Le risque informatique est aujourd'hui une problématique majeure des entreprises souvent dépendantes de leurs systèmes d'information et donc particulièrement exposées aux menaces qui pèsent sur leur activité. Ces menaces peuvent avoir des conséquences opérationnelles (ralentissement voire arrêt de la production), financières (coût des investissements informatiques) ou légales (Sarbanes-Oxley, LSF...)
La gestion des risques, informatiques ou autres, a longtemps été traitée de manière « artisanale » par les entreprises, mais elle remporte aujourd'hui un franc succès auprès des grands comptes internationaux qui, poussés par une évolution des réglementations et un souhait de se prémunir au maximum contre les risques divers, demandent à leurs DSI (directions des systèmes d'information) de déployer des systèmes dédiés à cette problématique. Le défi de la gestion des risques est donc plus que d'actualité pour les DSI avec comme ligne de conduite la mise en œuvre d'une démarche normalisée et industrielle !
Mais cartographier et gérer les risques n'est pas pour eux une chose évidente. En effet, la gestion du risque informatique s'attache à identifier les risques qui pèsent sur le système d'information, ses activités, ses utilisateurs... Son analyse impose donc une veille étendue prenant en compte toutes les spécificités propres à la société. L'on comprend donc parfaitement que la duplication d'un modèle existant est difficile à reproduire au vu des données spécifiques de chaque entreprise.
La réussite de ces projets passe finalement par une sensibilisation active de l'ensemble des collaborateurs. Il s'agit de mettre fin à des habitudes de gestion individuelle et d'insuffler un modèle organisationnel tourné vers le partage de l'information et le travail collaboratif. Sans ce pré requis, les entreprises ne pourront pas mettre en place une véritable politique efficace de gestion de risque. En effet, le succès de ce type de déploiement repose sur une implication forte des collaborateurs qui doivent adhérer au processus défini (prise en compte de référentiels risques et de la méthodologie définie en amont, utilisation d'un outil de saisie normalisé ...) Notons d'ailleurs que les phases amont de définition des référentiels risques occupent aujourd'hui une place grandissante dans les nouveaux projets de Risk Management.
Dans le contexte actuel, fort est de constater qu'une démarche industrielle reposant sur l'utilisation d'outils informatiques semble devenir la règle de fonctionnement. Ce type de pratiques a d'ailleurs été largement porté par de grands groupes pour qui la cartographie et la gestion des risques informatiques représentaient une donnée stratégique, et ce, quelle que soit la nature de leurs activités et leur organisation.
Néanmoins, la puissance et la fiabilité de l'outil de gestion du risque informatique ne font pas tout et il ne faut pas oublier que mots de passe, antivirus et autres mesures de sécurité dépendent avant tout de contrôles définis et suivis par des personnes. Sans une structuration stricte de la politique de gestion des risques et sans la mise en place de procédures détaillées respectées par tous les utilisateurs, il est toujours possible de contourner les contrôles informatiques. (C'est même considéré par certains comme un challenge !) La gestion de ce type de risques est donc avant tout une problématique humaine où la moindre faille peut rapidement être exploitée, à des fins de malveillance ou non, mais toujours au péril de l'entreprise.
Dans le cadre de sa gestion des risques, le DSI doit donc instaurer une démarche efficace qui ne saurait dissocier la mise en œuvre d'outils spécifiques et l'application de mesures de contrôles rigoureuses.
Pascal Stopnicki, directeur général d'Effisoft.