont traités les risques, nous constatons souvent qu’ils sont gérés en « silos » au sein des organisations. Contrôle Interne, SSI, direction des risques, etc., la multiplicité des structures est forte depuis des années.
Si nous ne pouvons affirmer que les contrôles internes ont été défaillants dans le cas des dernières affaires connues dans le monde bancaire, nous pouvons néanmoins affirmer que la multiplicité des contrôles et des mesures de sécurité n’est pas la garantie d’une meilleure maîtrise des risques opérationnels de processus métiers utilisant les Systèmes d’Information.
En analysant plus précisément les risques identifiés au sein des organisations, nous constatons qu’Il n’existe pas réellement de relations entre les différentes cartographies de risques réalisées au sein des entreprises. Deux activités traitant de ces risques nous intéressent plus particulièrement. Le contrôle interne qui développe des méthodes très dépendantes d’outils du marché et/ou de prestataires, afin de mettre en place les contrôles internes correspondants à des référentiels de type AMF ou COSO II et la SSI qui évalue des risques suivant des méthodes de type EBIOS, Méhari, etc...
Les risques que nous cherchons à identifier sont de nature très diverses et en analysant la nature de l’impact nous pouvons déterminer des familles de risques mais ce n’est bien évidement pas une règle. Il s’agit d’abord de l’IFOJ : Image, Financier, Organisation, Juridique dans le cas du contrôle interne et du DICA : Disponibilité, Intégrité, Confidentialité, Auditabilité dans le cas de la SSI.
Cette classification des impacts nous conduit à disposer de deux types de risques que sont les risques métiers/opérationnels traités par le contrôle interne et les risques IT traités par le RSSI. Sachant qu’il existe des liens entre les différents risques métiers et IT, il devient important de pouvoir traiter l’ensemble des risques de manière globale et cohérente.
L’un des apports principaux du SMSI est sa filiation avec la qualité et son approche par les processus. Concernant le contrôle interne, l’IFACI a bien compris tous les avantages apportés par le Système de Management de la Qualité (SMQ) notamment exprimé dans le cahier de recherche de mai 2008 « contrôle interne et qualité : pour un management intégré de la performance ».
Mais l’autre apport souvent méconnu du SMSI c’est d’exiger une méthode d’appréciation des risques adaptée à l’entreprise, notamment dans la définition des critères d’évaluation validé par le management. L’hétérogénéité des méthodes mises en œuvre dans le cas des outils de GRC ne permet pas d’avoir aujourd’hui une vision cohérente des risques. Sans parler de la confusion fréquente que nous voyons entre risque et menace dans certaines méthodes. En ce sens les travaux normatifs de type ISO27005/ISO31000 ont le mérite de clarifier la situation.
Cette exigence du SMSI, de formaliser une méthode d’appréciation des risques permettant de réévaluer périodiquement les risques et d’en déduire des mesures de sécurité (controls) dans la norme ISO27001 afin d’obtenir des risques résiduelles acceptables, est souvent considéré comme un frein au déploiement des SMSI. Mais dans le cadre d’une méthode de gestion harmonisée des risques, cette approche pourrait tout à faire identifier les contrôles internes pertinents à mettre en place sur les processus.
En conclusion la nécessité d’élaborer une méthode d’appréciation des risques adaptée à l’entreprise dans le cadre d’un SMSI devient quand l’effort a été réalisé, un avantage dans la recherche permanente d’une meilleure maîtrise des risques globaux pour l’entreprise.
Articles connexes:
- Gérôme Billois, Solucom Group : Décentraliser les accès Internet, une stratégie gagnante ?
- Eric Doyen et Hervé Schauer, Club 27001 : une démarche pragmatique des normes
- Edouard Jeanson, Sogeti : Les password managers, Sésame ouvre-toi !
- Christophe Maira, Devoteam Consulting : Homogénéiser la sécurité des Systèmes d’Information, une question de méthode ?
- Scanners de vulnérabilité : une nécessité, mais le test d’intrusion humain est irremplaçable
- Jean-Marc Rietsch, FedISA : Dématérialisation et archivage électronique
- Sébastien Roman, ITekia : La gestion des risques IT peut-elle se faire sans les départements métiers ?
- Edouard Jeanson, Sogeti : quelques conseils de sécurisation d’Exchange 2007
- Tristan Savalle, Solucom : La maîtrise des risques, nouveau cheval de bataille des RSSI
- Gérôme Billois, Solucom : Bilan de la journée ISO 27001 organisé par le Club 27001
- Gérome Billois, Solucom : Du château fort à l’aéroport, l’évolution des modèles de sécurité
- Edouard Jeanson, Sogeti : La Certification de Sécurité de Premier Niveau (CSPN), la bouffée d’air de la SSI basée sur le pragmatisme
- Edouard Jeanson, Sogeti : Le cryptage des laptops avec Biltocker Drive Encryption
- Guillaume Durand, Solucom group : Sensibilisation à la sécurité de l’information : traiter le « maillon faible »
- Biométrie « sans traces » : une nouvelle génération de techniques biométriques
- Gérôme Billois Solucom Group : ISO 27001 : l’arme anti-crise du RSSI
- Gérôme Billois, SoluCom : La confiance mutuelle, un nouveau modèle de sécurité ?