Analyse Et Gestion Des Risques Dans Les Grandes Entreprises

2007
ANALYSE ET GESTION DES RISQUES

DANS LES GRANDES ENTREPRISES
Impacts et rle pour la DSI
IERSE
Institut dEtudes et de Recherche pour la Scurit des Entreprises
Promouvoir l'usage des systmes d'information comme facteur de cration de valeur et source d'innovation pour l'entreprise
Analyse et gestion des risques dans les grandes entreprises

Publications du CIGREF en 2006-2007
Analyse et Gestion des risques dans les grandes entreprises : impacts et rles pour la DSI Baromtre Gouvernance SI : Evaluer sa dmarche de gouvernance du systme dinformation Changement et transformation du SI : Note de synthse Exemples doffshoring : Retours dexpriences et leons apprises au sein de grandes entreprises Faire face aux changements de primtre dentreprise : guide de survie lusage des dirigeants en cas de changement de primtre dentreprise Gestion des actifs immatriels : kit de dmarrage et tudes de cas Les dossiers du Club Achats : Synthse des activits 2007 Management dun Centre de Services Partags informatiques : Quels modles ? Quels bnfices pour lentreprise ? Quels impacts sur le mtier de DSI ? Marketing de la DSI : Cadre de mise en uvre Outil de scnarisation prospective des besoins Ressources Humaines de la SI : Facteurs cls de lvolution des mtiers et des comptences Pilotage conomique du Systme dinformation : Prsentation des cots informatiques et fiches damlioration par processus Plan Stratgique Systme dInformation Tableau de bord des Ressources Humaines : Indicateurs clefs Tableau de bord Scurit : Indicateurs clefs de la scurit systme dinformation

Ce rapport a t ralis dans le cadre du partenariat de recherche liant le CIGREF et lIERSE Par Jrmie LACROIX Membre des groupes de recherche de lIERSE
Ltude a t pilote par Patrick ANGLARD, DSI de Thals et Frdric LAU, charg de mission au CIGREF
Ce rapport a bnfici des apports de lactivit Gestion des risques du Comit de Pilotage performance durable du SI . Il a t rdig en sappuyant sur les contributions des personnes et entreprises suivantes :
Christine MILLET Agence Informatique pour les Finances de lEtat Cyrille ROY AGF-I Alain DELBOY Air Liquide Pascal BUFFARD AXA France Service Robert ZEITOUNI Crdit Agricole SA Franois-Xavier TUAL DCNS Jean-Yves BIGNON Euro Disney Associs S.C.A. Yves SPIELMANN Euro Disney Associs S.C.A. Eric VERTOUT Groupe Les Mousquetaires Alain BOUILLE Informatique CDC Jean-Pierre VUILLERME Michelin Jean-Jacques CASSE Pfizer France Rachelle BALMADIER Renault SA Muriel ROI SAFRAN Bruno BIGUET THALES

Sommaire
Prambule .................................................................................................................................. 7 1 Quelques notions avant toutes choses .............................................................................. 9 1.1 Quest-ce quun risque ?................................................................................................ 9 1.2 Quest-ce que la gestion des risques ? ......................................................................... 10 1.3 Qui est le risk manager ? ............................................................................................. 11 1.4 Comment peut-on classer les risques ?........................................................................ 11 2 Une nouvelle re : le risk management ........................................................................ 13 2.1 La prgnance nouvelle du risk management dans les entreprises franaises .............. 13 2.2 Cultures dentreprise en matire de gestion des risques.............................................. 16 2.3 Organisation et mthodes pour la gestion des risques ................................................. 18 2.4 Les outils de gestion des risques ................................................................................. 29 3 Le rle de la DSI dans la dmarche de gestion des risques de lentreprise ........................ 37 3.1 La contribution directe de la DSI dans la gestion des risques ..................................... 37 3.2 La contribution indirecte de la DSI dans la gestion des risques .................................. 41 Conclusion ............................................................................................................................... 47 Annexes ................................................................................................................................... 49 Synthse des normes portant sur les risques (ISO, BS) ................................................ 49 Mthodes ........................................................................................................................... 51
Listes des figures

Figure 1 : Organisation globale ............................................................................................... 20 Figure 2 : Organisation centrale rduite .................................................................................. 22

Prambule
En 2006, les DSI membres du CIGREF se sont interrogs sur la gestion des risques dans les grands groupes. En effet, il ressortait de leurs rflexions que la notion de risque ntait pas comprise de la mme faon suivant la stratgie de lentreprise, son secteur dactivit, lorganisation dans laquelle la DSI se trouve . De ces visions diffrentes ressortaient des mthodes de management diffrentes : les DSI venant du monde de lassurance sont naturellement trs au fait de la gestion des risques parce cest leur cur de mtier, dautres DSI, comme par exemple ceux du secteur industriel ont une sensibilit diffrente vis--vis de la gestion des risques. Pour rpondre ce besoin dinvestigation, le comit de pilotage du CIGREF Performance durable des SI a mis en place une activit autour de ce thme. Afin davoir une vision oprationnelle des pratiques, la mthode de lentretien a t retenue. Ces derniers ont t majoritairement raliss avec des gestionnaires de risque1 dentreprise et des DSI dentreprises membres du CIGREF. La rflexion sest structure autour de deux aspects : le rle de la DSI dans la dmarche globale de gestion des risques de lentreprise et limpact de cette dmarche sur le fonctionnement de la DSI.
Dans la suite de ce document nous pourrons utiliser aussi le terme anglais risk manager ou labrviation RM
7

1 Quelques notions avant toutes choses

Le risk management au sens moderne du terme est une matire assez nouvelle en France. Suivant quil est utilis par la doctrine, dans le monde de lentreprise, ou dans le langage courant, il ne revt pas la mme signification. Il est donc important de dfinir les termes de risque, gestion des risques et risk manager avant de poursuivre. Le vocabulaire propre cette discipline nest pas encore standardis voici donc quelques dfinitions tires de la littrature sur ce sujet.
1.1 Quest-ce quun risque ?

[Le risque est l] ventualit dun vnement ne dpendant pas exclusivement des parties et pouvant causer la perte dun objet ou tout autre dommage ; par extension, [le risque est un] vnement contre la survenance duquel on sassure. Le Petit Robert Le risque est constitu par tout vnement susceptible de faire perdre de largent lentreprise. Un incendie dans un atelier, la perte de parts de march, un mauvais positionnement stratgique sont des risques qui peuvent affecter la sant financire dune entreprise. Les risques sont les vnements qui empchent [lentreprise] d'atteindre ses objectifs stratgiques : la gestion des risques ou risk management doit tre une logique d'entreprise. Ecole des Mines [Le risque est la] probabilit qu'un effet spcifique se produise dans une priode donne ou dans des circonstances dtermines. Directive n 96/82 du Conseil de lEurope2. [Le risque est la] combinaison de la probabilit et des consquence(s), de la survenue d'un vnement dangereux spcifi. OHSAS 180013 [Le risque est] la menace quun vnement , une action, ou une inaction affecte la capacit de lentreprise atteindre ses objectifs stratgiques et compromette la cration de valeur . Cabinet Ernst & Young4
2
Directive n 96/82 du Conseil de lEurope du 9 dcembre 1996 concernant la matrise des dangers lis aux accidents majeurs impliquant des substances dangereuses. 3 OHSAS ou Occupational Health and Safety Assessment, certification qui prcise les rgles pour la gestion de la sant et la scurit dans le monde du travail. Elle a une valeur internationale.
9

1.2 Quest-ce que la gestion des risques ?

The culture, processes and structures that are directed towards the effective management of potential opportunities and adverse effects. (La culture, les processus et structures qui sont dirigs vers la gestion efficace dopportunits potentielles ou deffets dfavorables). Standard australien et no-zlandais de risk management AS/NZS 4360 :1999 [Le risk management] vise identifier et anticiper les vnements, actions ou inactions susceptibles dimpacter la mise en uvre de la stratgie dans un horizon donn, dfinir les options de traitements et sassurer quune option optimale est choisie, mettre en uvre cette option et contrler lefficacit de la solution retenue par rapport aux attentes . Cabinet Ernst & Young Plus gnralement applique aux entreprises, la gestion des risques s'attache identifier les risques qui psent sur les actifs (financiers ou non), les valeurs ainsi que sur le personnel de l'entreprise. La gestion des risques dans l'entreprise passe par lidentification du risque rsiduel5, son valuation, le choix d'une stratgie de matrise et un contrle. Aujourdhui en 2007, lattention porte la gestion des risques dans l'entreprise sest accrue. Ceci se traduit simultanment par un cadre rglementaire renforc et par une pression grandissante des marchs pour une prise de conscience des entreprises de la ncessit de matriser leurs risques.
_____________________________________
4
Cette dfinition est issue de louvrage Comprendre et grer les risques de Franck Moreau, qui reprend les dfinitions conues et admises au sein du cabinet Ernst Young. 5 Le risque zro nexiste pas : la part de risque qui nest pas toujours soit matrise, soit identifie, est cette part de risque rsiduel
10

1.3 Qui est le risk manager ?

A person hired to identify significant pure risks that a company faces and prescribe effective techniques to deal with them. (Le risk manager est une personne engage pour identifier les risques purs significatifs que rencontre une socit et pour prescrire des techniques efficaces pour les manager). Glossaire du Credit Research Foundation
1.4 Comment peut-on classer les risques ?

Il existe de nombreuses classifications de risques dont lutilisation diffre suivant les entreprises. Par exemple, les risques peuvent tre classs suivant leur nature : De nature conomique, ils rsultent dun brusque changement dans lenvironnement conomique de lentreprise Sils sont oprationnels, ils sont lis un dysfonctionnement dans les processus industriels ou de production de lentreprise Ils peuvent aussi survenir dun vnement naturel Ou bien tre lis une action volontaire ou involontaire de lhomme. Mais les risques peuvent aussi tre classs selon quils touchent aux actifs financiers ou quils sont oprationnels ou de conformit. Par exemple, parmi les risques financiers, nous pouvons trouver : Ceux lis aux crises montaires et financires : les risques pays. Les risques de contrepartie, lis au non respect dune obligation par un cocontractant. Ceux de taux de crdit sils voluent dfavorablement Ceux de change avec la variation des cours des monnaies Ceux de march et de la loi de loffre et de la demande Les risques sur la facilit acheter ou revendre un actif : c'est--dire de liquidit.
11

Le comit de Ble6 a sa propre dfinition du risque oprationnel : cest un risque de pertes provenant de processus internes inadquats ou dfaillants, de personnes et systmes ou d'vnements externes . Dans ce cadre particulier les risques oprationnels ont donc un champ dapplication trs large. Les accords de Ble les classent en 8 catgories : 1. 2. 3. 4. 5. 6. 7. 8. Fraude interne Fraude externe Scurit de systmes Pratiques en matire demploi et scurit sur le lieu de travail Clients, produits et pratiques commerciales Dommages aux actifs corporels Dysfonctionnement de lactivit et des systmes Excution, livraison et gestion des processus
Les risques de conformit, concernent : Les aspects lgaux et rglementaires Les risques de sanction : administrative, disciplinaire Le risque de rputation Le non respect de la dontologie
judiciaire,
Le Comit de Ble ou Comit de Ble sur le contrle bancaire est une institution cre en 1974 par les gouverneurs des banques centrales du groupe des Dix (G10) au sein de la Banque des rglements internationaux Ble.
12

2 Une nouvelle re : le risk management

De plus en plus confrontes aux problmatiques de risques, les entreprises sont aujourdhui progressivement devenues plus sensibles la ncessit dune gestion efficace des risques, tel point quon peut dsormais parler dune nouvelle re dans la prise en compte des menaces de lentreprise : celle du risk management. La comprhension et lapplication des concepts de risk management dans leur acception anglo-saxonne est assez rcente dans les entreprises franaises. Il en rsulte une maturit des entreprises ingale, des stratgies de prise en compte diffrentes et des choix organisationnels dissemblables.
2.1 La prgnance nouvelle du risk management dans les entreprises franaises

La gestion des risques moderne est ne aux tats-Unis entre les annes 1950 et 1960. A cette poque elle ne se faisait que par le transfert des risques vers un assureur. Domine par la question de lassurance et la prise en compte des pertes financires, cette notion a volu. Seuls les accidents dhygine et du travail faisaient lobjet dune anticipation et dune prvention. La prise en compte dlments financiers comme moyen de couverture des risques, conduisait au rattachement des risk managers la direction financire de lentreprise. Dans les annes 1980, en raison de la sophistication des outils financiers et de la prise de conscience par les entreprises de limportance des plans de continuit, la dmarche de gestion des risques sest tendue dautres domaines. Cest cette poque que lon sinterroge sur son application au management des projets informatiques. Depuis les annes 2000, la gestion des risques a pris une importance capitale dans la vie des entreprises. Elle procde dune approche globale et dune prise en compte de plus en plus complte de toutes les vulnrabilits pouvant entraver la bonne marche de lentreprise. Elle tend tre intgre dans la stratgie globale de lentreprise et devient un lment qui peut influer sur les principes dorganisation de lentreprise. Contrairement aux grands groupes franais, les entreprises anglosaxonnes ont adopt depuis de nombreuses annes la gestion globale des risques comme lment cl de la stabilit de lentreprise. Nanmoins, depuis quelques annes, les grandes entreprises franaises ont rattrap leur retard. Pour cette raison on peut parler de prgnance nouvelle pour traduire le niveau
13

actuel dimprgnation de la notion de risque dans les entreprises franaises. Nous allons voir dans ce chapitre quun certain nombre de facteurs dinfluence ont conduit les dirigeants dentreprise rendre visible et organiser le risk management. Cette volont de transparence est en relation directe avec le phnomne de gouvernance dentreprise. En effet, afin de rassurer les principales parties prenantes dans la vie de lentreprise (les clients, les actionnaires, les employs, les pouvoirs publics), les dirigeants ont dcid de montrer dune part que les risques sont pris en compte et dautre part que leur gestion est intgre dans la stratgie de lentreprise.
2.1.1 La prise de conscience

Quatre vnements majeurs ont rsonn dans lcosystme informatique et se sont traduits par une prise de conscience de la ncessit danticiper la vulnrabilit des entreprises : le bogue de lan 2000, les attentats du World Trade Center, lexplosion de lusine AZF Toulouse, les scandales financiers Enron et WorldCom. Le bogue de lan 2000 a fait prendre conscience tous que le systme dinformation est partout et quun simple dysfonctionnement peut paralyser des entreprises ou des secteurs conomiques entiers. Dans beaucoup dentreprises, un management des projets informatiques par les risques a t mis en place pour vrifier, corriger, anticiper et rorganiser les systmes dinformation ainsi que pour coordonner la veille et les ventuelles actions au moment du changement de date. Le 11 septembre 2001, les attentats du World Trade Center New York ont un impact majeur sur lconomie amricaine et sur de nombreuses entreprises. Cette catastrophe sans prcdent par ses consquences et son modus operandi a mis en exergue la fragilit des entreprises vis--vis de risques qui navaient jamais t envisags. Ces attentats ont t un lment rvlateur de la ncessite de mener une rflexion globale7 sur les risques. Lexplosion de lusine AZF Toulouse, 10 jours plus tard, le 21 septembre 2001, a conduit les entreprises sinterroger sur la ncessit de communiquer sur les risques et de mieux prendre en compte les risques technologiques. En dcembre 2001, Enron, socit amricaine de distribution dnergie, fait faillite en raison des pertes occasionnes par des oprations spculatives maquilles en bnfices via des
Au sens effets globaux, mondialisation, entranant plus de prospective sur les risques
14

manipulations des comptes pourtant certifis par le cabinet daudit Arthur Andersen. Moins dun an plus tard, durant lt 2002 la socit de tlcommunications amricaine Worldcom dpose son dossier de faillite la suite de manipulations comptables rvles au grand jour. Ces deux scandales ont conduit les pouvoirs publics amricains lgifrer sur la communication en matire de trsorerie, sur lapproche processus et lapproche risque des entreprises. Ce sont ces quatre vnements majeurs qui marquent la prise de conscience des entreprises de leur fragilit vis--vis des risques : en premier lieu de leur vulnrabilit, en second lieu de leur carence dans la gestion de ces vulnrabilits et enfin de la ncessit dintgrer la gestion des risques dans leur stratgie.
2.1.2 Les lgislations

A la suite des scandales financiers noncs prcdemment, les pouvoirs publics ont aussi pris conscience que les vulnrabilits des grands groupes pouvaient avoir de graves consquences en dans le cas dun risque avr, sur les conomies nationales. Cest pourquoi, des lgislations destines garantir la stabilit de lconomie en imposant aux entreprises de prendre certaines mesures relatives la gestion de leurs risques financiers, ont t adoptes.
The Sarbanes-Oxley Act (SOX)

En rponse aux scandales Enron et Worldcom, les autorits fdrales amricaines votent le 31 juillet 2002 le SarbanesOxley Act , loi qui organise la transparence de la comptabilit, ainsi que la gestion des risques financiers de lentreprise. Cette loi sapplique toutes les entreprises cotes la bourse de New-York. Elle a donc un rayonnement fort et touche de nombreuses entreprises hors des frontires des Etats-Unis. La loi SOX a t labore dans le but dapporter une rponse rapide la crise de confiance sur la communication financire des entreprises. Elle est centre sur la fiabilit des informations.
La loi sur les nouvelles rgulations conomiques (NRE)

Dans le cadre de la lutte contre les fraudes et la gestion des risques financiers de lentreprise, la France anticipe le problme qui est lorigine des scandales de type Enron et Worldcom : en mai 2001, la loi sur les nouvelles rgulations conomiques (loi NRE) est vote. Elle impose la dissociation des fonctions excutives des fonctions de contrle au sein des entreprises. Par cette obligation, elle renforce l'indpendance des administrateurs par rapport au prsident et accroit la transparence vis--vis des actionnaires. La loi NRE impose aussi aux entreprises de
15

communiquer sur les consquences sociales et environnementales de leurs activits.
La loi de scurit financire (LSF)

La loi de scurit financire (LSF) a t adopte par le Parlement franais le 17 juillet 2003 afin de renforcer les dispositions lgales en matire de gouvernance d'entreprise. Tout comme la loi Sarbanes-Oxley, la LSF organise une modernisation des autorits de contrle des marchs financiers, la scurit des pargnants / assurs et le contrle lgal des comptes.
Les accords de Ble II

Les accords de Ble II sont un dispositif rglementaire labor par le comit de Ble depuis 1998 et publi en 2004. Ce dispositif concerne les tablissements financiers europens et vise amliorer leur capacit de mesure, de gestion et de couverture de leurs risques afin de prserver leur solvabilit et ainsi renforcer leur stabilit financire. Les accords de Ble II apportent une mthodologie dcomposant les risques suivant leur nature et prcisant les axes damlioration. La principale innovation des accords de Ble II par rapport ceux de Ble I est la prise en compte des risques oprationnels dans le calcul des fonds que les banques doivent immobiliser pour couvrir leurs propres risques
Le projet de directive Solvency II

Solvency II ou Solvabilit II est le nom donn au projet de directive europenne dpos auprs du parlement le 10 juillet 2007. Cette directive doit concerner les socits dassurance et de rassurance. quivalent des accords Ble II pour les tablissements financiers, Solvency II est la fois un principe et un processus : chaque assureur et rassureur doit allouer suffisamment de capital pour couvrir les risques inhrents son activit. Le calendrier prvoit que ce projet aboutira une directive en 2008, directive dont lapplication effective nest prvue que pour 2010.
2.2 Cultures dentreprise en matire de gestion des risques

La culture du risque dune entreprise se traduit par le niveau de prise en compte des risques dans la stratgie de lentreprise et dans son organisation. Dune manire globale, il apparait au cours de nos entretiens, que ce niveau de culture tend augmenter dans les grands groupes franais, mme sil existe encore de grandes diffrences entre les entreprises. Deux facteurs permettent dexpliquer ces diffrences : le niveau de culture du risque dpend en trs grande partie de lactivit et de la rglementation applicable lentreprise.
16

2.2.1 La culture fonction de lactivit de lentreprise

Les disparits de culture sexpliquent en partie par lactivit des entreprises. Sur lchantillon observ (15 entreprises), il est possible de classer les entreprises en cinq groupes, selon leur secteur dactivit, avec pour chacun un niveau de culture diffrent : 1. Les socits dassurance et de rassurance ont toutes une sensibilit particulire vis--vis du risque. Leur activit est base sur le transfert des risques, cest le cur de leur mtier. Expertes dans la gestion des risques de leurs clients, ces socits sont galement trs exprimentes dans le management de leurs propres risques. 2. La sensibilit la gestion du risque des banques et des tablissements financiers assimilables est trs proche de celle des assurances, mais pour des raisons diffrentes : ils doivent se couvrir vis vis du risque de retrait massif des avoirs de leurs clients. Do les accords de Ble II. 3. Les grands groupes de dfense ou ceux qui participent la dfense nationale sont trs sensibles aux problmatiques de risk management. De par leur activit confidentielle qui revt souvent un caractre stratgique pour leur pays, ces grandes entreprises ont trs tt t obliges de prendre en compte les risques comme composants essentiels de leur stratgie. 4. Il existe de trs fortes disparits en matire de prise en compte des risques dans les entreprises du secteur industriel. Certains groupes pratiquent le risk management depuis de nombreuses annes, tandis que dautres nen sont quau stade embryonnaire. Ces ingalits dpendent en grande partie de lhistoire de lentreprise et de sa concurrence. 5. La gestion de risque parait embryonnaire dans les administrations. La plupart du temps elle se rduit sa plus simple expression, savoir le transfert des risques vers un assureur. Nanmoins dans certains cas, il est apparu quelle pouvait tre mise en uvre efficacement comme mthode de management des projets risque .
2.2.2 Rglementation et culture du risque

La rglementation a un trs fort impact sur le niveau de culture du risque des entreprises : Les tablissements financiers astreints au respect des accords de Ble II sont lgalement obligs de prendre en compte les risques de crdit, de march et les risques oprationnels. De la mme manire, les socits dassurance et de rassurance qui ont dj une trs forte culture du risque, vont
17

devoir rorganiser leur propre dmarche de gestion de risque en fonction des obligations qui dcouleront de Solvency II. Les entreprises franaises qui sont cotes la bourse de New York doivent appliquer les dispositions de SOX depuis dj 6 ans.
2.2.3 Nationalit et culture du risque

Historiquement, les entreprises anglo-saxonnes ont toujours t en avance sur les entreprises franaises en matire de risk management. Leurs filiales franaises et les entreprises franaises qui ont des liens forts avec les entreprises amricaines ont bnfici de cette avance. Par exemple, lentreprise EuroDisney a bnfici et bnficie toujours de la culture de risque de lentreprise World Disney Company.
2.3 Organisation et mthodes pour la gestion des risques

La mise en place dune dmarche moderne de risk management implique une adaptation de lorganisation de lentreprise et modifie les relations entre les diffrents acteurs. Des formations sont frquemment mises en place afin de sensibiliser les collaborateurs de lentreprise aux changements amens par la gestion de risque dans lorganisation.
2.3.1 Lorganisation de la dmarche de risk management

La mise en uvre dune fonction de risk management pose la question de sa place dans lorganisation et lentreprise. Tous les grands groupes franais nont pas choisi de mettre en place une fonction de risk manager, ni mme adopt une organisation similaire en la matire. Pourtant, la prise en compte des risques a conduit dans la majeure partie des entreprises, rendre visible la dmarche de gestion des risques dans la rpartition des responsabilits de haut niveau.
Le choix de la fonction gestion des risques dpend de la stratgie dentreprise

Diffrentes fonctions de lentreprise peuvent exercer les missions et activits lies aux risques : Le responsable de laudit interne peut exercer des fonctions de gestion des risques par le biais de laction de reporting quil exerce dans toutes les branches de lentreprise. Dans les entreprises o la production dpend essentiellement de linformatique, la plupart des risques du groupe sont lis aux systmes dinformation. La gestion des risques intgre donc une forte composante relative la scurit des systmes dinformation. Le responsable de la scurit des systmes
18

dinformation peut jouer dans ce cas un rle majeur dans la dmarche de risk management. Le transfert des risques vers un assureur est la mthode la plus anciennement utilise en matire de gestion des risques. Actuellement, la gestion des risques ne se limite plus uniquement cette mthode mme si cette mthode est encore largement utilise. Le responsable assurances de lentreprise a donc encore une place prpondrante dans la dmarche de gestion des risques. La responsabilit de la dmarche de gestion des risques implique une relle comptence financire. Un des directeurs (financier, opration, organisation selon le cas) de lentreprise peut aussi tre amen exercer des fonctions de gestion des risques. Avant que la fonction de risk manager ne soit cre dans les entreprises, le directeur financier, du reste, a souvent exerc des activits relatives la gestion des risques. Le Directeur Gnral dlgue le plus souvent cette responsabilit.
Par rapport aux fonctions cites prcdemment, la fonction de risk manager est une fonction rcente. Elle a t dfinie spcifiquement pour prendre en charge la dmarche de gestion de risque dans son ensemble. Elle apparait donc comme tant la plus adapte la vision contemporaine des risques. Nanmoins, il nexiste pas de risk manager ou directeur des risques dans toutes les entreprises. Il est aussi possible de cumuler la fonction de risk manager avec une fonction traitant de problmatiques similaires comme par exemple un directeur assurance ou un responsable scurit des SI. Ce cumul de fonction est motiv par la volont de communiquer autour de la dmarche de gestion des risques et de la rapprocher de disciplines connexes partageant les mmes enjeux.
Le rattachement du risk manager

Le niveau de rattachement du risk manager dans le groupe est un indicateur reprsentatif du niveau de maturit de lentreprise face au risque. Gnralement, le risk manager est rattach la direction financire de lentreprise. Ce rattachement permet la dclinaison dune politique globale de gestion des risques de par lappartenance du directeur financier au comit excutif. Nanmoins, il peut aussi traduire une priorit donne aux risques financiers par rapport aux autres risques.
19

Dans certaines entreprises, le risk manager est membre du comit excutif de lentreprise. Ce rattachement sexerce par le biais dun reporting direct au comit excutif ou par lexistence dun comit de maitrise des risques compos du risk manager et de directeurs membres du comit excutif. Ce choix favorise la prise en compte du risque par lensemble des mtiers.
Les organigrammes possibles en matire de gestion des risques

Lors des entretiens, nous avons observ quatre modes principaux dorganisation mise en place dans les entreprises.
Organisation globale
Certains groupes ont adopt une organisation globale en matire de risk management. C'est--dire quelle est lie ladoption dune politique globale et intgre de gestion des risques dentreprise. Elle est appele Enterprise risk management ou ERM.
Source CIGREF
Figure 1 : Organisation globale
20

Cette politique propose lutilisation de mthodologies et doutils communs lensemble des branches, directions et filiales de lentreprise afin de structurer et de rendre cohrente la participation de ces entits la dmarche de gestion des risques. Elle permet davoir une vision complte des risques du groupe et des risques mtiers tout en les hirarchisant. La mise en uvre de cette politique est sous la responsabilit dun risk manager le plus souvent rattach au comit excutif qui dfinit avec son aide, les lments de la politique gnrale de gestion des risques. Ce risk manager corporate a un rle de coordination et de supervision de la dmarche. Par consquent, il va dans certains cas avoir la responsabilit de la direction de lassurance ou du contrle interne. Le directeur des risques est assist par des correspondants risques qui dclinent la politique gnrale de risk management dans les diffrentes branches et filiales de lentreprise. Ces correspondants participent la remont des informations ncessaires la cartographie des risques du groupe. Ce sont les interlocuteurs privilgis des mtiers avec lesquels ils laborent les plans daction de traitement des risques. En effet, les directions mtiers sont comptentes pour lapplication oprationnelle de la politique de risk management, car elles sont expertes dans les activits quelles exercent. Lorganisation globale en matire de risk management est un schma qui convient bien des groupes dcentraliss.
Organisation centrale rduite
Les entreprises fortement centralises ou mono-sites adoptent plus gnralement une organisation centrale rduite en matire de risk management. Assist dune petite quipe, le risk manager du Groupe (Chief Risk Officer) dfinit la politique gnrale de gestion des risques. Ce risk manager a pour interlocuteurs directs, les directeurs mtiers et les oprationnels avec lesquels il tablit la cartographie des risques et les plans daction ncessaire leur traitement. Il ny a pas de correspondants risques ou quivalents dans les filiales et dans les diffrentes divisions du groupe.
21

Source CIGREF
Figure 2 : Organisation centrale rduite
Organisation en lectron libre
Labsence de risk manager dans une entreprise ne signifie pas labsence dune dmarche de gestion des risques. La mise en uvre dune telle dmarche peut tre initie par une direction mtier ou une direction fonctionnelle qui donne les impulsions ncessaires cette dmarche. Cette organisation peut dans certains cas provoquer un manque de visibilit de la dmarche et donc des difficults en parler. Relaye par labsence dune politique globale et intgre de gestion des risques, elle peut aussi conduire moins defficacit et de cohrence dans la dmarche.
Absence dorganisation
Lorsquil nexiste ni risk manager ni dmarche structure de risk management, les diffrents mtiers assurent au niveau local lidentification et le traitement de leurs propres risques. Par consquent, les mtiers grent leurs risques en totale indpendance. Cette indpendance ne permet pas une gestion centralise des risques au niveau du Groupe. La somme des risques mtiers ne correspondant pas la totalit des risques groupe il y a perte defficacit dans leur traitement.
22

Gestion des risques et organisation de la DSI

En matire de gestion des risques, les DSI des entreprises peuvent adopter plusieurs schmas organisationnels. Dans certaines entreprises, linformatique prend la forme dun GIE dans lequel il existe le plus souvent une personne en charge de la gestion des risques du GIE. Ce risk manager ne traite quasiment que des risques lis aux SI. Du reste, il nest pas rare de voir le responsable scurit groupe piloter la gestion des risques lis aux systmes dinformation. Dans ce cas, son action est relaye par la DSI groupe et par les DSI des filiales. Cette prise en compte de la gestion des risques par la DSI nimplique pas une influence forte de la dmarche de risk management sur son organisation. Cest au niveau des processus et du fonctionnement de celle-ci que la dmarche a le plus dinfluence. Dans les groupes dinspiration anglo-saxonne, il peut exister une fonction dIT risk manager, spcialiste des risques lis aux systmes dinformation. Il conduit la politique de gestion des risques informatiques et peut tre assist par des correspondants risques ou scurit au niveau des filiales. Ces correspondants sont chargs dune part, de la remonte des informations, dautre part, de la dclinaison des prconisations mises par lIT risk manager au niveau des DSI des filiales.
2.3.2 Relations entre les acteurs de lentreprise

Paradoxalement, la mise en place dune politique globale et intgre de gestion des risques dcline par un risk manager conduit dans un premier temps une complexification des relations entre les acteurs de lentreprise et dans un second temps une rationalisation de la dmarche de gestion des risques.
Des relations complexes

Nature des relations entre le risk manager et les autres fonctions de lentreprise
La nature des relations entre le risk manager et les autres fonctions de lentreprise varie suivant quelles soient mtiers ou fonctions dvaluation et de contrle. La prsence dun risk manager a progressivement conduit les mtiers intgrer les risques dans le management de leurs projets et dans la continuit de leur activit. Cette prise en compte na pas t immdiate : les directions mtiers ont eu tendance privilgier leurs objectifs oprationnels immdiats, dautant plus
23

que, la mise en uvre des plans daction de traitement des risques ncessitent souvent de mobiliser des budgets qui pourraient tre affects la conduite de projets propres leur activit. La gestion des risques ntait pas une priorit pour les mtiers chargs de la mettre en uvre. Le risk manager a donc t dans un premier temps considr comme une source de gne pour les oprationnels, mais lappui de sa hirarchie et les oprations rptes de sensibilisation ont dmontr aux directions mtiers son importance pour la matrise des risques dans lentreprise. Il y a eu moins de tensions avec les fonctions dvaluation et de vrification de la scurit (qualit, scurit, audit interne). Par nature, il existe une complmentarit entre ces dernires et la fonction de risk manager. Cette complmentarit se traduit par la mise en place de mcanismes de contrle qui verrouillent la dmarche. Il apparait alors quune dmarche de gestion des risques encourage les mcanismes de contrle mme sils apparaissent en premier lieu comme un handicap la flexibilit. Ces contrles sont porteurs de valeur car ils poussent les mtiers sindustrialiser, et la dmarche se rationaliser.
Types de relations entre ces acteurs
Il existe naturellement des relations hirarchiques classiques entre le directeur des risques, les risk managers et les ventuels correspondants risques prsents dans les filiales. Nanmoins, lefficacit de la dmarche est garantie par la transversalit des relations entre tous les acteurs impliqus dans cette dmarche. Dans ce cadre transversal, tous les acteurs de lentreprise sont concerns et doivent contribuer : la gestion des risques implique un travail en rseau o une relation collaborative est toujours prfre une relation hirarchique. Le rle du risk manager nest donc pas dimposer la politique de gestion des risques mais dassister et de coordonner les diffrentes directions oprationnelles dans la matrise de leurs risques. Cest un facteur doptimisation, de mise en cohrence et de rationalisation du rseau dacteurs participant la gestion des risques de lentreprise
24

La rationalisation des relations

Les entreprises qui ont particip cette tude indiquent frquemment que les conflits ventuels qui existaient entre le risk manager et les autres acteurs de lentreprises se transforment progressivement : dabord critique, la dmarche est maintenant accepte pour quatre raisons majeures : Le risk manager peut aider les directions mtiers obtenir des budgets pour des amnagements relatifs au risque ou la scurit. Le risk management permet aux directeurs mtiers de justifier leurs chelles de priorits dans la mise en uvre de certaines mesures. En effet des priorits doivent se dgager pour traiter dabord les risques les plus importants. Cela permet de justifier, sur une base rationnelle conforte par la mthode de gestion des risques, que le traitement de risques secondaires soit report. Le risk manager qui a entrin le choix fait par une direction mtier en matire de risque peut assumer la responsabilit de labsence de traitement dun risque mtier ralis. La gestion des risques peut tre utilise par les mtiers comme standard de management des projets.
Cette acceptation de la dmarche par les mtiers a conduit rendre cohrentes les relations entre les acteurs impliqus dans la dmarche de gestion des risques. Au centre du dispositif de gestion des risques, le risk manager agit donc aussi comme un coordinateur : cest le point central du rseau dacteurs participant la gestion des risques de lentreprise.
Les relations entre le risk manager et la DSI

On constate quen gnral les directives du risk manager (ou de son quivalent) prises en compte par la DSI se concentrent en priorit sur la scurit des systmes dinformation (DICP 8, continuit dactivit), laissant de ct dautres risques (par exemple les risques sur les projets) que le risk manager souhaiterait voir traits. Nanmoins, les relations entre la DSI et le risk manager prennent la forme dune coopration. En dfinitive ils nont pas une relation de prescripteur excutant pour les raisons suivantes : Ces deux directions sont parfois rattaches au mme directeur
DICP : Disponibilit, Intgrit, Confidentialit et Preuve

25

Elles ont une culture de la scurit commune Les prconisations du risk manager vis vis de la DSI viennent plutt en complment dactions dj identifies car la DSI a une forte culture en matire de gestion des risques.
Il peut aussi exister des IT risk managers au sein de la DSI. Dans ce cas les relations entre le risk manager Groupe et la DSI sont simplifies : chacun a son propre domaine dintervention. Les IT risk managers apprhendent le risque informatique de manire extrmement fine alors que le risk manager Groupe va se concentrer sur les risques informatiques principaux : leurs priorits ne sont donc pas ncessairement les mmes. Cependant il ny a pas de cloisonnement total, la supervision de la scurit des systmes dinformation est par exemple une proccupation commune que les deux entits font avancer ensemble. Dans certaines entreprises, le risk manager dicte les niveaux de protection. La DSI se charge de mettre en uvre les mesures adquates pour atteindre les objectifs de rduction des risques qui lui ont t assigns. Dans ce cas, la dmarche peut avoir un impact fort dans la professionnalisation du travail de la DSI. Dans ce cadre, le risk manager peut tre assist dun collaborateur qui connait les lments de la politique globale et qui a une comptence en matire de systme dinformation, afin de faire le relais entre la politique de gestion des risques et la pratique de la DSI. Lorsquil nexiste aucune dmarche globale et structure de risk management, les risques sont le plus souvent traits par les mtiers. Dans ce type dorganisation, la DSI peut se voir alors fixer des objectifs de gestion pour des vulnrabilits qui ne sont rattaches aucun mtier. Dans dautres cas, elle va se substituer certains mtiers, en particulier lorsque la scurit des systmes dinformation est en jeu. Enfin on note que dans une dmarche bien comprise dallocation, par la fonction risk manager, du traitement des risques aux mtiers concerns, certains risques pourtant lis linformatique sont assez logiquement traits par dautres mtiers. Par exemple les risques juridiques lis lutilisation non thique de linformatique par le personnel sont traits par la DRH, avec le conseil de la DSI, mais cest la DRH qui prend les mesures ncessaires (rglement intrieur, engagement individuel)
26

2.3.3 Dveloppement de la formation en matire de gestion des risques

La prise en compte des risques dans lentreprise conduit le plus souvent la mise en place de formations et de sensibilisations relatives au risk management. Ces actions ont pour but dinsuffler une relle culture du risque au sein de lentreprise.
Formation, sensibilisation et comptences en matire de gestion des risques

La formation
Suivant les entreprises, il existe de fortes diffrences en matire de formations et de sensibilisations sur la gestion des risques : Les entreprises les moins matures en matire de gestion des risques organisent rarement des formations sur ce sujet. Dans dautres entreprises les formations axes sur la scurit physique ou les systmes dinformation, sont loccasion daborder les problmatiques relatives la matrise des risques. Enfin, dans les entreprises les plus avances en matire de gestion des risques des formations et des sensibilisations pousses sont organises pour les managers, lors de colloques ou dans des universits dentreprise. Toutefois, les entreprises ne proposent pas un cycle de formation pouss en la matire pour tous leurs employs. Dans le meilleur des cas, les managers sont forms et le reste des collaborateurs lgrement sensibiliss.
La sensibilisation
La plupart des entreprises privilgient la sensibilisation plutt que la formation de leurs collaborateurs. Les actions de sensibilisation sont souvent organises par les risk managers. Elles peuvent prendre diffrentes formes : Campagnes daffichage, applications ludiques sur Intranet, responsabilisation par signature de documents, questionnaires. Lintrt des questionnaires est didentifier les lacunes afin dviter dorganiser des sessions sur des sujets dj maitriss par les collaborateurs. Les thmes de sensibilisation voluent donc rapidement. Ce principe est particulirement intressant pour la DSI puisque les systmes dinformation voluent trs rapidement. Les DRH peuvent appuyer le risk manager dans ce sens car elles
27

sont trs intresses par ce principe de questionnaire de sensibilisation. La sensibilisation est aussi encourage par le biais dune part de la signature dune dcharge de responsabilit et dautre part du rglement de lentreprise. De nombreuses entreprises imposent la signature de documents leurs employs afin dattester quils ont pris en compte les risques. Ces documents permettent de responsabiliser lemploy et surtout de montrer que lentreprise a pris les mesures ncessaires pour se prmunir des risques juridiques induits par la faute dun de ses employs. Malgr toutes ces mesures, les risk managers considrent que les cadres de lentreprise ne sont jamais assez sensibiliss ou forms la gestion des risques. Plus souvent nots sur leur implication dans la performance conomique du groupe, que sur la ralit des mesures de protection mises en place, il est difficile de maintenir chez eux, un niveau de motivation lev.
Les comptences en matire de gestion des risques
Certaines entreprises demandent une comptence spciale en matire de gestion des risques pour les personnes en charge piloter des projets relatifs au risk management. Cette comptence nest exige quau niveau des managers sous la forme dun titre ou dune exprience. Nanmoins, pour les responsables de projet en gnral, certaines entreprises se posent aussi la question dintgrer un niveau de sensibilisation minimum la gestion des risques dans fiche mtier du rfrentiel RH9. Lorsque cette comptence est exige, elle fait le plus souvent lobjet dune valuation. Cest une garantie pour le risk manager de la bonne matrise des usages par les collaborateurs.
La formation de la DSI en matire de gestion des risques

En gnral, la dmarche de gestion des risques a peu dimpact sur la formation ou la sensibilisation des membres de la DSI. Dans la plupart des entreprises, aucune formation nest prvue pour la DSI en matire de risk management. Nanmoins, dans de rares entreprises, les cadres nouvellement embauchs, y compris ceux de la DSI, suivent une formation sur lutilisation de leur outil bureautique. Le but de cette formation est de leur donner une conscience des risques de piratage et dintrusion et leur rappeler lthique lie lusage de ces outils.
Les changes au sein du groupe RH du CIGREF montrent que cette comptence pourrait aussi tre tendue dautres mtiers.
28

Par contre, la DSI participe souvent la mise en place de sensibilisations dans des domaines lis la gestion des risques : la scurit des systmes dinformation et la protection des informations stratgiques de lentreprise (intelligence conomique) : LIT risk manager peut tre le vecteur de ces sensibilisations. Il met des recommandations sur la scurit des systmes dinformation vers les DSI des filiales qui vont diffuser tout au long de lanne un ensemble de documents de sensibilisation sur les risques lis aux systmes dinformation. La prise en compte des risques lis la maitrise de linformation stratgique ou lintelligence conomique est un enjeu majeur pour lentreprise. Les entreprises vraiment sensibilises ces problmatiques proposent des formations organises le plus souvent avec le concours de la DSI et de diffrents services de ltat (la DST10 par exemple). Les managers de la DSI peuvent aussi tre forms ces problmatiques. Ils les dclineront ensuite auprs de leurs utilisateurs.
La DSI, dans ce cadre, est un lment moteur dans la mise en place de formations sur des sujets lis la gestion des risques.
2.4 Les outils de gestion des risques

Pour grer, prvenir, rduire et traiter les risques, des outils et mthodes ont t progressivement dvelopps dans lentreprise. Ils ont permis daffiner les procdures de cartographie des risques et de mettre en relief des facteurs clefs, ncessaires un management optimal des risques.
2.4.1 La procdure de gestion des risques

Mme si les procdures de gestion des risques diffrent selon les entreprises, les tapes qui la composent sont toujours similaires : Dans un premier temps, les risques sont identifis, cartographis et valus. Une fois les risques majeurs identifis, des plans daction destins au traitement de ces risques sont mis en uvre. Les risques rsiduels font lobjet dun transfert. Les budgets risque sont allous aux entits charges de les traiter
10
Direction de la Surveillance du Territoire

29

Enfin, les actions correctrices font lobjet dun suivi et dun contrle.
La cartographie des risques

Perception des risques
Lidentification des risques dpend de la faon dont ils sont perus. Les diffrences de perception dpendent du contexte dans lequel les risques sexercent. Par exemple : on constate que les directeurs des diffrents mtiers ne hirarchisent pas des risques identiques de la mme manire. Le caractre stratgique dun risque dpend aussi de lentit sur laquelle il sexerce. De la mme manire, les risques stratgiques du groupe sont souvent trs diffrents des risques mtiers. Enfin, suivant que lon sattache regarder pour un risque donn, la svrit de ses consquences ou sa probabilit doccurrence, sa perception sera diffrente La dfinition dun langage spcifique la gestion des risques est ncessaire pour raliser une cartographie aboutie et prcise. Il faut dfinir une terminologie commune avec des rfrentiels processus communs pour ne pas amplifier les diffrences de perception entre les entits qui vont participer llaboration de la cartographie. Toute cartographie des risques ncessite une prparation rigoureuse qui suit certains principes. Elle doit tre ralise auprs dun chantillon de personnes suffisamment reprsentatives tout en prenant en compte de facteurs comme le cot et le temps. Comme le plus souvent, les interlocuteurs nauront pas une dmarche menant spontanment une bonne cartographie des risques, le risk manager devra les guider par un dispositif mthodologique adapt. Certains risk manager choisissent de dlguer la cartographie des risques des consultants. Ce choix dpend du temps imparti, du budget et des personnes interroger.
Identification des risques
Dans un premier temps, le risk manager va raliser une tude pralable des risques de lentreprise en fonction de sa propre perception. Cette tude pralable va lui permettre didentifier lchantillon quil va interroger par la suite. Dans labsolu, il faudrait interroger toutes les units et les mtiers de lentreprise ce qui est le plus souvent impossible. Lchantillon de
30

cartographie sera trs diffrent dune entreprise lautre, car il dpend de la perception du risk manager. Dans un second temps, le gestionnaire des risques va laborer des questionnaires sur la perception des risques, pour chacun des mtiers ou entits quil a choisi dinterroger. Gnralement ces questionnaires sont destins quatre types dinterlocuteurs : les oprationnels qui ont un rle important jouer car ils ont souvent un degr important de sensibilit aux risques, les responsables de processus mtier, la direction gnrale lorsque cela est possible, les consultants externes et internes.
Evaluation des risques
Pour avoir une liste exhaustive des risques et de leur perception, les questionnaires raliss prcdemment sont croiss avec ltude pralable ralise par le risk manager. Les risques sont alors classs et hirarchiss selon leur importance11. Ce classement se fait pour chacune des entits de lentreprise. Diffrentes mthodes peuvent tre utilises pour procder cette valuation. Les personnes interviewes vont noter chaque risque et les placer dans un diagramme en fonction de deux critres : la svrit et la difficult grer ce type risque. Ces matrices et diagrammes font ensuite lobjet dun regroupement dans une base de donnes qui est traite par le dpartement des risques. Une autre mthodologie utilise une notation collective des risques et la confrontation des opinions lors dun dbat. Le risk manager groupe va utiliser ces notations pour tablir une cartographie globale des risques majeurs pour lentreprise et mettre en vidence les priorits examiner en termes de plans dactions.
Le traitement des risques

Lentreprise a le choix de rduire ses risques ou de les transfrer. La rduction des risques se fait par la prvention12 ou par la protection13. En rgle gnrale, le transfert des risques vers un assureur se fait aprs rduction de celui-ci.
11 12
Cest dire selon la gravit de leur impact potentiel combine leur probabilit doccurrence Action sur la frquence du risque 13 Action sur la gravit du risque
31

La rduction des risques prend la forme de plans daction dduits des priorits dgages par la cartographie des risques. Dans la majeure partie des cas, les plans daction sont dfinis et mis en uvre par les oprationnels avec lassistance du risk manager. En effet, les personnes en contact direct avec lactivit soumise au risque, sont les plus mme de proposer et de mettre en uvre des mesures de traitement de ce risques. Ils ont une expertise dans leur activit propre. Chaque responsable de risque dsign, doit dfinir les plans daction adquats et les mettre en uvre aprs une ventuelle validation du risk manager. Ces plans ont pour objectif de rduire au maximum les risques jugs majeurs pour le groupe c'est--dire dobtenir un risque rsiduel le plus faible possible. La constitution de ces plans comprend en gnral deux grandes tapes : Dterminer la meilleure faon de traiter le risque, Slectionner et planifier un traitement adapt.
Le transfert des risques prend gnralement la forme de contrats dassurances. Il se traduit galement par lexistence de contrats types qui dfinissent clairement les zones de responsabilit de chacune des parties (entreprise / partenaires)
Traitement des risques et dcentralisation de lentreprise

La gestion des risques peut tre dcline dans les diffrentes entits de lentreprise sous forme de microprocessus. Structurellement lanalyse des risques peut tre dcentralise dans les filiales, pour les rendre les plus autonomes possible. Les lments dterminants de ce choix sont : le nombre de filiales et leur distribution internationale.
Il existe diffrentes mthodes pour coordonner la matrise des risques dans ces structures. Par exemple, on peut faire remplir un questionnaire au directeur rgional pour dterminer sa vision du risque et de la scurit. Ses rponses sont ensuite compares aux faits rels, ce qui permet de mettre en vidence les discordances qui devront tre corriges. Ce travail permet de dfinir des macro-processus de gestion des risques garant dune cohrence au sein des filiales. Des politiques dfinissant les rgles de gouvernance sont alors mises en place pour combler les dficits en matire de gestion des risques. Les diffrentes entits de lentreprise vont devoir saligner sur ces macro-processus pour atteindre le standard exig.
32

Lallocation des budgets lis aux risques

Suivant les entreprises, lallocation des budgets de gestion des risques peut se faire au niveau de la direction financire ou au sein des conseils dadministration lorsque les entreprises sont fortement dcentralises. Dans tous les cas cette allocation se fait aprs concertation avec les entits concernes par la gestion des risques qui justifient leurs projets dinvestissement en la matire. Toutes les dcisions concernant les risques sont prises en cohrence avec le plan stratgique du Groupe. L'efficacit conomique fait partie intgrante des diffrents objectifs de tout programme de gestion des risques. Limportance du facteur conomique dpend directement de la tolrance de l'entreprise face l'incertitude : plus cette tolrance est faible, plus les budgets dgags pour la dmarche seront importants. Comme il est impossible de tout protger en raison des cots, un arbitrage aura forcment lieu. Il confrontera la criticit avec le cot du risque et des mesures de traitement. Les mtiers ne sont pas entirement libres pour effectuer cet arbitrage qui doit ncessairement sinscrire dans le plan dorientation stratgique de lentreprise14. Les plans daction qui vont tre mis en uvre par les mtiers vont devoir respecter cette orientation de lentreprise. La gestion des risques nest pas du pilotage vue en fonction des marges de manuvre financires. Elle doit respecter une stratgie d'entreprise prtablie. Le propre de la dmarche est didentifier tous les risques pouvant affecter la bonne marche de lentreprise et de traiter les plus urgents tout en se fixant comme objectif, terme, de traiter les autres. Dans certaines entreprises comme les tablissements bancaires, la rglementation impose la couverture financire de certains risques (risques de crdit, risques de march, risques oprationnels).
Suivi et contrle des actions de traitement des risques.

La cartographie des risques doit faire lobjet dune mise jour rgulire. A cette fin, le risk manager doit organiser une procdure de remonte de linformation. Un suivi et un contrle de la mise en uvre effective des plans daction doit galement tre organis. Souvent la taille du dpartement de maitrise des risques ne permet pas ce suivi. Lorsque le processus est suffisamment mr, les fonctions de
14
Les entreprises matures en matire de gestion des risques intgrent toujours une composante risque dans leur plan stratgique
33

contrle interne, daudit ou mme le responsable de la scurit peuvent tre amens exercer ce suivi et ce contrle. Cependant ce nest pas toujours possible et de nombreux risk managers regrettent ne pouvoir assurer le bouclage de la dmarche de gestion des risques. Cette notion de bouclage est trs importante car elle conditionne lefficacit de la dmarche. Dans ce cadre, de nombreuses entreprises organisent des contrles et des audits qui peuvent sexercer diffrents niveaux. Le cas des risques portant sur les systmes dinformation en est un bon exemple. Audits sur le fonctionnement interne de la DSI. Certains de ces audits peuvent tre certifis par divers services de scurit institutionnels (DST, etc.) en particulier pour tout ce qui concerne les risques lis au secret professionnel. Des audits sur ltat de la scurit de tout ou partie des composants informatiques. Des audits sur lincidence de nouvelles applications sur la maitrise des risques. Certaines entreprises ont t plus loin en instituant un systme de contrle permanent sur la maitrise des risques lis aux systmes dinformation. Lobjectif de ces contrles est davoir en permanence un test du systme de scurit.
Ces processus internes ne doivent pas occulter un lment essentiel de la dmarche, la gestion du risque fournisseur . Cette exigence vis--vis des fournisseurs peut se traduire de diffrentes manires. La plus importante tant le recours loutil contractuel : Il existe des clauses types de responsabilits/assurances, valides par la direction juridique de lentreprise, qui sont insres dans les contrats cadres avec les socits de services. Lorsque les fournisseurs souhaitent modifier des clauses lies la gestion des risques, la direction juridique peut demander lavis du risk manager. Relativement aux SI, la charte informatique peut tre inclue dans les contrats des prestataires. Du point de vue des risques oprationnels, les entreprises peuvent prvoir un plan de prvention qui permet d'identifier et de traiter la ralisation dun risque chez le fournisseur. Dans les tablissements bancaires la rglementation dicte les mesures prendre concernant les fournisseurs. La banque doit lister lensemble des prestataires essentiels et stipuler contractuellement la qualit, le niveau de service, le niveau de scurit et de continuit exigs. De plus, elle doit dfinir
34

les contrles qui vont tre effectus pour garantir ces exigences. Les contrats doivent aussi stipuler que la Commission Bancaire peut venir contrler le prestataire.
2.4.2 Mthodologies de gestion des risques lusage des DSI

Lorsque les Directions des SI sinterrogent sur les risques qui pourraient frapper lentreprise et plus particulirement la DSI, elles sappuient en gnral sur un rfrentiel trois niveaux : La politique globale de scurit et de gestion des risques mene au niveau groupe. Les standards : normes ISO15, le plan de continuit informatique (PCI), les rglementations, etc. Les mthodologies : le directeur des risques peut en effet dcider dappliquer certaines mthodologies du march pour apprhender le risque li aux systmes dinformations (MEHARI, EBIOS, ITIL etc.). Ce choix peut aussi lui tre impos par la direction de lentreprise ou par les usages. Nanmoins pour certains RSSI ou risk manager, ces outils sapparentent le plus souvent du contrle de conformit qu de la gestion des risques.
2.4.3 Les facteurs clefs pour une bonne gestion des risques
Les entretiens raliss, notamment avec les risk manager Groupe nous ont permis de dterminer plusieurs facteurs clefs utiles pour une bonne gestion des risques dentreprise : Une prise de dcision doit suivre la ralisation de la cartographie des risques. Lorsquaucune vulnrabilit nest identifie, une simple validation de la cartographie est suffisante. Quand elle nest pas suivie dune prise de dcision, la cartographie des risques nest pas gnratrice de valeur ajoute. De plus les personnes interroges pour raliser cette cartographie seront moins enclines participer dans le futur. Il est plus intressant de faire une cartographie rigoureuse des risques a minima , plutt quune cartographie exhaustive qui ne permettrait pas un traitement efficace des risques de lentreprise.
15
Voir en annexe la liste des normes concernes

35

Le risk manager doit organiser la responsabilit de la mise en uvre des plans daction. En effet, en cas de dysfonctionnement dans le traitement des risques, les oprationnels vont souvent se retourner vers le risk manager en mettant en avant sa comptence dexpert en la matire. De manire plus gnrale il ne faut pas confondre le rle du risk manager qui est de piloter et de cadrer la gestion des risques, de la responsabilit de ralisation des actions correctives qui revient le plus souvent des responsables oprationnels ou mtier.
36

3 Le rle de la DSI dans la dmarche de gestion des risques de lentreprise

La DSI peut contribuer fortement la dmarche de risk management. Cette contribution sexerce alors gnralement sous la forme dune influence directe lors de la mise en uvre dune politique globale et intgre de gestion des risques dans lentreprise, ou indirectement par la mise en place doutils, de mthodes ou de formations en support aux activits du risk manager. Enfin, la DSI participe toujours la dmarche dentreprise par la gestion de ces propres risques lis aux systmes dinformation.
3.1 La contribution directe de la DSI dans la gestion des risques

Le niveau de contribution de la DSI dans la dmarche de gestion des risques dpend gnralement de trois critres : limportance pour lentreprise de linformation et du systme qui lui est associ. le niveau de maturit de la dmarche de gestion des risques mise en uvre dans lentreprise. Lexistence et le rattachement dun ventuel Responsable de la scurit des Systmes dInformation (RSSI) dans lentreprise
3.1.1 Le rle de linformation et de linformatique dans lentreprise

Au fil des entretiens, il est apparu que plus la production ou lactivit dune entreprise sont lies son systme dinformation, plus la DSI contribue la dmarche de gestion des risques. A contrario, cette participation devient plus faible dans les entreprises o la production est moins dpendante du systme dinformation.
Les entreprises o la production dpend beaucoup du systme dinformation

Il faut distinguer les entreprises o la production dpend directement du systme dinformation, des entreprises o linformation est le produit de lentreprise. Dans les entreprises o linformation est un produit en tant que tel (banques, assurances, oprateurs de tlcommunication, grande distribution, industries flux tendus), une grande partie des risques du groupe sont, par dfinition, lis au systme dinformation. La DSI joue alors un rle important dans la dmarche de gestion des risques de lentreprise qui se traduit par des actions dans les domaines suivants :
37

La dfense anti-intrusion du primtre logique de la socit. La protection de linformation stratgique de lentreprise contre l'accs, l'utilisation, la diffusion, la destruction, ou la modification non autorise. Ce domaine concerne, bien videmment, les organisations o linformation est le cur de mtier de lentreprise. Dans ce domaine, le rle de la DSI est dautant plus important que le correspondant CNIL de lentreprise est directement rattache la DSI : il est pnalement responsable des informations qui lui sont confies par les clients, partenaires ou collaborateurs. La dfinition du Disaster recovery plan (DRP) ou plan de secours. Ce plan dfinit les actions qui vont permettre, en cas de crise grave, de redmarrer le plus efficacement possible, le systme dinformation, avec une perte minimale de donnes, de temps et de matriel et pour un cot acceptable.
Dans les entreprises industrielles, la gestion des risques des systmes de production est de plus en plus souvent pilote par la DSI qui y tend son savoir-faire acquis dans un premier temps dans linformatique de gestion. Il apparat que les deux types de systmes dinformation (production et gestion) sont de plus en plus interdpendants. Des attaques menes sur linformatique de production risquent donc dimpacter le systme informatique de gestion. Dautant que linformatique de production est de plus en plus frquemment sous-traite des prestataires dont les standards de gestion des risques doivent alors tre systmatiquement contrls. Les risques lis linformatique de gestion sont en gnral bien maitriss grce la scurit des systmes dinformation (pare-feu, identification, antivirus, contrle daccs..). Lextension de ces mesures aux systmes dinformation de production, est dautant plus critique que la scurit du systme dpend de celle de son lment le plus faible. Les industriels ont longtemps conu et pilot leur propre informatique en toute indpendance. Ils ont appris rsoudre oprationnellement la plupart des risques quils rencontrent. Cependant, on constate en interne, une propension peu communiquer et partager le savoir-faire sur ce sujet et une grande rticence vis vis de mesures de scurit prconises par la DSI ou le RSSI. Cest le rle du risk manager ou du RSSI dagir et de rsoudre ces dsaccords entre linformatique de gestion et linformatique de production. Il en a la lgitimit, ce qui lui permet dimposer la
38

cohrence de la gestion des risques travers tous les systmes de lentreprise.
Les entreprises o la production dpend moins de linformatique.

Dans les entreprises qui ne fonctionnent pas en flux tendu, et dont linformatique ne joue pas un rle direct dans la production ou les ventes, la DSI gre galement les risques informatiques. Cependant limpact des risques sur lactivit tant moindre, les exigences vis vis des systmes de rduction des risques seront infrieures ou de nature diffrente. Par exemple dans le cas des plans daction du risque de pandmie, les DSI chercheront des solutions pour faire travailler leur personnel distance alors que dans les entreprises de la premire catgorie 16 prfreront des solutions permettant la prsence sur leur site des personnels indispensables la production informatique.
3.1.2 Impact du niveau de maturit de lentreprise en gestion des risques

Le rle de la DSI dans la dmarche de gestion des risques est inversement proportionnel au niveau de maturit de lentreprise en matire de risk management. Nous allons voir que dans les entreprises les moins matures, la DSI peut tre amene jouer un rle majeur. En effet elle agit souvent comme un moteur dans la mise en place dune dmarche globale de gestion des risques. Une fois que lentreprise a atteint un niveau de maturit suffisant, la DSI nest plus alors un acteur majeur du processus, ce qui est positif.
Entreprises moins matures

Dans les entreprises qui nont pas de risk manager ou de dpartement en charge de la maitrise des risques, on constate que la DSI joue un rle important dans la gestion des risques de lentreprise. Lorsque ni lorganisation de la dmarche de risk management, ni la rpartition des taches ne sont structures, la DSI peut aussi jouer ce rle moteur. Dans ce cadre, elle peut alors tre lorigine de la mise en place dune dmarche moderne de risk management. Ce rle dinitiateur est plus souvent volontaire que statutaire. Il sexerce en gnral via le responsable scurit des systmes dinformation (RSSI) qui possde souvent des comptences et une mission proches de celles quaurait un risk manager. De part ces comptences, la DSI est parfois invite participer aux
16
Celles dont la production dpend fortement de linformatique

39

analyses des risques mtiers. Elle agit alors comme un service de conseil et de support qui peut aider les directions mtiers dans lvaluation de leurs propres risques en appliquant des concepts issus des systmes dinformation : disponibilit, intgrit, confidentialit et preuve. Mais paradoxalement si la DSI veut contribuer une bonne gestion des risques dans son entreprise elle doit viser ne pas en tre le gestionnaire principal mais simplement un lment moteur ou dclencheur dune dmarche globale et structure. En effet, si cette participation active de la DSI conduit l'entreprise se concentrer en priorit sur les risques lis l'informatique, il se peut que certains risques majeurs pour lentreprise ne soient alors pas traits. Le cas des plans de secours (DRP) est un bon exemple de ce paradoxe apparent : en effet, la mise en place par la DSI dun DRP efficace nimplique pas forcment la dfinition dun bon plan de reprise dactivit dont la valeur dpend de procdures et de mesures prventives touchant tous les mtiers ainsi que la direction gnrale de lentreprise (cellule de crise, sites de repli, stocks, procdure de communication etc.).
Entreprises matures vis-vis de la gestion des risques

Dans les entreprises matures vis--vis de la gestion des risques, il nest donc pas ncessaire que la DSI ne soit pas un acteur majeur du processus. Mme si la DSI nest plus aujourdhui considre comme un service purement support et que ses comptences en matire de scurit et a fortiori en matire de gestion des risques sont reconnues, elle ne participe qu une partie de la dmarche de risk management. En effet, les risques informatiques, de conformit (compliance), lgaux, vis vis des consommateurs17 sont traits par le Risk Manager ou le RSSI lorsquil existe. Les directions mtiers responsables de ces risques sont directement en charge de leur traitement, la DSI n'intervenant que pour ses risques propres. En gnral la DSI gre de manire autonome ses propres risques. Cependant dans certaines entreprises, cette prrogative lui a t retire et confie, ou a minima partage, avec le risk manager de lentreprise pour mieux garantir lindpendance des dcisions importantes telles que le choix des risques prioritaires ou lallocation des budgets de rduction des risques.
17
Si on est dans une relation mtier / consommateur (B to C)

40

3.1.3 Le Responsable de la Scurit des Systmes dInformation

Le niveau de contribution de la DSI la dmarche de gestion des risques est largement influenc par lexistence dun RSSI qui peut lui tre rattach. Lorsque le RSSI nest pas rattach la DSI et quune direction des risques est en place, la DSI contribue la gestion des risques au mme titre que les autres directions mtiers, experts dans leur domaine de comptence. Elle se focalise surtout sur la mise en place des plans de traitement des risques lis aux systmes dinformation. Dans ce cas, cest le RSSI qui va jouer un rle important dans la dmarche de gestion des risques. Lorsque que le RSSI est rattach la DSI, elle eut avoir en tant que telle une importance majeure dans la dmarche de gestion des risques. En particulier grce ces mthodes danalyse de risque ou son expertise dans le domaine des plans de reprise dactivit ou des plans de secours informatique. Grce son RSSI, la DSI est souvent en avance sur ces sujets.
3.2 La contribution indirecte de la DSI dans la gestion des risques

3.2.1 Typologie des contributions indirectes
Comme il a t vu prcdemment, les entreprises ont volu de la gestion des risques par le transfert (assurances) une obligation de traitements par rduction des risques (plans dactions). Dans cette volution, la DSI a souvent t un prcurseur : le transfert de risque est rarement une solution acceptable en matire de systme dinformation. Cette antriorit lui permet de contribuer plusieurs faons : indirectement de
La DSI peut participer localement lidentification des risques de lentreprise. Dans les socits de grande distribution par exemple, la DSI en tant que plaque tournante de lentreprise va percevoir et identifier des risques oprationnels quelle va se charger de signaler afin quils soient traits. Lorsquun risque na pas encore t rattach un mtier, la DSI peut se voir fixer des objectifs de gestion pour ce risque. Dans dautres cas, il arrive quelle se substitue certains mtiers lorsque la scurit des systmes dinformation est en jeu. Elle peut aussi fournir les outils techniques et les mthodologies ncessaires au traitement des risques. Cependant la fourniture de supports informatiques pour la gestion des risques (outils d'audit, d'enregistrement des
41

classements de risques, de suivi des plans d'action, de traabilit....) ou la mise en place dune application informatique de gestion des risques sont relativement rares. Les risk manager prfrent communiquer directement avec les entits oprationnelles. Seules les entreprises qui ont de nombreuses filiales linternational commencent mettre en place ce type doutils avec laide de la DSI. Dans la mise en uvre des plans daction de traitement des risques par les mtiers, la DSI peut accompagner les directions mtiers sur notamment : la description des processus, la mise en place de points de contrles et des dispositifs de contrle interne. La prise en compte par les directions mtiers de risques quelles nont pas envisag peut tre aussi favorise par un questionnement des diffrents services de lentreprise lors de la dfinition dun plan de secours informatique. Cette liste nest pas exhaustive. Les moyens par lesquels la DSI peut participer indirectement la dmarche de gestion des risques sont nombreux et lon peut encore citer rapidement: Le renforcement ou la cration d'applications informatiques destines diminuer certains risques de l'entreprise La vrification du bon fonctionnement de la gestion intgre (ERP)18 vis vis de la LSF19 La mise en place doutils anti-fraude (traabilit des achats des paiements....) Llaboration des indicateurs de compliance requis selon le secteur d'activit La contribution au contrle des exportations sous leur aspect immatriel (risque de sortie du territoire national des donnes relevant du patrimoine industriel ou scientifique national sous forme de document lectronique) Le dveloppement de contenu consacr la gestion des risques au moyen des outils d'e-learning sur l'intranet. La mise disposition de personnels de matrise douvrage dlgue auprs des directions mtier pour les aider dans leur dmarche de gestion des risques. Etc.
18
Enterprise resource planning Loi de Scurit Financire

42
19

3.2.2 Mthodologies, outils

Pour lidentification, lanalyse et le traitement des risques lis aux systmes dinformation, nous avons vu prcdemment quil existe de nombreuses mthodologies la disposition de la DSI. Ces mthodologies (Mhari, Ebios) proposent un droul pas pas du processus de gestion des risques lis aux systmes dinformation. Nanmoins, ces mthodes danalyse apparaissent aux yeux de certains DSI, trop lourdes et difficilement adaptables aux contraintes et spcificits de leur entreprise. Initialement dveloppes pour un secteur dactivit donn, leur application dans un environnement nouveau implique des ajustements difficiles mettre en uvre. Pour cette raison, de nombreuses entreprises nappliquent pas stricto sensu ces mthodes. Nanmoins, elles peuvent sen inspirer pour mettre en place leurs propres procdures danalyse et de traitement des risques.
3.2.3 La gestion des risques lis aux systmes dinformation

On peut procder une mise en perspective temporelle des risques pris en compte par la DSI en proposant de distinguer quatre familles dactivits apparues successivement :
Le traitement informatique :
prventif
des
limites
du
systme
La lutte contre l'obsolescence est une des activits permanentes et de fond de la DSI. Dans un certain sens le traitement du bug de l'an 2000 relevait de cette catgorie. De manire plus moderne on trouve les calculs dingnierie du SI et les tests de capacit de systme absorber des pointes d'activit ou des pertes partielles de certains de ses lments (ex redondance des moyens de communication, calculs de MTBF, dimensionnement et architecture de la gnration lectrique des data centers).
La protection des donnes (seconde moiti des annes 90)

Dans la protection des donnes on retrouve typiquement la lutte anti-intrusion, la mis en place de systmes de protection contre les virus informatiquesetc. De manire plus contemporaine on intgre aussi dans cette catgorie, la gestion des identits, la protection des donnes la source, la protection des exportations immatrielles,
43

La continuit d'activit (annes 2000)

La continuit dactivit est assure par les sauvegardes de donnes et dsormais par les DRP20. La continuit dactivit a volu. Dsormais, elle prend en compte dans sa composante informatique, les grandes catastrophes "systmiques" affectant un pays ou une rgion gographique. Cest le cas du risque de pandmie aviaire ou de crue centennale de la Seine. On constate travers ces problmes que ce n'est plus le seul "redmarrage" des applications qui prime mais la capacit d'apporter l'nergie informatique tous les secteurs de l'entreprise qui sont encore en tat de pouvoir l'utiliser. Typiquement, la DSI sinterroge sur les moyens mettre en uvre pour permettre au personnel de continuer travailler depuis chez lui en cas de grippe aviaire.
La conformit (priode actuelle)

Actuellement, la DSI se penche sur la conformit des systmes dinformation. En voici quelques exemples : Auditabilit de la gestion des licences logiciel, thique de lutilisation des moyens informatiques
3.2.4 La participation par le biais de la scurit des systmes dinformation (SSI)

La scurit des systmes dinformation est un lment de prvention et de protection contre les risques lis aux systmes dinformation. Dans la plupart des grands groupes, il existe un Responsable de la Scurit des Systmes dInformation (RSSI) ou AQSSI pour les administrations charg des aspects scuritaires des systmes dinformation. Le RSSI est souvent directement rattach la DSI ou en troite relation avec elle. Lorsquil nexiste pas, cest la DSI dans son ensemble qui assure la scurit des systmes dinformation, ce qui peut tre considr comme un lment majeur de sa participation la dmarche de gestion des risques. La scurit des systmes dinformation agit en prvention. Elle va bien entendu privilgier les risques lis son propre domaine : Dans de nombreuses entreprises, les projets majeurs qui impliquent le recours aux systmes dinformation doivent faire lobjet dun bilan scurit. Les avant-projets font lobjet de bilans express par les quipes de pilotage. Ds quune
20
Disaster Recovery Plan

44

faille est dtecte, des mesures de scurit sont mise en uvre en suivant le processus dfinit dans le projet. La protection de linformation. La gestion des identits et des droits (authentification, identification, rpudiation, network operating systems) Les tlcommunications : scurisation des rseaux locaux et grande distance, des accs pour les collaborateurs mobiles et des infrastructures dchange entre lentreprise et le monde extrieur.
3.2.5 Formation et sensibilisation

Dans nos entretiens, il est apparu que la DSI est un acteur majeur de la sensibilisation et de la formation des collaborateurs de lentreprise sur les risques. En particulier pour les problmatiques de scurit des systmes dinformation et dintelligence conomique. Nanmoins certains de nos interlocuteurs regrettent que laction de la DSI ne soit pas plus avance dans ce domaine. La formation et la sensibilisation par la DSI aux problmatiques de scurit des systmes dinformation peuvent prendre plusieurs formes : La DSI peut publier sur intranet des textes de sensibilisation sur la sauvegarde des donnes personnelles ou sur le choix des mots de passe et leur utilisation. La sensibilisation peut aussi se faire par laffichage de posters, ou la projection de vidos lors des runions de groupe. Certaines DSI dveloppent aussi des applications ludiques mises disposition des collaborateurs, pour quils se testent sur leurs connaissances des rgles applicables en matire de scurit des systmes dinformation. En termes de sensibilisation, lexplosion des moyens de communication et linformation numrique conduit les entreprises considrer que la protection des connaissances stratgiques est un enjeu majeur dans la maitrise des risques et que la DSI est un des meilleurs acteurs dans la mise en uvre de cette protection : De la remise dun mot de passe au respect des clauses de confidentialit dans les contrats, tout doit tre strictement encadr afin de sassurer que les personnes qui vont manipuler des informations stratgiques pour lentreprise soient conscientes du fort niveau de criticit quelles reprsentent.
45

De la mme manire, la DSI doit sassurer que les entreprises nouvellement acquises ou que les prestataires qui viennent dans les locaux respectent bien la politique de scurit des systmes dinformation. La DSI peut et sait aussi mettre en place un programme de protection de linformation destin sensibiliser les directions mtiers afin quelles prennent leurs dcisions en respectant lesprit de la politique gnrale de scurit. Cest donc un des rles de la DSI de sassurer que les actions de sensibilisation sont dployes, respectes et rgulirement mises jour. Pourtant certains obstacles demeurent : mme si la diffusion de linformation est assure, il nexiste pas encore, dans certaines entreprises, de vritable mesure de lefficacit de la formation et de la sensibilisation aux risques. Connatre la porte et lefficacit de la politique de sensibilisation aux risques est la principale piste damlioration qui a t exprime par nos interlocuteurs. Le principal point amliorer reste la dfinition dindicateurs clefs permettant de mesurer limpact de la sensibilisation aux risques et se fondant sur des lments objectifs.
46

Conclusion
Depuis quelques annes, de nombreuses entreprises franaises ont organis une dmarche de gestion des risques. La prise en compte des risques dans le fonctionnement de lentreprise nest pas nouvelle, nanmoins, depuis les annes 2000, leur gestion a beaucoup progress et sest professionnalise. Pourtant, il existe encore de fortes diffrences de maturit face au risque entre les entreprises. Le niveau de maturit de lentreprise face aux risques dpend de plusieurs facteurs, tels que son activit ou le respect de la rglementation, qui les poussent mettre en place une dmarche de risk management. Avec les spcificits de lentreprise (organisation centralise ou dcentralise), ils influent sur son organisation en matire de gestion des risques. Il apparait par exemple que le risk manager est la fonction la plus adapt la mise en uvre dune politique de gestion des risques au sein de lentreprise, mais quelle peut, nanmoins, tre assure par dautres entits dans lentreprise. Mais lorsquaucune dmarche nest organise au sein de lentreprise, la DSI est souvent la plus mme de linitier. En effet, le rle de la DSI dans la dmarche de gestion des risques est inversement proportionnel au niveau de maturit de lentreprise en matire de risk management. Quand il est faible, la DSI est souvent llment moteur de son initialisation. De mme lorsque la production de lentreprise est essentiellement lie son systme dinformation, la DSI jour un rle majeur dans la dmarche de gestion des risques. Dans ce cadre, le rle du RSSI devient prdominant : sil est rattach la DSI, il amplifie limpact de la DSI sur la dmarche. Il peut arriver que la DSI ne soit pas pleinement intgre dans la dmarche de gestion des risques dentreprise. Nanmoins, elle y joue toujours un rle par le biais de contributions indirectes. En particulier dans les domaines de la formation et de la scurit informatique. Enfin, elle participe toujours au traitement de ses propres risques lis aux systmes dinformation en utilisant des mthodologies qui ont t dveloppes pour satisfaire aux besoins de la scurit des systmes dinformation. Quelle que soit le niveau de maturit de lentreprise ou son organisation face au risque, la participation de la DSI la dmarche de gestion des risques est amene se gnraliser pour trois raisons majeures : 1. Les DSI dont lentreprise na pas encore mis en place une relle dmarche de gestion des risques sont en train de se rendre compte que leur technicit et leur exprience en la matire peuvent tre utilises pour donner limpulsion
47

ncessaire la mise en uvre dune telle dmarche au sein de lentreprise. 2. Lactivit des entreprises dpend de plus en plus de leur systme dinformation. Cest sa qualit dexpert dans ce domaine qui rend la DSI plus mme, avec laide ou non dun RSSI, de mettre en place les mesures destines traiter des risques qui tendent devenir majeurs pour lensemble des entreprises. 3. Enfin, les attentats du World Trade Center et les hypothses de pandmie grippale ou de crue centennale de la Seine, ont amen les entreprises sinterroger sur le concept de continuit dactivit. La DSI est lacteur majeur dans la continuation dactivit, en particulier dans la dfinition et la mise en uvre des plans de secours informatique. Dans ce domaine, son influence a tendance se gnraliser.
48

Annexes
Synthse des normes portant sur les risques (ISO, BS)
ISO 17799
ISO 17799 est une norme internationale concernant la scurit de l'information, publie en dcembre 2000 par l'ISO dont le titre est Code de pratique pour la gestion de scurit d'information. La deuxime dition a t publie en juin 2005. Cette norme a pour origine la premire partie du British Standard BS 7799 L'ISO 17799 est un ensemble de bonnes pratiques destines tre utilises par tous ceux qui sont responsables de la scurit de l'information et des systmes dinformation. Elle part du constat que linformation est un actif important quil convient de protger. La scurit de linformation telle quelle est dcrite dans la norme est dcompose en trois aspects La confidentialit (s'assurer que les informations sont accessibles des seules personnes autorises) L'intgrit (conservation de la validit et de l'intgralit des informations et mthodes de traitement) La disponibilit (les utilisateurs autoriss doivent avoir accs aux informations chaque fois que ncessaire) . Cette norme sappuie sur deux principes et dix chapitres de recommandations sur les aspects techniques et organisationnels de la gestion de la scurit Principe 1 : Dfinir les exigences de scurit Principe 2 : Choisir des rfrences de contrle
Chapitres : La politique de scurit. L'organisation de la scurit. Classification et contrle Scurit du personnel. Scurit physique et environnementale Gestions des tches et communications Contrles daccs. Dveloppement et maintenance des systmes.
49

Gestion de la continuit Conformit
Pour chacun des lments rfrencs, la norme dcrit les objectifs atteindre et les contrles mettre en place. Cependant, la norme ne dtaille pas ces contrles qui diffrent selon lidentification des besoins faites par lentreprise
ISO 27001
L'ISO 27001 est une norme internationale qui traite de la gestion de la scurit de l'information. Elle a t publie en octobre 2005 et porte le titre : Technologies de l'information - Techniques de scurit - Systmes de gestion de scurit de l'information Exigences . La norme ISO 27001 dcrit comment mettre en place un Systme de Gestion de la Scurit de l'Information (SGSI) qui permet de choisir les mesures mettre en place afin de protger les actifs de lentreprise. LISO 27001 est un standard international pour la gestion de la scurit de linformation. Il standard prconise lutilisation du modle de qualit : Plan, Do, Check, Act (PDCA) pour tablir un SGSI. Ce principe vise crer un cercle vertueux et un cycle damlioration continu. Il se dcompose en 4 phases P : Planification de la ralisation D : Production, ralisation C : Contrle, audit, vrification A : Planification dune nouvelle ralisation, mise en uvre dactions correctrices
L'ISO 27001 est une approche base sur les processus qui dfinit l'ensemble des tests et contrles effectuer pour s'assurer du bon respect d'ISO 17799.
ISO 13335
La norme ISO 13335 est une norme de scurit des systmes d'information. Cest un guide de management de la scurit des systmes dinformation qui trouve son origine dans des rapports techniques dcomposs en 4 documents considrs comme des rfrences pour toutes personnes sintressant aux systmes dinformation : Dfinitions et concepts de base,
50

Informations sur l'organisation prvoir dans toute entreprise, Approches de gestion du risque, Guide de choix des mesures prventives selon les circonstances de l'environnement.
La norme se dcompose en cinq parties : ISO 13335-1 : Concepts et modles pour la gestion de la scurit des technologies de l'information et de la communication ISO 13335-2 : Techniques pour la gestion des risques pour les technologies de linformation et de la communication ISO 13335-3 : Techniques pour la gestion de la scurit des systmes dinformation ISO 13335-4 : Slection de sauvegardes ISO 13335-5 : Guide pour la gestion de scurit du rseau
Mthodes
MEHARI
MEHARI (Mthode harmonise danalyse des risques) est une mthode cre par le CLUSIF (Club de la Scurit de lInformation Franais) dans le but daider les Responsables de la Scurit de Systme dInformation dans leurs attributions managriales. Bien que dveloppe pour ce type de fonction spcifique, cette mthode peut aussi tre utilise par les toutes les fonctions qui traitent de problmatiques similaires (risk managers, etc.). Cette mthode a vocation fournir tout un ensemble doutils adapts au management de la scurit des systmes dinformation. La force de cette mthode est la cohrence. A chaque tape du dveloppement de la scurit correspond un outil cohrent avec les autres. Cette cohrence permet un feedback des rsultats. Enfin, tous ces outils peuvent tre utiliss indpendamment les uns des autres, dans diffrents types de management. Il existe trois outils majeurs dans cette mthode Les diagnostics de scurit, pralables lanalyse de risque : Ils sont prsents sous la forme de modules rapide ou approfondi et ont pour objectif dvaluer le niveau de scurit en fonction de deux paramtres : le cot et la fiabilit. Le diagnostique rapide permet didentifier les faiblesses majeures et la mise en uvre effective de mesures scuritaires sur un systme de scurit donn, il ne permet
51

pas de mettre en exergue les points faibles de ces mesures. Le module approfondi, ncessite plus de ressources mais il permet une identification efficace de touts des faiblesses de chaque service de scurit. Lanalyse des enjeux permet de mettre en balance les mesures et les objectifs de scurit atteindre, ce qui va permettre une prise de dcision conforme la politique scuritaire de lentreprise. Cette analyse va permettre de dterminer la juste proportion entre les mesures scuritaires et les enjeux de scurit atteindre. Ce module danalyse permet de dgager une description des dysfonctionnements possibles et une classification de ces dysfonctionnements. Lanalyse des risques. En fonction de lanalyse qualitative et quantitative de deux types facteurs : les facteurs structurels (qui ne dpendent pas des mesures de scurit) et les facteurs de rduction des risques (qui dpendent des mesures de scurit, la mthode permet une valuation des risques. Cette valuation des risques permet la dfinition et la mise en uvre de plans de scurit. Un des avantages de cette mthode rside dans le fait quelle est compatible avec les principales normes ISO sur la scurit des systmes dinformation. A savoir les normes ISO 13335, 17799, 27001. Pour plus de renseignements voir le site du CLUSIF: http://www.clusif.asso.fr
EBIOS
EBIOS (Expression des Besoins et Identifications des Objectifs de Scurit) est le nom donn une mthode dveloppe en 1995 par la Direction Centrale de la Scurit des Systmes d'Information (DCSSI) rattache au SGDN (Secrtariat Gnral de la Dfense Nationale). Cette mthode est un outil de : gestion des risques lis la scurit des systmes dinformation de communication sur les risques lis aux systmes dinformation darbitrage qui permet de justifier la prise de dcisions. de sensibilisation pour les acteurs dun projet qui uniformise le vocabulaire.
52

La mthode EBIOS a de nombreux avantages. Elle est compatible avec les normes internationales et il existe un logiciel libre dassistance lutilisation de la mthode. Cette mthode est applicable aussi bien dans des systmes simples que des systmes complexes. Elle se dcompose en quatre tapes : Ltude du contexte : Dans un premier temps, il sagit d'identifier prcisment le systme dans son ensemble, cest dire comme la somme des lments qui le composent, et dans un second temps, le contexte dutilisation de ce systme. Lexpression des besoins de scurit : Cette tape a pour but de dterminer le besoin de scurit pour chacun des lments identifis dans ltape prcdente. Tous ces lments sont prioriss en fonction du facteur de criticit valu en fonction de la svrit des impacts dont ils pourraient tre victimes. Ces impacts sont valus en fonction des critres traditionnels des SI. Cette tape permet de dterminer quels sont les lments les plus critiques. Ltude des menaces ou analyse des risques consiste identifier les risques qui peuvent peser sur le systme. Ces risques sont caractriss par leur type et leur cause (accidentelle, dlibre ou naturelle). A ce stade, on donne des probabilits de ralisation de risques pour chacun des lments critiques. Cela permet ensuite d'imaginer des scnarios d'attaques avec une probabilit associe. On en dduit les risques spcifiques au systme tudi. Lexpression des besoins de scurit : Plus le niveau de criticit de llment du systme est important, plus le besoin de scurit est fort. Ces besoins de scurit se pensent en termes techniques ou fonctionnels (organisation, procdure, scurit physique). Lexpression des besoins de scurit est immdiatement suivie par la mise en uvre de ces besoins et par une dmonstration que le niveau dexigence scuritaire a t atteint.
Pour plus de renseignements voir le site de la DCSSI : http://www.ssi.gouv.fr/fr/dcssi/
MARION
La mthode MARION (Mthodologie d'Analyse de Risques Informatiques Oriente par Niveaux) conue par le CLUSIF (Club de la Scurit de lInformation Franais) nest plus mise jour depuis 1998. Le CLUSIF propose dsormais la mthode MEHARI (Mthode dharmonisation et danalyse des risques). La mthode MARION permettait dvaluer les niveaux de scurit dune entreprise grce des questionnaires portant sur
53

diffrents lments relatifs la scurit. Lobjectif de cette mthode tait dobtenir un audit de lentreprise conforme lindicateur propos dans la mthode. Cette mthode se dcomposait en 4 phases : La prparation Laudit des vulnrabilits Lanalyse des risques La mise en place de plans dactions. Lintrt de cette mthode tait de pouvoir situer son entreprise en termes de scurit, par rapport aux autres entreprises franaises utilisant cette mme mthode. Depuis que MARION est tombe en dsutude au profit MEHARI, cette mthode na plus grand intrt. Pour plus de renseignements voir le site du CLUSIF: http://www.clusif.asso.fr
COBIT
Le rfrentiel COBIT (Control objectives for information & related technology) est une mthode de Matrise des Systmes dInformation et d'audit dite par lISACA (Information System Audit & Control Association) en 1996. Cest un cadre de contrle qui vise le pilotage des risques lis aux Systmes dInformation. Ce rfrentiel utilisable aussi bien par les manager quaux utilisateurs permet de faire des liens entre les risques mtiers, les mesures de contrle et les questions techniques relatives aux SI. Ce rfrentiel orient processus permet aux utilisateurs dobtenir des informations pour des processus qui les intressent Le rfrentiel COBIT est divis en cinq parties : Une synthse des concepts et principes du rfrentiel. Elle prsente les objectifs et processus de la dmarche. Cest un balayage gnral de la mthode. Un cadre de rfrence qui se dcline en quatre domaines et qui prsente pour chacun deux, les objectifs de contrle : Planification & Organisation Acquisition & Mise en place Distribution & Support Surveillance Un guide daudit qui permet dune part dvaluer les vulnrabilits et les risques correspondant aux objectifs de
54

contrle et dautre part, de mettre en place des actions correctrices. Le guide de management fournit les indicateurs clefs de succs du management. Il donne aussi une modlisation de la maturit, grce une valuation des objectifs atteindre. Les outils de mise en uvre. Il dagit doutils permettant danalyser la sensibilisation au management, et de diagnostiquer les contrles informatiques. Pour plus de renseignements voir le site de lISACA: www.isaca.org/cobit/
55
Le CIGREF, Club Informatique des Grandes Entreprises Franaises, est une association dentreprises. Sa mission est de promouvoir lusage des systmes dinformation comme facteur de cration de valeur et source dinnovation pour lentreprise. Le CIGREF regroupe des grandes entreprises de tous secteurs (assurance, banque, distribution, nergie, industrie, services, services sociaux et sant et transport). Le CIGREF favorise le partage dexpriences et lmergence des meilleures pratiques. Cest un interlocuteur des pouvoirs publics franais et europens sur les domaines des technologies de linformation. Le CIGREF fait valoir les attentes lgitimes des grands utilisateurs dinformatique et de tlcommunications. Les thmatiques dchanges du CIGREF sont le SI au service des mtiers de la DG, la performance durable du SI et le management de la fonction SI.
CIGREF 21, avenue de Messine 75008 Paris Tl. 01 56 59 70 00 Fax 01 56 59 70 01 E-mail : cigref@cigref.fr www.cigref.fr
Promouvoir l'usage des systmes d'information comme facteur de cration de valeur et source d'innovation pour l'entreprise

Analyse Et Gestion Des Risques Dans Les Grandes Entreprises - Impacts Pour La DSI-Rapport 2007 Web

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Analyse Et Gestion Des Risques Dans Les Grandes Entreprises - Impacts Pour La DSI-Rapport 2007 Web

Diunggah oleh

Hak Cipta:

Format Tersedia

2007

ANALYSE ET GESTION DES RISQUES

Impacts et rle pour la DSI

Publications du CIGREF en 2006-2007

Analyse et gestion des risques dans les grandes entreprises

Analyse et gestion des risques dans les grandes entreprises

Listes des figures

Analyse et gestion des risques dans les grandes entreprises

Analyse et gestion des risques dans les grandes entreprises

1 Quelques notions avant toutes choses

1.1 Quest-ce quun risque ?

Analyse et gestion des risques dans les grandes entreprises

1.2 Quest-ce que la gestion des risques ?

Analyse et gestion des risques dans les grandes entreprises

1.3 Qui est le risk manager ?

1.4 Comment peut-on classer les risques ?

Analyse et gestion des risques dans les grandes entreprises

Analyse et gestion des risques dans les grandes entreprises

2 Une nouvelle re : le risk management

2.1 La prgnance nouvelle du risk management dans les entreprises franaises

Analyse et gestion des risques dans les grandes entreprises

2.1.1 La prise de conscience

Analyse et gestion des risques dans les grandes entreprises

2.1.2 Les lgislations

The Sarbanes-Oxley Act (SOX)

La loi sur les nouvelles rgulations conomiques (NRE)

Analyse et gestion des risques dans les grandes entreprises

communiquer sur les consquences sociales et environnementales de leurs activits.

La loi de scurit financire (LSF)

Les accords de Ble II

Le projet de directive Solvency II

2.2 Cultures dentreprise en matire de gestion des risques

Analyse et gestion des risques dans les grandes entreprises

2.2.1 La culture fonction de lactivit de lentreprise

2.2.2 Rglementation et culture du risque

Analyse et gestion des risques dans les grandes entreprises

2.2.3 Nationalit et culture du risque

2.3 Organisation et mthodes pour la gestion des risques

2.3.1 Lorganisation de la dmarche de risk management

Le choix de la fonction gestion des risques dpend de la stratgie dentreprise

Analyse et gestion des risques dans les grandes entreprises

Le rattachement du risk manager

Analyse et gestion des risques dans les grandes entreprises

Les organigrammes possibles en matire de gestion des risques

Analyse et gestion des risques dans les grandes entreprises

Analyse et gestion des risques dans les grandes entreprises

Organisation en lectron libre

Analyse et gestion des risques dans les grandes entreprises

Gestion des risques et organisation de la DSI

2.3.2 Relations entre les acteurs de lentreprise

Des relations complexes

Analyse et gestion des risques dans les grandes entreprises

Analyse et gestion des risques dans les grandes entreprises

La rationalisation des relations

Les relations entre le risk manager et la DSI

DICP : Disponibilit, Intgrit, Confidentialit et Preuve

Analyse et gestion des risques dans les grandes entreprises

Analyse et gestion des risques dans les grandes entreprises

2.3.3 Dveloppement de la formation en matire de gestion des risques

Formation, sensibilisation et comptences en matire de gestion des risques

Analyse et gestion des risques dans les grandes entreprises

La formation de la DSI en matire de gestion des risques

Analyse et gestion des risques dans les grandes entreprises