Le management par les risques informatiques : des principes

Le management par les risques informatiques : des principes à la pratique
Rédigé par Baidy Sy, étudiant du master 2 SIEE : audit et conseil, de l’Université Paris-Dauphine,
Président de l’association MACSI
Le management par les risques aide l’entreprise à atteindre ses objectifs métiers en lui permettant
de saisir les opportunités pour créer de la valeur ou l’accroître et de contrer les menaces pour
préserver la valeur ou limiter sa perte. Il lui permet donc d’améliorer son efficacité et son efficience
opérationnelle, sa qualité, sa gouvernance des SI et celle de l’entreprise.
L’AFAI (Association Française de l’Audit et du conseil Informatiques) a organisé le 19 janvier 2012 à
l’Université Paris-Dauphine une conférence-débat sur ce thème. Au cours de cette manifestation,
présidée par Pascal Antonini, Associé Ernst & Young et Président de l’AFAI, plusieurs professionnels
ont donné leur éclairage sur le management par les risques informatiques et les bénéfices que l’on
peut en tirer.
En introduction le Président de l’AFAI a rappelé que le management par les risques informatiques
était avec la sécurité, l’audit et la gouvernance des SI au cœur des activités de l’association, et
s’appuyait sur un référentiel spécifique réalisé par l’ISACA et traduit en français par l’AFAI : Risk IT.
Puis Stéphanie Benzaquine, Senior Manager chez Mazars, a présenté le panorama de la
réglementation sur le management par les risques informatiques. Force est ainsi de constater que les
entreprises sont soumises à un environnement réglementaire de plus en plus complexe, notamment
des réglementations sectorielles, sur le contrôle interne, le contrôle des SI sans oublier les
obligations en matière de qualité, sécurité et d’environnement. Cette pression réglementaire
s’accentue de plus en plus et conduit à mettre en place des référentiels de bonnes pratiques pour y
répondre.
Jean-Louis Bleicher, consultant en management des risques, a alors présenté le référentiel Risk IT de
management par les risques informatiques. Ce dernier propose une approche complète et
pragmatique de gouvernance, d’appréciation et d’aide au traitement des risques affaires/métiers liés
à l’informatique. Il couvre l’ensemble des risques liés à l’informatique ce qui le distingue des
méthodes et normes uniquement dédiés aux risques de sécurité, et contient une aide au
déploiement et à l’amélioration continue. Enfin, Risk IT permet d’enrichir le contrôle interne de
l’informatique en s’appuyant sur les bonnes pratiques de COBIT et de VAL IT, et d’intégrer facilement
d’autres normes et pratiques de management des risques.
Le management par les risques informatiques est une discipline à part entière pour laquelle il existe
désormais des formations et certifications spécifiques. Camille Rosenthal-Sabroux, professeur à
l’Université Paris-Dauphine et Jean-Luc Austin, Délégué Général de l’AFAI, ont présenté les
formations spécialisées et les certifications proposées par l’Université Paris-Dauphine et l’AFAI :
- le Master 2 Systèmes d’Information de l’Entreprise Etendue : audit et conseil de l’Université
Paris-Dauphine, orienté vers la maîtrise des risques liés à l’utilisation de l’informatique,
forme des auditeurs et consultants,
- les formations de l’AFAI sont destinées aux professionnels souhaitant se spécialiser :
1
l’essentiel du management par les risques (1 jour),
le référentiel et guide utilisateur Risk IT : contenu et mise en œuvre (2 jours),
la certification ISACA : CRISC-Certified in Risk and Information Systems Control- (3
jours),
la certification ISO : ISO 27005-Information Security Risk Manager- (2 jours).
La deuxième partie de la conférence était consacrée à des témoignages sur la pratique. Stéphanie
Benzaquine a repris la parole pour illustrer le management par les risques tel qu’il peut être abordé
par un cabinet de conseil en présentant deux types d’intervention :
- réaliser des diagnostics sur les processus métiers et informatiques déjà en place, par
exemple dans le cadre d’une pré-certification réglementaire ou d’un audit de due
diligence :
en sécurisant les processus métiers et informatiques de l’entreprise,
en préparant les organisations aux audits externes tels que les commissaires aux
comptes, la Cour des comptes, un acheteur, ou tout autre organisme de
contrôle.
- accompagner l’entreprise en phase de projet, afin de réduire au maximum ses risques
dès la conception des systèmes :
en sécurisant les projets informatiques,
en implémentant une démarche de gestion des risques IT.
Christian Morfouace, Chargé de mission à l’inspection générale de l’Agence de Service et de
Paiement, quant à lui a fait un témoignage sur le management par les risques informatiques dans le
secteur public. Le contexte de ce dernier est particulier et la gestion des risques n’est pas encore
sous une forme aussi élaborée, exhaustive et automatique que dans le secteur privé. Afin de faire
face à cette problématique, il a proposé après avoir pris deux exemples les mesures suivantes :
- la prise en compte des risques hors sécurité SI de façon plus formelle dans le comité
mensuel de gouvernance des SI,
- la création d’un groupe de travail sur la gestion des risques : examen des pratiques,
propositions, puis utilisation dans certains projets ou domaines applicatifs,
- la généralisation après validation en comité de gouvernance des SI.
Puis, Gina Gullà-Ménez, Directeur Compliance et Gestion des risques SI chez Sanofi Affaires
Industrielles a pris la parole pour témoigner sur la pratique du management par les risques dans le
secteur privé. Dans un groupe comme Sanofi les enjeux sont nombreux, les réglementations
augmentent et la complexité croissante du métier industriel conduit à une dépendance plus
importante des systèmes d’information. Par ailleurs, le contexte économique actuel de globalisation
et de concurrence accrue rend nécessaire l’adaptation permanente de l’environnement. La prise de
risque devient donc un enjeu majeur de développement et le département Compliance et gestion
des risques a mis en place le référentiel Risk IT. Cela a aidé l’entreprise à sensibiliser les métiers sur
les risques, à identifier les risques, élaborer les plans d’action et assurer leur suivi, enfin à améliorer
la gouvernance. Gina Gullà-Ménez a cependant soulevé les points de vigilance suivants :
- le risque de fonctionnement en silo dû à la multiplicité des acteurs et des expertises,
- le manque d’articulation des dispositifs de contrôle qui ont tendance à se superposer :
audit interne, contrôles permanents, contrôles informatiques, etc.
2
-
le risque de manque de vision commune des risques informatiques entre la fonction
informatique et la direction des métiers surtout si les instances de pilotage et de
coordination font défaut.
Elle a conclu son exposé en proposant des points de repère pour y remédier.
Au final, cette manifestation a permis de montrer qu’en développant le management par les risques
informatiques, les entreprises amélioraient leur capacité à saisir des opportunités nouvelles et à
réagir efficacement aux événements porteurs de risques. Mais il faut pour cela une volonté politique,
disposer de ressources et de compétences adéquates, enfin savoir intégrer le management des
risques informatiques dans le cadre plus général de la gestion des risques de l’entreprise. Risk IT aide
à y parvenir.
3