Assises de la sécurité : la gestion des risques progresse en France

Patrick Anglard, DSI de Thales, et chargé de mission par le Cigref (Club informatique des grandes entreprises françaises) sur la question de l’analyse et de la gestion des risques revient sur les conclusions d’une étude menée auprès de 14 DSI de sociétés membres du Cigref (124 membres en 2007, dont des acteurs du CAC 40 et des organismes publics)

Comme le rappelle en introduction, Patrick Anglard, la mission du Cigref est de promouvoir l’usage des systèmes d’information comme source de valeur et d’innovation pour les entreprises  » et c’est pour cette raison qu’un groupe de travail au sein de l’organisation a été monté, pour travailler sur la problématique de la gestion et de l’analyse des risques.

Un domaine dans lequel l’Hexagone a pendant longtemps été perçu comme le « vilain petit canard, en retard vis-à-vis de ses homologues américains. »

« Ce travail a été mené pour mieux comprendre ce que l’on entend par la gestion des risques, mais aussi pour mettre en exergue les bonnes pratiques comme les mauvaises et les modes d’organisation selon les différents secteurs d’activité et mieux cerner le rôle de la DSI (Direction des services informatique) et ses contributions en matière de gestion des risques »déclare Patrick Anglard.

D’un point de vue méthodologique, l’étude a été réalisée par le biais d’interviews de DSI et de « Risk Manager » dans 14 entreprises et organismes publics. Anglard a également indiqué que les résultats de cette étude ne sont pas représentatifs de l’ensemble des sociétés françaises, et par conséquent ils n’ont donc pas une valeur « statistique ».

La définition du risque selon le Cigref est la suivante : « le risque est la menace qui entraîne une action (ou une inaction) qui empêche les entreprises à atteindre leurs objectifs stratégiques et compromettre sa valeur. »

Une fois cette décision donnée, l’on comprend plus aisément la fonction d’un Risk Manager. Ce dernier doit piloter la prise en compte du risque tant au niveau des risques opérationnels ( production) que de l’infrastructure (également, les infrastructures critiques) et la diffusion de l’information. Il faut également qu’il garde un oeil sur les risques globaux, c’est-à-dire ceux qui concernent les personnels, la marque, les problématiques de conformité (la compliance) ou bien encore les taux d’intérêt et les devises.

3 grandes périodes

La gestion du risque existe depuis les années 50. La première période évoquée par Patrick Anglard (de 1950 à 1980) se rapporte donc à l’ère du transfert de la gestion du risque via l’assurance (exception faite pour la prévention du risque des accidents du travail).

La seconde période (de 1980 à 200) a été marquée par une prise de conscience du problème des risques liés à l’informatique, mais aussi à la continuité de service. Elle a été marquée par des évènements importants comme l’explosion d’AZF, ou bien encore la folle période du soi-disant bogue de l’an 2000 qui ne s’est finalement jamais produit, mais qui a en quelque sorte eu des effets bénéfiques en sensibilisant les entreprises au problème de la gestion des risques.

Enfin, en 2001 la donne a une nouvelle fois changée, avec des scandales financiers comme l’affaire Enron et la naissance de lois telles que Sarbannes Oxley qui date de 2002 ou Balle II en 2004.

Bien entendu comme le souligne Anglard, l’approche, en matière de gestion du risque est soumise à une forte variabilité selon le secteur d’activité, par exemple pour l’assurance et la banque, la méthodologie est souvent plus rigoureuse. « Aujourd’hui, le traitement de la gestion du risque par l’assurance ne suffit plus, et il existe des risques pénaux importants. L’on assiste globalement à une prise de conscience de l’obligation de conformité et à l’émergence de la nécessité de traiter la gestion des risques globalement. Nous sommes dans l’ère du Risk Manager. « 

Qui est le Risk Manager, quel rôle pour la DSI ?

Il existe plusieurs cas de figure. Soit le Risk manager (RM) correspond à une extension d’une fonction déjà existante, soit il s’agit d’un responsable des audits internes ou des assurances. Il arrive également qu’il n’y ait pas vraiment de logique par exemple le RM peut-être le directeur financier ou le CIO. Généralement, ce n’est pas le directeur général qui occupe ce poste. Certaines sociétés ont créé un poste dédié à la gestion du risque.

Pour Blanchard, le statut du RM peut être un bon indice de la maturité ou de l’immaturité d’une entreprise. Selon lui, « le rattachement du RM à la direction financière n’est pas la meilleure solution », par contre, il estime : » que si l’entreprise crée un poste dédié alors cela apporte la preuve de son dynamisme et de sa maturité. »

Concernant l’impact de la gestion des risques sur le fonctionnement de la DSI, le rapport du Cigref montre que celui-ci est presque invisible, car il s’agit d’un métier qui existe déjà depuis longtemps dans de nombreuses directions, sous le nom de IT Risk Manager.

« Aujourd’hui, nous sommes passés d’une période de méfiance à celle de l’intérêt participatif. Il y a donc une véritable prise de conscience des métiers et une diminution de l’angoisse qui naissait dans la relation entre le DSI et le Risk Manager. »

Dans l’idéal, les relations qui unissent métiers, DSI et Risk Management doivent être transverses, coopératives et non hiérarchiques. En clair, le système doit fonctionner sur le principe de la collaboration, car la gestion des risques est vraiment un domaine immense.

Pour conclure, Anglard estime que « la maturité d’une entreprise est d’autant plus grande que la DSI ne sera pas responsable de tous les domaines. Globalement on assiste à une plus grande prise en compte de cette problématique de la gestion des risques. Les USA sont toujours en avance sur cette question, mais l’on est en train de passer d’une situation ou l’inquiétude régnait vis-à-vis de Sarbannes Oxley à une prise de recul par rapport à ce cadre méthodologique réglementaire. »