In­for­ma­tion & tech­no­lo­gies

La ré­ponse à la ges­tion de risques n’est ja­mais tech­no­lo­gique à 100 % : la ma­chine ne peut ré­pondre à une gou­ver­nance dé­faillante

Le Nouvel Economiste - - La Une - SO­PHIE SEBIROT

SIGR, un sys­tème et du bon sens pour gé­rer les risques

Re­cru­des­cence des fraudes et des cy­be­rat­taques, loi Sa­pin II contre la cor­rup­tion, en­trée en ap­pli­ca­tion du RGPD… De plus en plus, les en­tre­prises dsont ame­nées à car­to­gra­phier les risques, les éva­luer et les ap­pré­hen­der pour mieux les gé­rer et li­mi­ter les dom­mages, no­tam­ment fi­nan­ciers. Les sys­tèmes d’in­for­ma­tion de gges­tion des ris­quesq (SIGR),), qqui se pper­fec­tionnent d’an­née en an­née, peuvent les y ai­der. À condi­tion de ne pas tout mi­ser sur eux et de les com­plé­ter par une sen­si­bi­li­sa­tion des col­la­bo­ra­teurs, une bonne gou­ver­nance et une stra­té­gie ef­fi­cace.

Qu’ils soient stra­té­giques, en lien avec la confor­mi­té, fi­nan­ciers, opé­ra­tion­nels ou in­for­ma­tiques, les risques peuvent mettre en pé­ril les ac­ti­vi­tés d’une or­ga­ni­sa­tion. Des risques en re­cru­des­cence et pro­téi­formes, qui vont de l’in­cen­die à la cy­be­rat­taque, en pas­sant par la fraude, ex­terne ou in­terne. “Avec l’in­ter­con­nexion gran­dis­sante du monde de­puis 15 ans, la ges­tion du risque prend tout son sens car l’im­pact d’un évé­ne­ment est dé­sor­mais dé­mul­ti­plié”, dé­clare Bernard Drui, di­rec­teur gé­né­ral de Pro­ti­vi­ti, ca­bi­net de conseil en ma­na­ge­ment et en au­dit in­terne. Les en­tre­prises ont donc tout in­té­rêt à mieux prendre en compte la ges­tion des risques afin de li­mi­ter les dom­mages fi­nan­ciers ou un dé­fi­cit d’image. “Nous

as­sis­tons à une prise de conscience des risques dans les en­tre­prises, car ceux-ci sont de plus en plus pré­sents”, pré­cise Ni­co­las Bros­sard, res­pon­sable de la di­rec­tion des risques et du contrôle in­terne chez Hub One, groupe de ser­vices en tech­no­lo­gies de l’in­for­ma­tion et de com­mu­ni­ca­tion. Si les en­tre­prises sont conscientes d’être de plus en plus ex­po­sées aux fraudes et aux cy­be­rat­taques, seules 22 % d’entre elles ont réa­li­sé une car­to­gra­phie des risques et 63 % n’ont pas mis en place de plan d’ur­gence à ac­ti­ver, se­lon une étude Eu­ler-Hermes/DCFG pu­bliée en mai der­nier.

Car­to­gra­phiegp des ris­quesq : pro­ba­bi­li­té et in­ci­dences

Pour­tant, des ou­tils sont à la dis­po­si­tion des or­ga­ni­sa­tions, grandes ou pe­tites, pour car­to­gra­phier, hié­rar­chi­ser, ana­ly­ser et an­ti­ci­per les risques. Les Sys­tèmes d’in­for­ma­tion de ges­tion des risques (SIGR) per­mettent, aux risks ma­na­gers no­tam­ment, non seule­ment d’ana­ly­ser et de gé­rer les risques, mais aus­si de mieux com­mu­ni­quer et par­ta­ger l’in­for­ma­tion. “Le sys­tème d’in­for­ma­tion est im­por­tant. Il consti­tue la pre­mière étape de la ges­tion des risques”, ex­plique Pier­reYves Po­phin, di­rec­teur tech­nique de NTT Se­cu­ri­ty, la branche sé­cu­ri­té du groupe NTT. “Une fois les risques car­to­gra­phiés, on peut tra­vailler sur l’in­ci­dence des risques”, ajoute Loïc Gué­zo, cy­ber­se­cu­ri­ty stra­te­gist chez Trend Mi­cro. Ni­co­las Bros­sard es­time pour sa part es­sen­tiel de car­to­gra­phier les risques se­lon deux cri­tères fon­da­men­taux : la pro­ba­bi­li­té de l’in­ci­dent et l’im­pact de l’évé­ne­ment. Puis de hié­rar­chi­ser et éva­luer ces risques en fonc­tion de ces deux fac­teurs. De plus en plus so­phis­ti­qué et com­plé­té chaque an­née par les édi­teurs, le sys­tème d’in­for­ma­tion (SI) ne re­pré­sente pas pour au­tant la pa­na­cée. “Le SI peut amé­lio­rer la ges­tion de risques dans la me­sure où l’on ac­cède à da­van­tage d’in­for­ma­tions, mais il ne consti­tue qu’un moyen”, ex­plique Nu­vin Goon­me­ter, spé­cia­liste des ques­tions de cy­ber­sé­cu­ri­té chez Pro­ti­vi­ti. “Il est pré­fé­rable de faire du cas par cas en fonc­tion des be­soins des en­tre­prises et de s’adap­ter en fonc­tion du sec­teur dans le­quel on tra­vaille”, conseille Pierre-Yves

Po­phin. “La clé d’un sys­tème d’in­for­ma­tion re­pose sur trois pi­liers : la tech­no­lo­gie, les pro­cess et les hommes. Gé­rer cor­rec­te­ment les risques im­plique de faire tra­vailler en­semble ces trois pi­liers. La ré­ponse à la ges­tion de risques n’est ja­mais tech­no­lo­gique à 100 %, car la tech­no­lo­gie ne peut pas ré­pondre à une

“Le SI peut amé­lio­rer la ges­tion de risques dans la me­sure où l’on ac­cède à da­van­tage d’in­for­ma­tions, mais il ne consti­tue qu’un moyen”,

gou­ver­nance dé­faillante”, ex­plique

Loïc Gué­zo, qui pour­suit “l’hu­main est le maillon faible dans la ges­tion des risques, mais il est aus­si le der­nier rem­part, qui per­met de dé­tec­ter une er­reur non pré­vue par les pro­cess”.

Sen­si­bi­li­sa­tion des uti­li­sa­teurs et gou­ver­nance

Parce que l’hu­main doit de­meu­rer au centre du dis­po­si­tif de ges­tion des risques, il est cru­cial de sen­si­bi­li­ser et d’édu­quer les em­ployés à la ges­tion de risques. Et d’in­cul­quer une cul­ture de celle-ci au

sein des or­ga­ni­sa­tions. “La sen­si­bi­li­sa­tion des uti­li­sa­teurs est es­sen­tielle. Se po­ser les bonnes ques­tions et uti­li­ser son bon sens per­met de li­mi­ter les me­naces. La ges­tion des risques doit être glo­bale et consti­tuer l’af­faire de tous. Il est im­por­tant que les mé­tiers le com­prennent”, in­siste

Pierre-Yves Po­phin. “Il convient de res­pon­sa­bi­li­ser les col­la­bo­ra­teurs sur les risques in­hé­rents à l’ac­ti­vi­té, à l’or­ga­ni­sa­tion et à l’éco­sys­tème, et de cla­ri­fier ce que l’on at­tend d’eux”, confirme Bernard Drui. Ni­co­las Bros­sard es­time qu’il im­porte de par­ler de ges­tion des risques aux di­ri­geants et de mettre en place un sys­tème de gou­ver­nance. “La gou­ver­nance passe par les co­mi­tés et les per­sonnes dé­diées qui per­met­tront à l’en­tre­prise d’amé­lio­rer sa ma­tu­ri­té en ma­tière de ges­tion des risques”, sou­ligne ce der­nier. Gé­rôme Billois, ex­pert des As­sises de la sé­cu­ri­té et as­so­cié chez Wa­ves­tone, ca­bi­net de conseil en ma­na­ge­ment, in­siste pour sa part sur l’ap­pli­ca­tion des bonnes pra­tiques et l’en­traî­ne­ment du per­son­nel, par le biais d’exer­cices de crise, de si­mu­la­tions ou des tests d’in­tru­sion pour les cy­be­rat­taques. “Les pom­piers et les mi­li­taires s’en­traînent en per­ma­nence, dans les en­tre­prises on ne s’en­traîne presque ja­mais”, re­grette-il.

Stra­té­gie et bonne gou­ver­nance

Au-de­là de la sen­si­bi­li­sa­tion des col­la­bo­ra­teurs, une vé­ri­table stra­té­gie de ges­tion des risques s’im­pose pour la pro­fes­sion. “Il convient d’être proac­tif. Le plus im­por­tant est de mettre en place une stra­té­gie, de cal­cu­ler le ra­tio pro­ba­bi­li­té/risque pour sa­voir quels sont les risques à prendre en compte et les hié­rar­chi­ser L’hu­main est le maillon faible dans la ges­tion des risques, mais il est aus­si le der­nier rem­part, qui per­met de dé­tec­ter une er­reur non pré­vue par les pro­ces­sus

pour trai­ter les plus im­por­tants”,

es­time Bernard Drui, qui pour­suit “idéa­le­ment, il fau­drait le faire pour tous les risques, mais c’est im­pos­sible

car trop oné­reux”. Une stra­té­gie et une gou­ver­nance qui peuvent s’ap­puyer sur les ré­fé­ren­tiels exis­tants, telle que la norme ISO 27 001. “Il n’est pas né­ces­saire de ré­in­ven­ter la roue. S’ap­puyer sur les ré­fé­ren­tiels exis­tants, qu’ils soient sec­to­riels ou non, et sur les normes re­con­nues in­ter­na­tio­na­le­ment per­met d’amé­lio­rer la ges­tion du risque”, af­firme

Loïc Gué­zo. “Il est éga­le­ment es­sen­tiel de faire un sui­vi ; la gou­ver­nance ne suf­fit pas à elle seule, il convient de mo­ni­to­rer la ges­tion des risques et de com­prendre les pro­ces­sus mis en place dans l’en­tre­prise”, ajoute ce

der­nier.

In­ci­ta­tions lé­gales en cours

Une stra­té­gie de ges­tion des risques qui n’est pas en­core en­trée com­plè­te­ment dans les moeurs hexa­go­nales. “Seules 50 % des grandes en­tre­prises dis­posent d’une vé­ri­table stra­té­gie. De­puis des an­nées, la lé­gis­la­tion al­le­mande oblige les en­tre­prises à trai­ter les dif­fé­rents risques. En France, il n’existe pas

d’in­ci­ta­tion lé­gale”, re­grette Pier­reYves Po­phin. Une in­ci­ta­tion lé­gale qui com­mence tou­te­fois à émer­ger. De­puis juin 2017, la loi Sa­pin II im­pose ain­si aux grandes en­tre­prises de prendre des me­sures pré­ven­tives contre la cor­rup­tion. Et mai 2018 ver­ra l’en­trée en ap­pli­ca­tion du Rè­gle­ment eu­ro­péen sur la pro­tec­tion des don­nées (RGPD), vi­sant à pro­té­ger da­van­tage la vie pri­vée des ci­toyens eu­ro­péens. Quel que soit le de­gré de pré­pa­ra­tion et de ma­tu­ri­té des en­tre­prises en ma­tière de ges­tion des risques, il de­meu­re­ra tou­jours im­pos­sible d’an­ti­ci­per l’im­pré­vi­sible. Car, pas plus qu’il n’existe de risque zé­ro, il n’existe de sé­cu­ri­té ab­so­lue. “Il existe seule­ment une sé­cu­ri­té adap­tée aux risques et à ce que l’on sou­haite réel­le­ment pro­té­ger. La sé­cu­ri­té n’est pas une fin en soi : elle est un voyage et non une des­ti­na­tion”, conclut Luc Im­bert, VP tech­no­lo­gy & in­no­va­tion chez Ja­guar Net­work.

“Il convient d’être proac­tif. Le plus im­por­tant est de mettre en place une stra­té­gie, de cal­cu­ler le ra­tio pro­ba­bi­li­té/ risque pour sa­voir quels sont les risques à prendre en compte et les hié­rar­chi­ser pour trai­ter les plus im­por­tants”

“Il convient de res­pon­sa­bi­li­ser les col­la­bo­ra­teurs sur les risques in­hé­rents à l’ac­ti­vi­té, à l’or­ga­ni­sa­tion et à l’éco­sys­tème, et de cla­ri­fier ce que l’on at­tend d’eux.” Bernard Drui, Pro­vi­ti.

“Seules 50 % des grandes en­tre­prises

dis­posent d’une vé­ri­table stra­té­gie. De­puis des an­nées, la lé­gis­la­tion al­le­mande oblige les en­tre­prises à trai­ter les dif­fé­rents risques. En France, il n’existe

pas d’in­ci­ta­tion lé­gale.” Pierre-Yves Po­phin, NTT Se­cu­ri­ty.

“Les pom­piers et les mi­li­taires s’en­traînent en per­ma­nence, dans les en­tre­prises on ne s’en­traîne presque ja­mais.”

Gé­rôme Billois, Wa­ves­tone.

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.