Information & technologies
La réponse à la gestion de risques n’est jamais technologique à 100 % : la machine ne peut répondre à une gouvernance défaillante
SIGR, un système et du bon sens pour gérer les risques
Recrudescence des fraudes et des cyberattaques, loi Sapin II contre la corruption, entrée en application du RGPD… De plus en plus, les entreprises dsont amenées à cartographier les risques, les évaluer et les appréhender pour mieux les gérer et limiter les dommages, notamment financiers. Les systèmes d’information de ggestion des risquesq (SIGR),), qqui se pperfectionnent d’année en année, peuvent les y aider. À condition de ne pas tout miser sur eux et de les compléter par une sensibilisation des collaborateurs, une bonne gouvernance et une stratégie efficace.
Qu’ils soient stratégiques, en lien avec la conformité, financiers, opérationnels ou informatiques, les risques peuvent mettre en péril les activités d’une organisation. Des risques en recrudescence et protéiformes, qui vont de l’incendie à la cyberattaque, en passant par la fraude, externe ou interne. “Avec l’interconnexion grandissante du monde depuis 15 ans, la gestion du risque prend tout son sens car l’impact d’un événement est désormais démultiplié”, déclare Bernard Drui, directeur général de Protiviti, cabinet de conseil en management et en audit interne. Les entreprises ont donc tout intérêt à mieux prendre en compte la gestion des risques afin de limiter les dommages financiers ou un déficit d’image. “Nous
assistons à une prise de conscience des risques dans les entreprises, car ceux-ci sont de plus en plus présents”, précise Nicolas Brossard, responsable de la direction des risques et du contrôle interne chez Hub One, groupe de services en technologies de l’information et de communication. Si les entreprises sont conscientes d’être de plus en plus exposées aux fraudes et aux cyberattaques, seules 22 % d’entre elles ont réalisé une cartographie des risques et 63 % n’ont pas mis en place de plan d’urgence à activer, selon une étude Euler-Hermes/DCFG publiée en mai dernier.
Cartographiegp des risquesq : probabilité et incidences
Pourtant, des outils sont à la disposition des organisations, grandes ou petites, pour cartographier, hiérarchiser, analyser et anticiper les risques. Les Systèmes d’information de gestion des risques (SIGR) permettent, aux risks managers notamment, non seulement d’analyser et de gérer les risques, mais aussi de mieux communiquer et partager l’information. “Le système d’information est important. Il constitue la première étape de la gestion des risques”, explique PierreYves Pophin, directeur technique de NTT Security, la branche sécurité du groupe NTT. “Une fois les risques cartographiés, on peut travailler sur l’incidence des risques”, ajoute Loïc Guézo, cybersecurity strategist chez Trend Micro. Nicolas Brossard estime pour sa part essentiel de cartographier les risques selon deux critères fondamentaux : la probabilité de l’incident et l’impact de l’événement. Puis de hiérarchiser et évaluer ces risques en fonction de ces deux facteurs. De plus en plus sophistiqué et complété chaque année par les éditeurs, le système d’information (SI) ne représente pas pour autant la panacée. “Le SI peut améliorer la gestion de risques dans la mesure où l’on accède à davantage d’informations, mais il ne constitue qu’un moyen”, explique Nuvin Goonmeter, spécialiste des questions de cybersécurité chez Protiviti. “Il est préférable de faire du cas par cas en fonction des besoins des entreprises et de s’adapter en fonction du secteur dans lequel on travaille”, conseille Pierre-Yves
Pophin. “La clé d’un système d’information repose sur trois piliers : la technologie, les process et les hommes. Gérer correctement les risques implique de faire travailler ensemble ces trois piliers. La réponse à la gestion de risques n’est jamais technologique à 100 %, car la technologie ne peut pas répondre à une
“Le SI peut améliorer la gestion de risques dans la mesure où l’on accède à davantage d’informations, mais il ne constitue qu’un moyen”,
gouvernance défaillante”, explique
Loïc Guézo, qui poursuit “l’humain est le maillon faible dans la gestion des risques, mais il est aussi le dernier rempart, qui permet de détecter une erreur non prévue par les process”.
Sensibilisation des utilisateurs et gouvernance
Parce que l’humain doit demeurer au centre du dispositif de gestion des risques, il est crucial de sensibiliser et d’éduquer les employés à la gestion de risques. Et d’inculquer une culture de celle-ci au
sein des organisations. “La sensibilisation des utilisateurs est essentielle. Se poser les bonnes questions et utiliser son bon sens permet de limiter les menaces. La gestion des risques doit être globale et constituer l’affaire de tous. Il est important que les métiers le comprennent”, insiste
Pierre-Yves Pophin. “Il convient de responsabiliser les collaborateurs sur les risques inhérents à l’activité, à l’organisation et à l’écosystème, et de clarifier ce que l’on attend d’eux”, confirme Bernard Drui. Nicolas Brossard estime qu’il importe de parler de gestion des risques aux dirigeants et de mettre en place un système de gouvernance. “La gouvernance passe par les comités et les personnes dédiées qui permettront à l’entreprise d’améliorer sa maturité en matière de gestion des risques”, souligne ce dernier. Gérôme Billois, expert des Assises de la sécurité et associé chez Wavestone, cabinet de conseil en management, insiste pour sa part sur l’application des bonnes pratiques et l’entraînement du personnel, par le biais d’exercices de crise, de simulations ou des tests d’intrusion pour les cyberattaques. “Les pompiers et les militaires s’entraînent en permanence, dans les entreprises on ne s’entraîne presque jamais”, regrette-il.
Stratégie et bonne gouvernance
Au-delà de la sensibilisation des collaborateurs, une véritable stratégie de gestion des risques s’impose pour la profession. “Il convient d’être proactif. Le plus important est de mettre en place une stratégie, de calculer le ratio probabilité/risque pour savoir quels sont les risques à prendre en compte et les hiérarchiser L’humain est le maillon faible dans la gestion des risques, mais il est aussi le dernier rempart, qui permet de détecter une erreur non prévue par les processus
pour traiter les plus importants”,
estime Bernard Drui, qui poursuit “idéalement, il faudrait le faire pour tous les risques, mais c’est impossible
car trop onéreux”. Une stratégie et une gouvernance qui peuvent s’appuyer sur les référentiels existants, telle que la norme ISO 27 001. “Il n’est pas nécessaire de réinventer la roue. S’appuyer sur les référentiels existants, qu’ils soient sectoriels ou non, et sur les normes reconnues internationalement permet d’améliorer la gestion du risque”, affirme
Loïc Guézo. “Il est également essentiel de faire un suivi ; la gouvernance ne suffit pas à elle seule, il convient de monitorer la gestion des risques et de comprendre les processus mis en place dans l’entreprise”, ajoute ce
dernier.
Incitations légales en cours
Une stratégie de gestion des risques qui n’est pas encore entrée complètement dans les moeurs hexagonales. “Seules 50 % des grandes entreprises disposent d’une véritable stratégie. Depuis des années, la législation allemande oblige les entreprises à traiter les différents risques. En France, il n’existe pas
d’incitation légale”, regrette PierreYves Pophin. Une incitation légale qui commence toutefois à émerger. Depuis juin 2017, la loi Sapin II impose ainsi aux grandes entreprises de prendre des mesures préventives contre la corruption. Et mai 2018 verra l’entrée en application du Règlement européen sur la protection des données (RGPD), visant à protéger davantage la vie privée des citoyens européens. Quel que soit le degré de préparation et de maturité des entreprises en matière de gestion des risques, il demeurera toujours impossible d’anticiper l’imprévisible. Car, pas plus qu’il n’existe de risque zéro, il n’existe de sécurité absolue. “Il existe seulement une sécurité adaptée aux risques et à ce que l’on souhaite réellement protéger. La sécurité n’est pas une fin en soi : elle est un voyage et non une destination”, conclut Luc Imbert, VP technology & innovation chez Jaguar Network.
“Il convient d’être proactif. Le plus important est de mettre en place une stratégie, de calculer le ratio probabilité/ risque pour savoir quels sont les risques à prendre en compte et les hiérarchiser pour traiter les plus importants”