IERSE
Institut dEtudes et de Recherche pour la Scurit des Entreprises
Promouvoir l'usage des systmes d'information comme facteur de cration de valeur et source d'innovation pour l'entreprise
Analyse et Gestion des risques dans les grandes entreprises : impacts et rles pour la DSI Baromtre Gouvernance SI : Evaluer sa dmarche de gouvernance du systme dinformation Changement et transformation du SI : Note de synthse Exemples doffshoring : Retours dexpriences et leons apprises au sein de grandes entreprises Faire face aux changements de primtre dentreprise : guide de survie lusage des dirigeants en cas de changement de primtre dentreprise Gestion des actifs immatriels : kit de dmarrage et tudes de cas Les dossiers du Club Achats : Synthse des activits 2007 Management dun Centre de Services Partags informatiques : Quels modles ? Quels bnfices pour lentreprise ? Quels impacts sur le mtier de DSI ? Marketing de la DSI : Cadre de mise en uvre Outil de scnarisation prospective des besoins Ressources Humaines de la SI : Facteurs cls de lvolution des mtiers et des comptences Pilotage conomique du Systme dinformation : Prsentation des cots informatiques et fiches damlioration par processus Plan Stratgique Systme dInformation Tableau de bord des Ressources Humaines : Indicateurs clefs Tableau de bord Scurit : Indicateurs clefs de la scurit systme dinformation
Ce rapport a t ralis dans le cadre du partenariat de recherche liant le CIGREF et lIERSE Par Jrmie LACROIX Membre des groupes de recherche de lIERSE
Ltude a t pilote par Patrick ANGLARD, DSI de Thals et Frdric LAU, charg de mission au CIGREF
Ce rapport a bnfici des apports de lactivit Gestion des risques du Comit de Pilotage performance durable du SI . Il a t rdig en sappuyant sur les contributions des personnes et entreprises suivantes :
Christine MILLET Agence Informatique pour les Finances de lEtat Cyrille ROY AGF-I Alain DELBOY Air Liquide Pascal BUFFARD AXA France Service Robert ZEITOUNI Crdit Agricole SA Franois-Xavier TUAL DCNS Jean-Yves BIGNON Euro Disney Associs S.C.A. Yves SPIELMANN Euro Disney Associs S.C.A. Eric VERTOUT Groupe Les Mousquetaires Alain BOUILLE Informatique CDC Jean-Pierre VUILLERME Michelin Jean-Jacques CASSE Pfizer France Rachelle BALMADIER Renault SA Muriel ROI SAFRAN Bruno BIGUET THALES
Sommaire
Prambule .................................................................................................................................. 7 1 Quelques notions avant toutes choses .............................................................................. 9 1.1 Quest-ce quun risque ?................................................................................................ 9 1.2 Quest-ce que la gestion des risques ? ......................................................................... 10 1.3 Qui est le risk manager ? ............................................................................................. 11 1.4 Comment peut-on classer les risques ?........................................................................ 11 2 Une nouvelle re : le risk management ........................................................................ 13 2.1 La prgnance nouvelle du risk management dans les entreprises franaises .............. 13 2.2 Cultures dentreprise en matire de gestion des risques.............................................. 16 2.3 Organisation et mthodes pour la gestion des risques ................................................. 18 2.4 Les outils de gestion des risques ................................................................................. 29 3 Le rle de la DSI dans la dmarche de gestion des risques de lentreprise ........................ 37 3.1 La contribution directe de la DSI dans la gestion des risques ..................................... 37 3.2 La contribution indirecte de la DSI dans la gestion des risques .................................. 41 Conclusion ............................................................................................................................... 47 Annexes ................................................................................................................................... 49 Synthse des normes portant sur les risques (ISO, BS) ................................................ 49 Mthodes ........................................................................................................................... 51
Prambule
En 2006, les DSI membres du CIGREF se sont interrogs sur la gestion des risques dans les grands groupes. En effet, il ressortait de leurs rflexions que la notion de risque ntait pas comprise de la mme faon suivant la stratgie de lentreprise, son secteur dactivit, lorganisation dans laquelle la DSI se trouve . De ces visions diffrentes ressortaient des mthodes de management diffrentes : les DSI venant du monde de lassurance sont naturellement trs au fait de la gestion des risques parce cest leur cur de mtier, dautres DSI, comme par exemple ceux du secteur industriel ont une sensibilit diffrente vis--vis de la gestion des risques. Pour rpondre ce besoin dinvestigation, le comit de pilotage du CIGREF Performance durable des SI a mis en place une activit autour de ce thme. Afin davoir une vision oprationnelle des pratiques, la mthode de lentretien a t retenue. Ces derniers ont t majoritairement raliss avec des gestionnaires de risque1 dentreprise et des DSI dentreprises membres du CIGREF. La rflexion sest structure autour de deux aspects : le rle de la DSI dans la dmarche globale de gestion des risques de lentreprise et limpact de cette dmarche sur le fonctionnement de la DSI.
Dans la suite de ce document nous pourrons utiliser aussi le terme anglais risk manager ou labrviation RM
7
Directive n 96/82 du Conseil de lEurope du 9 dcembre 1996 concernant la matrise des dangers lis aux accidents majeurs impliquant des substances dangereuses. 3 OHSAS ou Occupational Health and Safety Assessment, certification qui prcise les rgles pour la gestion de la sant et la scurit dans le monde du travail. Elle a une valeur internationale.
9
_____________________________________
4
Cette dfinition est issue de louvrage Comprendre et grer les risques de Franck Moreau, qui reprend les dfinitions conues et admises au sein du cabinet Ernst Young. 5 Le risque zro nexiste pas : la part de risque qui nest pas toujours soit matrise, soit identifie, est cette part de risque rsiduel
10
11
Le comit de Ble6 a sa propre dfinition du risque oprationnel : cest un risque de pertes provenant de processus internes inadquats ou dfaillants, de personnes et systmes ou d'vnements externes . Dans ce cadre particulier les risques oprationnels ont donc un champ dapplication trs large. Les accords de Ble les classent en 8 catgories : 1. 2. 3. 4. 5. 6. 7. 8. Fraude interne Fraude externe Scurit de systmes Pratiques en matire demploi et scurit sur le lieu de travail Clients, produits et pratiques commerciales Dommages aux actifs corporels Dysfonctionnement de lactivit et des systmes Excution, livraison et gestion des processus
Les risques de conformit, concernent : Les aspects lgaux et rglementaires Les risques de sanction : administrative, disciplinaire Le risque de rputation Le non respect de la dontologie
judiciaire,
Le Comit de Ble ou Comit de Ble sur le contrle bancaire est une institution cre en 1974 par les gouverneurs des banques centrales du groupe des Dix (G10) au sein de la Banque des rglements internationaux Ble.
12
13
actuel dimprgnation de la notion de risque dans les entreprises franaises. Nous allons voir dans ce chapitre quun certain nombre de facteurs dinfluence ont conduit les dirigeants dentreprise rendre visible et organiser le risk management. Cette volont de transparence est en relation directe avec le phnomne de gouvernance dentreprise. En effet, afin de rassurer les principales parties prenantes dans la vie de lentreprise (les clients, les actionnaires, les employs, les pouvoirs publics), les dirigeants ont dcid de montrer dune part que les risques sont pris en compte et dautre part que leur gestion est intgre dans la stratgie de lentreprise.
Au sens effets globaux, mondialisation, entranant plus de prospective sur les risques
14
manipulations des comptes pourtant certifis par le cabinet daudit Arthur Andersen. Moins dun an plus tard, durant lt 2002 la socit de tlcommunications amricaine Worldcom dpose son dossier de faillite la suite de manipulations comptables rvles au grand jour. Ces deux scandales ont conduit les pouvoirs publics amricains lgifrer sur la communication en matire de trsorerie, sur lapproche processus et lapproche risque des entreprises. Ce sont ces quatre vnements majeurs qui marquent la prise de conscience des entreprises de leur fragilit vis--vis des risques : en premier lieu de leur vulnrabilit, en second lieu de leur carence dans la gestion de ces vulnrabilits et enfin de la ncessit dintgrer la gestion des risques dans leur stratgie.
15
16
17
devoir rorganiser leur propre dmarche de gestion de risque en fonction des obligations qui dcouleront de Solvency II. Les entreprises franaises qui sont cotes la bourse de New York doivent appliquer les dispositions de SOX depuis dj 6 ans.
dinformation peut jouer dans ce cas un rle majeur dans la dmarche de risk management. Le transfert des risques vers un assureur est la mthode la plus anciennement utilise en matire de gestion des risques. Actuellement, la gestion des risques ne se limite plus uniquement cette mthode mme si cette mthode est encore largement utilise. Le responsable assurances de lentreprise a donc encore une place prpondrante dans la dmarche de gestion des risques. La responsabilit de la dmarche de gestion des risques implique une relle comptence financire. Un des directeurs (financier, opration, organisation selon le cas) de lentreprise peut aussi tre amen exercer des fonctions de gestion des risques. Avant que la fonction de risk manager ne soit cre dans les entreprises, le directeur financier, du reste, a souvent exerc des activits relatives la gestion des risques. Le Directeur Gnral dlgue le plus souvent cette responsabilit.
Par rapport aux fonctions cites prcdemment, la fonction de risk manager est une fonction rcente. Elle a t dfinie spcifiquement pour prendre en charge la dmarche de gestion de risque dans son ensemble. Elle apparait donc comme tant la plus adapte la vision contemporaine des risques. Nanmoins, il nexiste pas de risk manager ou directeur des risques dans toutes les entreprises. Il est aussi possible de cumuler la fonction de risk manager avec une fonction traitant de problmatiques similaires comme par exemple un directeur assurance ou un responsable scurit des SI. Ce cumul de fonction est motiv par la volont de communiquer autour de la dmarche de gestion des risques et de la rapprocher de disciplines connexes partageant les mmes enjeux.
19
Dans certaines entreprises, le risk manager est membre du comit excutif de lentreprise. Ce rattachement sexerce par le biais dun reporting direct au comit excutif ou par lexistence dun comit de maitrise des risques compos du risk manager et de directeurs membres du comit excutif. Ce choix favorise la prise en compte du risque par lensemble des mtiers.
Certains groupes ont adopt une organisation globale en matire de risk management. C'est--dire quelle est lie ladoption dune politique globale et intgre de gestion des risques dentreprise. Elle est appele Enterprise risk management ou ERM.
Source CIGREF
Figure 1 : Organisation globale
20
Cette politique propose lutilisation de mthodologies et doutils communs lensemble des branches, directions et filiales de lentreprise afin de structurer et de rendre cohrente la participation de ces entits la dmarche de gestion des risques. Elle permet davoir une vision complte des risques du groupe et des risques mtiers tout en les hirarchisant. La mise en uvre de cette politique est sous la responsabilit dun risk manager le plus souvent rattach au comit excutif qui dfinit avec son aide, les lments de la politique gnrale de gestion des risques. Ce risk manager corporate a un rle de coordination et de supervision de la dmarche. Par consquent, il va dans certains cas avoir la responsabilit de la direction de lassurance ou du contrle interne. Le directeur des risques est assist par des correspondants risques qui dclinent la politique gnrale de risk management dans les diffrentes branches et filiales de lentreprise. Ces correspondants participent la remont des informations ncessaires la cartographie des risques du groupe. Ce sont les interlocuteurs privilgis des mtiers avec lesquels ils laborent les plans daction de traitement des risques. En effet, les directions mtiers sont comptentes pour lapplication oprationnelle de la politique de risk management, car elles sont expertes dans les activits quelles exercent. Lorganisation globale en matire de risk management est un schma qui convient bien des groupes dcentraliss.
Organisation centrale rduite
Les entreprises fortement centralises ou mono-sites adoptent plus gnralement une organisation centrale rduite en matire de risk management. Assist dune petite quipe, le risk manager du Groupe (Chief Risk Officer) dfinit la politique gnrale de gestion des risques. Ce risk manager a pour interlocuteurs directs, les directeurs mtiers et les oprationnels avec lesquels il tablit la cartographie des risques et les plans daction ncessaire leur traitement. Il ny a pas de correspondants risques ou quivalents dans les filiales et dans les diffrentes divisions du groupe.
21
Source CIGREF
Figure 2 : Organisation centrale rduite
Labsence de risk manager dans une entreprise ne signifie pas labsence dune dmarche de gestion des risques. La mise en uvre dune telle dmarche peut tre initie par une direction mtier ou une direction fonctionnelle qui donne les impulsions ncessaires cette dmarche. Cette organisation peut dans certains cas provoquer un manque de visibilit de la dmarche et donc des difficults en parler. Relaye par labsence dune politique globale et intgre de gestion des risques, elle peut aussi conduire moins defficacit et de cohrence dans la dmarche.
Absence dorganisation
Lorsquil nexiste ni risk manager ni dmarche structure de risk management, les diffrents mtiers assurent au niveau local lidentification et le traitement de leurs propres risques. Par consquent, les mtiers grent leurs risques en totale indpendance. Cette indpendance ne permet pas une gestion centralise des risques au niveau du Groupe. La somme des risques mtiers ne correspondant pas la totalit des risques groupe il y a perte defficacit dans leur traitement.
22
La nature des relations entre le risk manager et les autres fonctions de lentreprise varie suivant quelles soient mtiers ou fonctions dvaluation et de contrle. La prsence dun risk manager a progressivement conduit les mtiers intgrer les risques dans le management de leurs projets et dans la continuit de leur activit. Cette prise en compte na pas t immdiate : les directions mtiers ont eu tendance privilgier leurs objectifs oprationnels immdiats, dautant plus
23
que, la mise en uvre des plans daction de traitement des risques ncessitent souvent de mobiliser des budgets qui pourraient tre affects la conduite de projets propres leur activit. La gestion des risques ntait pas une priorit pour les mtiers chargs de la mettre en uvre. Le risk manager a donc t dans un premier temps considr comme une source de gne pour les oprationnels, mais lappui de sa hirarchie et les oprations rptes de sensibilisation ont dmontr aux directions mtiers son importance pour la matrise des risques dans lentreprise. Il y a eu moins de tensions avec les fonctions dvaluation et de vrification de la scurit (qualit, scurit, audit interne). Par nature, il existe une complmentarit entre ces dernires et la fonction de risk manager. Cette complmentarit se traduit par la mise en place de mcanismes de contrle qui verrouillent la dmarche. Il apparait alors quune dmarche de gestion des risques encourage les mcanismes de contrle mme sils apparaissent en premier lieu comme un handicap la flexibilit. Ces contrles sont porteurs de valeur car ils poussent les mtiers sindustrialiser, et la dmarche se rationaliser.
Types de relations entre ces acteurs
Il existe naturellement des relations hirarchiques classiques entre le directeur des risques, les risk managers et les ventuels correspondants risques prsents dans les filiales. Nanmoins, lefficacit de la dmarche est garantie par la transversalit des relations entre tous les acteurs impliqus dans cette dmarche. Dans ce cadre transversal, tous les acteurs de lentreprise sont concerns et doivent contribuer : la gestion des risques implique un travail en rseau o une relation collaborative est toujours prfre une relation hirarchique. Le rle du risk manager nest donc pas dimposer la politique de gestion des risques mais dassister et de coordonner les diffrentes directions oprationnelles dans la matrise de leurs risques. Cest un facteur doptimisation, de mise en cohrence et de rationalisation du rseau dacteurs participant la gestion des risques de lentreprise
24
Cette acceptation de la dmarche par les mtiers a conduit rendre cohrentes les relations entre les acteurs impliqus dans la dmarche de gestion des risques. Au centre du dispositif de gestion des risques, le risk manager agit donc aussi comme un coordinateur : cest le point central du rseau dacteurs participant la gestion des risques de lentreprise.
Elles ont une culture de la scurit commune Les prconisations du risk manager vis vis de la DSI viennent plutt en complment dactions dj identifies car la DSI a une forte culture en matire de gestion des risques.
Il peut aussi exister des IT risk managers au sein de la DSI. Dans ce cas les relations entre le risk manager Groupe et la DSI sont simplifies : chacun a son propre domaine dintervention. Les IT risk managers apprhendent le risque informatique de manire extrmement fine alors que le risk manager Groupe va se concentrer sur les risques informatiques principaux : leurs priorits ne sont donc pas ncessairement les mmes. Cependant il ny a pas de cloisonnement total, la supervision de la scurit des systmes dinformation est par exemple une proccupation commune que les deux entits font avancer ensemble. Dans certaines entreprises, le risk manager dicte les niveaux de protection. La DSI se charge de mettre en uvre les mesures adquates pour atteindre les objectifs de rduction des risques qui lui ont t assigns. Dans ce cas, la dmarche peut avoir un impact fort dans la professionnalisation du travail de la DSI. Dans ce cadre, le risk manager peut tre assist dun collaborateur qui connait les lments de la politique globale et qui a une comptence en matire de systme dinformation, afin de faire le relais entre la politique de gestion des risques et la pratique de la DSI. Lorsquil nexiste aucune dmarche globale et structure de risk management, les risques sont le plus souvent traits par les mtiers. Dans ce type dorganisation, la DSI peut se voir alors fixer des objectifs de gestion pour des vulnrabilits qui ne sont rattaches aucun mtier. Dans dautres cas, elle va se substituer certains mtiers, en particulier lorsque la scurit des systmes dinformation est en jeu. Enfin on note que dans une dmarche bien comprise dallocation, par la fonction risk manager, du traitement des risques aux mtiers concerns, certains risques pourtant lis linformatique sont assez logiquement traits par dautres mtiers. Par exemple les risques juridiques lis lutilisation non thique de linformatique par le personnel sont traits par la DRH, avec le conseil de la DSI, mais cest la DRH qui prend les mesures ncessaires (rglement intrieur, engagement individuel)
26
Suivant les entreprises, il existe de fortes diffrences en matire de formations et de sensibilisations sur la gestion des risques : Les entreprises les moins matures en matire de gestion des risques organisent rarement des formations sur ce sujet. Dans dautres entreprises les formations axes sur la scurit physique ou les systmes dinformation, sont loccasion daborder les problmatiques relatives la matrise des risques. Enfin, dans les entreprises les plus avances en matire de gestion des risques des formations et des sensibilisations pousses sont organises pour les managers, lors de colloques ou dans des universits dentreprise. Toutefois, les entreprises ne proposent pas un cycle de formation pouss en la matire pour tous leurs employs. Dans le meilleur des cas, les managers sont forms et le reste des collaborateurs lgrement sensibiliss.
La sensibilisation
La plupart des entreprises privilgient la sensibilisation plutt que la formation de leurs collaborateurs. Les actions de sensibilisation sont souvent organises par les risk managers. Elles peuvent prendre diffrentes formes : Campagnes daffichage, applications ludiques sur Intranet, responsabilisation par signature de documents, questionnaires. Lintrt des questionnaires est didentifier les lacunes afin dviter dorganiser des sessions sur des sujets dj maitriss par les collaborateurs. Les thmes de sensibilisation voluent donc rapidement. Ce principe est particulirement intressant pour la DSI puisque les systmes dinformation voluent trs rapidement. Les DRH peuvent appuyer le risk manager dans ce sens car elles
27
sont trs intresses par ce principe de questionnaire de sensibilisation. La sensibilisation est aussi encourage par le biais dune part de la signature dune dcharge de responsabilit et dautre part du rglement de lentreprise. De nombreuses entreprises imposent la signature de documents leurs employs afin dattester quils ont pris en compte les risques. Ces documents permettent de responsabiliser lemploy et surtout de montrer que lentreprise a pris les mesures ncessaires pour se prmunir des risques juridiques induits par la faute dun de ses employs. Malgr toutes ces mesures, les risk managers considrent que les cadres de lentreprise ne sont jamais assez sensibiliss ou forms la gestion des risques. Plus souvent nots sur leur implication dans la performance conomique du groupe, que sur la ralit des mesures de protection mises en place, il est difficile de maintenir chez eux, un niveau de motivation lev.
Les comptences en matire de gestion des risques
Certaines entreprises demandent une comptence spciale en matire de gestion des risques pour les personnes en charge piloter des projets relatifs au risk management. Cette comptence nest exige quau niveau des managers sous la forme dun titre ou dune exprience. Nanmoins, pour les responsables de projet en gnral, certaines entreprises se posent aussi la question dintgrer un niveau de sensibilisation minimum la gestion des risques dans fiche mtier du rfrentiel RH9. Lorsque cette comptence est exige, elle fait le plus souvent lobjet dune valuation. Cest une garantie pour le risk manager de la bonne matrise des usages par les collaborateurs.
Les changes au sein du groupe RH du CIGREF montrent que cette comptence pourrait aussi tre tendue dautres mtiers.
28
Par contre, la DSI participe souvent la mise en place de sensibilisations dans des domaines lis la gestion des risques : la scurit des systmes dinformation et la protection des informations stratgiques de lentreprise (intelligence conomique) : LIT risk manager peut tre le vecteur de ces sensibilisations. Il met des recommandations sur la scurit des systmes dinformation vers les DSI des filiales qui vont diffuser tout au long de lanne un ensemble de documents de sensibilisation sur les risques lis aux systmes dinformation. La prise en compte des risques lis la maitrise de linformation stratgique ou lintelligence conomique est un enjeu majeur pour lentreprise. Les entreprises vraiment sensibilises ces problmatiques proposent des formations organises le plus souvent avec le concours de la DSI et de diffrents services de ltat (la DST10 par exemple). Les managers de la DSI peuvent aussi tre forms ces problmatiques. Ils les dclineront ensuite auprs de leurs utilisateurs.
La DSI, dans ce cadre, est un lment moteur dans la mise en place de formations sur des sujets lis la gestion des risques.
10
Enfin, les actions correctrices font lobjet dun suivi et dun contrle.
Lidentification des risques dpend de la faon dont ils sont perus. Les diffrences de perception dpendent du contexte dans lequel les risques sexercent. Par exemple : on constate que les directeurs des diffrents mtiers ne hirarchisent pas des risques identiques de la mme manire. Le caractre stratgique dun risque dpend aussi de lentit sur laquelle il sexerce. De la mme manire, les risques stratgiques du groupe sont souvent trs diffrents des risques mtiers. Enfin, suivant que lon sattache regarder pour un risque donn, la svrit de ses consquences ou sa probabilit doccurrence, sa perception sera diffrente La dfinition dun langage spcifique la gestion des risques est ncessaire pour raliser une cartographie aboutie et prcise. Il faut dfinir une terminologie commune avec des rfrentiels processus communs pour ne pas amplifier les diffrences de perception entre les entits qui vont participer llaboration de la cartographie. Toute cartographie des risques ncessite une prparation rigoureuse qui suit certains principes. Elle doit tre ralise auprs dun chantillon de personnes suffisamment reprsentatives tout en prenant en compte de facteurs comme le cot et le temps. Comme le plus souvent, les interlocuteurs nauront pas une dmarche menant spontanment une bonne cartographie des risques, le risk manager devra les guider par un dispositif mthodologique adapt. Certains risk manager choisissent de dlguer la cartographie des risques des consultants. Ce choix dpend du temps imparti, du budget et des personnes interroger.
Identification des risques
Dans un premier temps, le risk manager va raliser une tude pralable des risques de lentreprise en fonction de sa propre perception. Cette tude pralable va lui permettre didentifier lchantillon quil va interroger par la suite. Dans labsolu, il faudrait interroger toutes les units et les mtiers de lentreprise ce qui est le plus souvent impossible. Lchantillon de
30
cartographie sera trs diffrent dune entreprise lautre, car il dpend de la perception du risk manager. Dans un second temps, le gestionnaire des risques va laborer des questionnaires sur la perception des risques, pour chacun des mtiers ou entits quil a choisi dinterroger. Gnralement ces questionnaires sont destins quatre types dinterlocuteurs : les oprationnels qui ont un rle important jouer car ils ont souvent un degr important de sensibilit aux risques, les responsables de processus mtier, la direction gnrale lorsque cela est possible, les consultants externes et internes.
Evaluation des risques
Pour avoir une liste exhaustive des risques et de leur perception, les questionnaires raliss prcdemment sont croiss avec ltude pralable ralise par le risk manager. Les risques sont alors classs et hirarchiss selon leur importance11. Ce classement se fait pour chacune des entits de lentreprise. Diffrentes mthodes peuvent tre utilises pour procder cette valuation. Les personnes interviewes vont noter chaque risque et les placer dans un diagramme en fonction de deux critres : la svrit et la difficult grer ce type risque. Ces matrices et diagrammes font ensuite lobjet dun regroupement dans une base de donnes qui est traite par le dpartement des risques. Une autre mthodologie utilise une notation collective des risques et la confrontation des opinions lors dun dbat. Le risk manager groupe va utiliser ces notations pour tablir une cartographie globale des risques majeurs pour lentreprise et mettre en vidence les priorits examiner en termes de plans dactions.
11 12
Cest dire selon la gravit de leur impact potentiel combine leur probabilit doccurrence Action sur la frquence du risque 13 Action sur la gravit du risque
31
La rduction des risques prend la forme de plans daction dduits des priorits dgages par la cartographie des risques. Dans la majeure partie des cas, les plans daction sont dfinis et mis en uvre par les oprationnels avec lassistance du risk manager. En effet, les personnes en contact direct avec lactivit soumise au risque, sont les plus mme de proposer et de mettre en uvre des mesures de traitement de ce risques. Ils ont une expertise dans leur activit propre. Chaque responsable de risque dsign, doit dfinir les plans daction adquats et les mettre en uvre aprs une ventuelle validation du risk manager. Ces plans ont pour objectif de rduire au maximum les risques jugs majeurs pour le groupe c'est--dire dobtenir un risque rsiduel le plus faible possible. La constitution de ces plans comprend en gnral deux grandes tapes : Dterminer la meilleure faon de traiter le risque, Slectionner et planifier un traitement adapt.
Le transfert des risques prend gnralement la forme de contrats dassurances. Il se traduit galement par lexistence de contrats types qui dfinissent clairement les zones de responsabilit de chacune des parties (entreprise / partenaires)
Il existe diffrentes mthodes pour coordonner la matrise des risques dans ces structures. Par exemple, on peut faire remplir un questionnaire au directeur rgional pour dterminer sa vision du risque et de la scurit. Ses rponses sont ensuite compares aux faits rels, ce qui permet de mettre en vidence les discordances qui devront tre corriges. Ce travail permet de dfinir des macro-processus de gestion des risques garant dune cohrence au sein des filiales. Des politiques dfinissant les rgles de gouvernance sont alors mises en place pour combler les dficits en matire de gestion des risques. Les diffrentes entits de lentreprise vont devoir saligner sur ces macro-processus pour atteindre le standard exig.
32
14
Les entreprises matures en matire de gestion des risques intgrent toujours une composante risque dans leur plan stratgique
33
contrle interne, daudit ou mme le responsable de la scurit peuvent tre amens exercer ce suivi et ce contrle. Cependant ce nest pas toujours possible et de nombreux risk managers regrettent ne pouvoir assurer le bouclage de la dmarche de gestion des risques. Cette notion de bouclage est trs importante car elle conditionne lefficacit de la dmarche. Dans ce cadre, de nombreuses entreprises organisent des contrles et des audits qui peuvent sexercer diffrents niveaux. Le cas des risques portant sur les systmes dinformation en est un bon exemple. Audits sur le fonctionnement interne de la DSI. Certains de ces audits peuvent tre certifis par divers services de scurit institutionnels (DST, etc.) en particulier pour tout ce qui concerne les risques lis au secret professionnel. Des audits sur ltat de la scurit de tout ou partie des composants informatiques. Des audits sur lincidence de nouvelles applications sur la maitrise des risques. Certaines entreprises ont t plus loin en instituant un systme de contrle permanent sur la maitrise des risques lis aux systmes dinformation. Lobjectif de ces contrles est davoir en permanence un test du systme de scurit.
Ces processus internes ne doivent pas occulter un lment essentiel de la dmarche, la gestion du risque fournisseur . Cette exigence vis--vis des fournisseurs peut se traduire de diffrentes manires. La plus importante tant le recours loutil contractuel : Il existe des clauses types de responsabilits/assurances, valides par la direction juridique de lentreprise, qui sont insres dans les contrats cadres avec les socits de services. Lorsque les fournisseurs souhaitent modifier des clauses lies la gestion des risques, la direction juridique peut demander lavis du risk manager. Relativement aux SI, la charte informatique peut tre inclue dans les contrats des prestataires. Du point de vue des risques oprationnels, les entreprises peuvent prvoir un plan de prvention qui permet d'identifier et de traiter la ralisation dun risque chez le fournisseur. Dans les tablissements bancaires la rglementation dicte les mesures prendre concernant les fournisseurs. La banque doit lister lensemble des prestataires essentiels et stipuler contractuellement la qualit, le niveau de service, le niveau de scurit et de continuit exigs. De plus, elle doit dfinir
34
les contrles qui vont tre effectus pour garantir ces exigences. Les contrats doivent aussi stipuler que la Commission Bancaire peut venir contrler le prestataire.
2.4.3 Les facteurs clefs pour une bonne gestion des risques
Les entretiens raliss, notamment avec les risk manager Groupe nous ont permis de dterminer plusieurs facteurs clefs utiles pour une bonne gestion des risques dentreprise : Une prise de dcision doit suivre la ralisation de la cartographie des risques. Lorsquaucune vulnrabilit nest identifie, une simple validation de la cartographie est suffisante. Quand elle nest pas suivie dune prise de dcision, la cartographie des risques nest pas gnratrice de valeur ajoute. De plus les personnes interroges pour raliser cette cartographie seront moins enclines participer dans le futur. Il est plus intressant de faire une cartographie rigoureuse des risques a minima , plutt quune cartographie exhaustive qui ne permettrait pas un traitement efficace des risques de lentreprise.
15
Le risk manager doit organiser la responsabilit de la mise en uvre des plans daction. En effet, en cas de dysfonctionnement dans le traitement des risques, les oprationnels vont souvent se retourner vers le risk manager en mettant en avant sa comptence dexpert en la matire. De manire plus gnrale il ne faut pas confondre le rle du risk manager qui est de piloter et de cadrer la gestion des risques, de la responsabilit de ralisation des actions correctives qui revient le plus souvent des responsables oprationnels ou mtier.
36
37
La dfense anti-intrusion du primtre logique de la socit. La protection de linformation stratgique de lentreprise contre l'accs, l'utilisation, la diffusion, la destruction, ou la modification non autorise. Ce domaine concerne, bien videmment, les organisations o linformation est le cur de mtier de lentreprise. Dans ce domaine, le rle de la DSI est dautant plus important que le correspondant CNIL de lentreprise est directement rattache la DSI : il est pnalement responsable des informations qui lui sont confies par les clients, partenaires ou collaborateurs. La dfinition du Disaster recovery plan (DRP) ou plan de secours. Ce plan dfinit les actions qui vont permettre, en cas de crise grave, de redmarrer le plus efficacement possible, le systme dinformation, avec une perte minimale de donnes, de temps et de matriel et pour un cot acceptable.
Dans les entreprises industrielles, la gestion des risques des systmes de production est de plus en plus souvent pilote par la DSI qui y tend son savoir-faire acquis dans un premier temps dans linformatique de gestion. Il apparat que les deux types de systmes dinformation (production et gestion) sont de plus en plus interdpendants. Des attaques menes sur linformatique de production risquent donc dimpacter le systme informatique de gestion. Dautant que linformatique de production est de plus en plus frquemment sous-traite des prestataires dont les standards de gestion des risques doivent alors tre systmatiquement contrls. Les risques lis linformatique de gestion sont en gnral bien maitriss grce la scurit des systmes dinformation (pare-feu, identification, antivirus, contrle daccs..). Lextension de ces mesures aux systmes dinformation de production, est dautant plus critique que la scurit du systme dpend de celle de son lment le plus faible. Les industriels ont longtemps conu et pilot leur propre informatique en toute indpendance. Ils ont appris rsoudre oprationnellement la plupart des risques quils rencontrent. Cependant, on constate en interne, une propension peu communiquer et partager le savoir-faire sur ce sujet et une grande rticence vis vis de mesures de scurit prconises par la DSI ou le RSSI. Cest le rle du risk manager ou du RSSI dagir et de rsoudre ces dsaccords entre linformatique de gestion et linformatique de production. Il en a la lgitimit, ce qui lui permet dimposer la
38
16
analyses des risques mtiers. Elle agit alors comme un service de conseil et de support qui peut aider les directions mtiers dans lvaluation de leurs propres risques en appliquant des concepts issus des systmes dinformation : disponibilit, intgrit, confidentialit et preuve. Mais paradoxalement si la DSI veut contribuer une bonne gestion des risques dans son entreprise elle doit viser ne pas en tre le gestionnaire principal mais simplement un lment moteur ou dclencheur dune dmarche globale et structure. En effet, si cette participation active de la DSI conduit l'entreprise se concentrer en priorit sur les risques lis l'informatique, il se peut que certains risques majeurs pour lentreprise ne soient alors pas traits. Le cas des plans de secours (DRP) est un bon exemple de ce paradoxe apparent : en effet, la mise en place par la DSI dun DRP efficace nimplique pas forcment la dfinition dun bon plan de reprise dactivit dont la valeur dpend de procdures et de mesures prventives touchant tous les mtiers ainsi que la direction gnrale de lentreprise (cellule de crise, sites de repli, stocks, procdure de communication etc.).
17
La DSI peut participer localement lidentification des risques de lentreprise. Dans les socits de grande distribution par exemple, la DSI en tant que plaque tournante de lentreprise va percevoir et identifier des risques oprationnels quelle va se charger de signaler afin quils soient traits. Lorsquun risque na pas encore t rattach un mtier, la DSI peut se voir fixer des objectifs de gestion pour ce risque. Dans dautres cas, il arrive quelle se substitue certains mtiers lorsque la scurit des systmes dinformation est en jeu. Elle peut aussi fournir les outils techniques et les mthodologies ncessaires au traitement des risques. Cependant la fourniture de supports informatiques pour la gestion des risques (outils d'audit, d'enregistrement des
41
classements de risques, de suivi des plans d'action, de traabilit....) ou la mise en place dune application informatique de gestion des risques sont relativement rares. Les risk manager prfrent communiquer directement avec les entits oprationnelles. Seules les entreprises qui ont de nombreuses filiales linternational commencent mettre en place ce type doutils avec laide de la DSI. Dans la mise en uvre des plans daction de traitement des risques par les mtiers, la DSI peut accompagner les directions mtiers sur notamment : la description des processus, la mise en place de points de contrles et des dispositifs de contrle interne. La prise en compte par les directions mtiers de risques quelles nont pas envisag peut tre aussi favorise par un questionnement des diffrents services de lentreprise lors de la dfinition dun plan de secours informatique. Cette liste nest pas exhaustive. Les moyens par lesquels la DSI peut participer indirectement la dmarche de gestion des risques sont nombreux et lon peut encore citer rapidement: Le renforcement ou la cration d'applications informatiques destines diminuer certains risques de l'entreprise La vrification du bon fonctionnement de la gestion intgre (ERP)18 vis vis de la LSF19 La mise en place doutils anti-fraude (traabilit des achats des paiements....) Llaboration des indicateurs de compliance requis selon le secteur d'activit La contribution au contrle des exportations sous leur aspect immatriel (risque de sortie du territoire national des donnes relevant du patrimoine industriel ou scientifique national sous forme de document lectronique) Le dveloppement de contenu consacr la gestion des risques au moyen des outils d'e-learning sur l'intranet. La mise disposition de personnels de matrise douvrage dlgue auprs des directions mtier pour les aider dans leur dmarche de gestion des risques. Etc.
18
19
Le traitement informatique :
prventif
des
limites
du
systme
La lutte contre l'obsolescence est une des activits permanentes et de fond de la DSI. Dans un certain sens le traitement du bug de l'an 2000 relevait de cette catgorie. De manire plus moderne on trouve les calculs dingnierie du SI et les tests de capacit de systme absorber des pointes d'activit ou des pertes partielles de certains de ses lments (ex redondance des moyens de communication, calculs de MTBF, dimensionnement et architecture de la gnration lectrique des data centers).
43
20
faille est dtecte, des mesures de scurit sont mise en uvre en suivant le processus dfinit dans le projet. La protection de linformation. La gestion des identits et des droits (authentification, identification, rpudiation, network operating systems) Les tlcommunications : scurisation des rseaux locaux et grande distance, des accs pour les collaborateurs mobiles et des infrastructures dchange entre lentreprise et le monde extrieur.
45
De la mme manire, la DSI doit sassurer que les entreprises nouvellement acquises ou que les prestataires qui viennent dans les locaux respectent bien la politique de scurit des systmes dinformation. La DSI peut et sait aussi mettre en place un programme de protection de linformation destin sensibiliser les directions mtiers afin quelles prennent leurs dcisions en respectant lesprit de la politique gnrale de scurit. Cest donc un des rles de la DSI de sassurer que les actions de sensibilisation sont dployes, respectes et rgulirement mises jour. Pourtant certains obstacles demeurent : mme si la diffusion de linformation est assure, il nexiste pas encore, dans certaines entreprises, de vritable mesure de lefficacit de la formation et de la sensibilisation aux risques. Connatre la porte et lefficacit de la politique de sensibilisation aux risques est la principale piste damlioration qui a t exprime par nos interlocuteurs. Le principal point amliorer reste la dfinition dindicateurs clefs permettant de mesurer limpact de la sensibilisation aux risques et se fondant sur des lments objectifs.
46
Conclusion
Depuis quelques annes, de nombreuses entreprises franaises ont organis une dmarche de gestion des risques. La prise en compte des risques dans le fonctionnement de lentreprise nest pas nouvelle, nanmoins, depuis les annes 2000, leur gestion a beaucoup progress et sest professionnalise. Pourtant, il existe encore de fortes diffrences de maturit face au risque entre les entreprises. Le niveau de maturit de lentreprise face aux risques dpend de plusieurs facteurs, tels que son activit ou le respect de la rglementation, qui les poussent mettre en place une dmarche de risk management. Avec les spcificits de lentreprise (organisation centralise ou dcentralise), ils influent sur son organisation en matire de gestion des risques. Il apparait par exemple que le risk manager est la fonction la plus adapt la mise en uvre dune politique de gestion des risques au sein de lentreprise, mais quelle peut, nanmoins, tre assure par dautres entits dans lentreprise. Mais lorsquaucune dmarche nest organise au sein de lentreprise, la DSI est souvent la plus mme de linitier. En effet, le rle de la DSI dans la dmarche de gestion des risques est inversement proportionnel au niveau de maturit de lentreprise en matire de risk management. Quand il est faible, la DSI est souvent llment moteur de son initialisation. De mme lorsque la production de lentreprise est essentiellement lie son systme dinformation, la DSI jour un rle majeur dans la dmarche de gestion des risques. Dans ce cadre, le rle du RSSI devient prdominant : sil est rattach la DSI, il amplifie limpact de la DSI sur la dmarche. Il peut arriver que la DSI ne soit pas pleinement intgre dans la dmarche de gestion des risques dentreprise. Nanmoins, elle y joue toujours un rle par le biais de contributions indirectes. En particulier dans les domaines de la formation et de la scurit informatique. Enfin, elle participe toujours au traitement de ses propres risques lis aux systmes dinformation en utilisant des mthodologies qui ont t dveloppes pour satisfaire aux besoins de la scurit des systmes dinformation. Quelle que soit le niveau de maturit de lentreprise ou son organisation face au risque, la participation de la DSI la dmarche de gestion des risques est amene se gnraliser pour trois raisons majeures : 1. Les DSI dont lentreprise na pas encore mis en place une relle dmarche de gestion des risques sont en train de se rendre compte que leur technicit et leur exprience en la matire peuvent tre utilises pour donner limpulsion
47
ncessaire la mise en uvre dune telle dmarche au sein de lentreprise. 2. Lactivit des entreprises dpend de plus en plus de leur systme dinformation. Cest sa qualit dexpert dans ce domaine qui rend la DSI plus mme, avec laide ou non dun RSSI, de mettre en place les mesures destines traiter des risques qui tendent devenir majeurs pour lensemble des entreprises. 3. Enfin, les attentats du World Trade Center et les hypothses de pandmie grippale ou de crue centennale de la Seine, ont amen les entreprises sinterroger sur le concept de continuit dactivit. La DSI est lacteur majeur dans la continuation dactivit, en particulier dans la dfinition et la mise en uvre des plans de secours informatique. Dans ce domaine, son influence a tendance se gnraliser.
48
Annexes
Synthse des normes portant sur les risques (ISO, BS)
ISO 17799
ISO 17799 est une norme internationale concernant la scurit de l'information, publie en dcembre 2000 par l'ISO dont le titre est Code de pratique pour la gestion de scurit d'information. La deuxime dition a t publie en juin 2005. Cette norme a pour origine la premire partie du British Standard BS 7799 L'ISO 17799 est un ensemble de bonnes pratiques destines tre utilises par tous ceux qui sont responsables de la scurit de l'information et des systmes dinformation. Elle part du constat que linformation est un actif important quil convient de protger. La scurit de linformation telle quelle est dcrite dans la norme est dcompose en trois aspects La confidentialit (s'assurer que les informations sont accessibles des seules personnes autorises) L'intgrit (conservation de la validit et de l'intgralit des informations et mthodes de traitement) La disponibilit (les utilisateurs autoriss doivent avoir accs aux informations chaque fois que ncessaire) . Cette norme sappuie sur deux principes et dix chapitres de recommandations sur les aspects techniques et organisationnels de la gestion de la scurit Principe 1 : Dfinir les exigences de scurit Principe 2 : Choisir des rfrences de contrle
Chapitres : La politique de scurit. L'organisation de la scurit. Classification et contrle Scurit du personnel. Scurit physique et environnementale Gestions des tches et communications Contrles daccs. Dveloppement et maintenance des systmes.
49
Pour chacun des lments rfrencs, la norme dcrit les objectifs atteindre et les contrles mettre en place. Cependant, la norme ne dtaille pas ces contrles qui diffrent selon lidentification des besoins faites par lentreprise
ISO 27001
L'ISO 27001 est une norme internationale qui traite de la gestion de la scurit de l'information. Elle a t publie en octobre 2005 et porte le titre : Technologies de l'information - Techniques de scurit - Systmes de gestion de scurit de l'information Exigences . La norme ISO 27001 dcrit comment mettre en place un Systme de Gestion de la Scurit de l'Information (SGSI) qui permet de choisir les mesures mettre en place afin de protger les actifs de lentreprise. LISO 27001 est un standard international pour la gestion de la scurit de linformation. Il standard prconise lutilisation du modle de qualit : Plan, Do, Check, Act (PDCA) pour tablir un SGSI. Ce principe vise crer un cercle vertueux et un cycle damlioration continu. Il se dcompose en 4 phases P : Planification de la ralisation D : Production, ralisation C : Contrle, audit, vrification A : Planification dune nouvelle ralisation, mise en uvre dactions correctrices
L'ISO 27001 est une approche base sur les processus qui dfinit l'ensemble des tests et contrles effectuer pour s'assurer du bon respect d'ISO 17799.
ISO 13335
La norme ISO 13335 est une norme de scurit des systmes d'information. Cest un guide de management de la scurit des systmes dinformation qui trouve son origine dans des rapports techniques dcomposs en 4 documents considrs comme des rfrences pour toutes personnes sintressant aux systmes dinformation : Dfinitions et concepts de base,
50
Informations sur l'organisation prvoir dans toute entreprise, Approches de gestion du risque, Guide de choix des mesures prventives selon les circonstances de l'environnement.
La norme se dcompose en cinq parties : ISO 13335-1 : Concepts et modles pour la gestion de la scurit des technologies de l'information et de la communication ISO 13335-2 : Techniques pour la gestion des risques pour les technologies de linformation et de la communication ISO 13335-3 : Techniques pour la gestion de la scurit des systmes dinformation ISO 13335-4 : Slection de sauvegardes ISO 13335-5 : Guide pour la gestion de scurit du rseau
Mthodes
MEHARI
MEHARI (Mthode harmonise danalyse des risques) est une mthode cre par le CLUSIF (Club de la Scurit de lInformation Franais) dans le but daider les Responsables de la Scurit de Systme dInformation dans leurs attributions managriales. Bien que dveloppe pour ce type de fonction spcifique, cette mthode peut aussi tre utilise par les toutes les fonctions qui traitent de problmatiques similaires (risk managers, etc.). Cette mthode a vocation fournir tout un ensemble doutils adapts au management de la scurit des systmes dinformation. La force de cette mthode est la cohrence. A chaque tape du dveloppement de la scurit correspond un outil cohrent avec les autres. Cette cohrence permet un feedback des rsultats. Enfin, tous ces outils peuvent tre utiliss indpendamment les uns des autres, dans diffrents types de management. Il existe trois outils majeurs dans cette mthode Les diagnostics de scurit, pralables lanalyse de risque : Ils sont prsents sous la forme de modules rapide ou approfondi et ont pour objectif dvaluer le niveau de scurit en fonction de deux paramtres : le cot et la fiabilit. Le diagnostique rapide permet didentifier les faiblesses majeures et la mise en uvre effective de mesures scuritaires sur un systme de scurit donn, il ne permet
51
pas de mettre en exergue les points faibles de ces mesures. Le module approfondi, ncessite plus de ressources mais il permet une identification efficace de touts des faiblesses de chaque service de scurit. Lanalyse des enjeux permet de mettre en balance les mesures et les objectifs de scurit atteindre, ce qui va permettre une prise de dcision conforme la politique scuritaire de lentreprise. Cette analyse va permettre de dterminer la juste proportion entre les mesures scuritaires et les enjeux de scurit atteindre. Ce module danalyse permet de dgager une description des dysfonctionnements possibles et une classification de ces dysfonctionnements. Lanalyse des risques. En fonction de lanalyse qualitative et quantitative de deux types facteurs : les facteurs structurels (qui ne dpendent pas des mesures de scurit) et les facteurs de rduction des risques (qui dpendent des mesures de scurit, la mthode permet une valuation des risques. Cette valuation des risques permet la dfinition et la mise en uvre de plans de scurit. Un des avantages de cette mthode rside dans le fait quelle est compatible avec les principales normes ISO sur la scurit des systmes dinformation. A savoir les normes ISO 13335, 17799, 27001. Pour plus de renseignements voir le site du CLUSIF: http://www.clusif.asso.fr
EBIOS
EBIOS (Expression des Besoins et Identifications des Objectifs de Scurit) est le nom donn une mthode dveloppe en 1995 par la Direction Centrale de la Scurit des Systmes d'Information (DCSSI) rattache au SGDN (Secrtariat Gnral de la Dfense Nationale). Cette mthode est un outil de : gestion des risques lis la scurit des systmes dinformation de communication sur les risques lis aux systmes dinformation darbitrage qui permet de justifier la prise de dcisions. de sensibilisation pour les acteurs dun projet qui uniformise le vocabulaire.
52
La mthode EBIOS a de nombreux avantages. Elle est compatible avec les normes internationales et il existe un logiciel libre dassistance lutilisation de la mthode. Cette mthode est applicable aussi bien dans des systmes simples que des systmes complexes. Elle se dcompose en quatre tapes : Ltude du contexte : Dans un premier temps, il sagit d'identifier prcisment le systme dans son ensemble, cest dire comme la somme des lments qui le composent, et dans un second temps, le contexte dutilisation de ce systme. Lexpression des besoins de scurit : Cette tape a pour but de dterminer le besoin de scurit pour chacun des lments identifis dans ltape prcdente. Tous ces lments sont prioriss en fonction du facteur de criticit valu en fonction de la svrit des impacts dont ils pourraient tre victimes. Ces impacts sont valus en fonction des critres traditionnels des SI. Cette tape permet de dterminer quels sont les lments les plus critiques. Ltude des menaces ou analyse des risques consiste identifier les risques qui peuvent peser sur le systme. Ces risques sont caractriss par leur type et leur cause (accidentelle, dlibre ou naturelle). A ce stade, on donne des probabilits de ralisation de risques pour chacun des lments critiques. Cela permet ensuite d'imaginer des scnarios d'attaques avec une probabilit associe. On en dduit les risques spcifiques au systme tudi. Lexpression des besoins de scurit : Plus le niveau de criticit de llment du systme est important, plus le besoin de scurit est fort. Ces besoins de scurit se pensent en termes techniques ou fonctionnels (organisation, procdure, scurit physique). Lexpression des besoins de scurit est immdiatement suivie par la mise en uvre de ces besoins et par une dmonstration que le niveau dexigence scuritaire a t atteint.
MARION
La mthode MARION (Mthodologie d'Analyse de Risques Informatiques Oriente par Niveaux) conue par le CLUSIF (Club de la Scurit de lInformation Franais) nest plus mise jour depuis 1998. Le CLUSIF propose dsormais la mthode MEHARI (Mthode dharmonisation et danalyse des risques). La mthode MARION permettait dvaluer les niveaux de scurit dune entreprise grce des questionnaires portant sur
53
diffrents lments relatifs la scurit. Lobjectif de cette mthode tait dobtenir un audit de lentreprise conforme lindicateur propos dans la mthode. Cette mthode se dcomposait en 4 phases : La prparation Laudit des vulnrabilits Lanalyse des risques La mise en place de plans dactions. Lintrt de cette mthode tait de pouvoir situer son entreprise en termes de scurit, par rapport aux autres entreprises franaises utilisant cette mme mthode. Depuis que MARION est tombe en dsutude au profit MEHARI, cette mthode na plus grand intrt. Pour plus de renseignements voir le site du CLUSIF: http://www.clusif.asso.fr
COBIT
Le rfrentiel COBIT (Control objectives for information & related technology) est une mthode de Matrise des Systmes dInformation et d'audit dite par lISACA (Information System Audit & Control Association) en 1996. Cest un cadre de contrle qui vise le pilotage des risques lis aux Systmes dInformation. Ce rfrentiel utilisable aussi bien par les manager quaux utilisateurs permet de faire des liens entre les risques mtiers, les mesures de contrle et les questions techniques relatives aux SI. Ce rfrentiel orient processus permet aux utilisateurs dobtenir des informations pour des processus qui les intressent Le rfrentiel COBIT est divis en cinq parties : Une synthse des concepts et principes du rfrentiel. Elle prsente les objectifs et processus de la dmarche. Cest un balayage gnral de la mthode. Un cadre de rfrence qui se dcline en quatre domaines et qui prsente pour chacun deux, les objectifs de contrle : Planification & Organisation Acquisition & Mise en place Distribution & Support Surveillance Un guide daudit qui permet dune part dvaluer les vulnrabilits et les risques correspondant aux objectifs de
54
contrle et dautre part, de mettre en place des actions correctrices. Le guide de management fournit les indicateurs clefs de succs du management. Il donne aussi une modlisation de la maturit, grce une valuation des objectifs atteindre. Les outils de mise en uvre. Il dagit doutils permettant danalyser la sensibilisation au management, et de diagnostiquer les contrles informatiques. Pour plus de renseignements voir le site de lISACA: www.isaca.org/cobit/
55
Le CIGREF, Club Informatique des Grandes Entreprises Franaises, est une association dentreprises. Sa mission est de promouvoir lusage des systmes dinformation comme facteur de cration de valeur et source dinnovation pour lentreprise. Le CIGREF regroupe des grandes entreprises de tous secteurs (assurance, banque, distribution, nergie, industrie, services, services sociaux et sant et transport). Le CIGREF favorise le partage dexpriences et lmergence des meilleures pratiques. Cest un interlocuteur des pouvoirs publics franais et europens sur les domaines des technologies de linformation. Le CIGREF fait valoir les attentes lgitimes des grands utilisateurs dinformatique et de tlcommunications. Les thmatiques dchanges du CIGREF sont le SI au service des mtiers de la DG, la performance durable du SI et le management de la fonction SI.
CIGREF 21, avenue de Messine 75008 Paris Tl. 01 56 59 70 00 Fax 01 56 59 70 01 E-mail : cigref@cigref.fr www.cigref.fr
Promouvoir l'usage des systmes d'information comme facteur de cration de valeur et source d'innovation pour l'entreprise