Management des risques : plaidoyer pour une vision unifiée

LES SYNTHÈSES SOLUCOM
Management des risques :
plaidoyer pour une vision unifiée
Observatoire du management des systèmes d’information
no
42

Le Sourcing des études
2• Les Synthèses © Solucom - Mars 2012
Marion Couturier est consultante senior chez Solucom, au sein de la practice Sécurité & risk
management depuis 2007.
Diplômée de Telecom École de Management, elle intervient auprès de nos clients dans la
mise en place de leur gouvernance sécurité, la réalisation de cartographies des risques et
l’animation de campagnes de sensibilisation.
marion.couturier@solucom.fr
Etienne Bouet est manager chez Solucom, au sein de la practice Sécurité & risk management
depuis 2008.
Diplômé de l’Institut des Sciences de l’Ingénieur de Montpellier, il a débuté sa carrière dans un
cabinet d’audit. Chez Solucom, il accompagne nos clients dans l’évaluation et l’amélioration
de l’organisation de leurs filières risques et sécurité. Il anime des démarches transverses de
gestion des risques.
etienne.bouet@solucom.fr
Gérôme Billois est manager chez Solucom, au sein de la practice Sécurité & risk manage-
ment depuis 2004.
Diplômé de l’INSA Lyon, il accompagne depuis plus de 10 ans les DSI et RSSI dans l’évalua-
tion et la mise en place de leur gouvernance sécurité et dans leurs projets de sécurisation
de l’information.
gerome.billois@solucom.fr
Solucom remercie Patrick Peretti-Watel, docteur en sociologie du risque à l’INSERM, pour son intervention lors de
notre Atelier du 22 septembre 2011, ainsi que tous les participants de l’Atelier.

Mars 2012 - Les Synthèses © Solucom 3•
ÉDITO
La gestion des risques : un des piliers de la gouvernance SI
Dans tous les bons manuels de management et de gouvernance, la gestion des risques
est bien considérée comme l’un des processus clés à mettre en place. Et ce constat se
vérifie aussi dans le domaine des systèmes d’information. Ainsi l’IT Governance Institute
évalue le niveau de maturité de la gouvernance SI à travers 5 grands domaines : l’ali-
gnement business / SI, l’apport de valeur ajoutée, la gestion des ressources, la mesure
de la performance et enfin, la gestion des risques.
Pourtant, les DSI ne l’ont pas encore intégrée dans leurs pratiques de pilotage courantes.
Entre la sécurité des systèmes d’information d’un côté, essentielle mais qui ne couvre
que très partiellement le sujet, et la gestion des risques opérationnels de l’autre, souvent
trop lointaine, la gestion des risques SI reste très mal couverte.
Peut-être est-ce tout simplement un symptôme de la faible maturité générale de la
gouvernance SI ? Nous sommes en effet tout juste en train de sortir de l’ère des DSI
« exécutantes », gérant au mieux la demande en silos des métiers, pour passer à l’ère
des DSI pilotes de leur stratégie, échangeant d’égal à égal avec les métiers pour faire
évoluer le SI comme un ensemble cohérent, au service de la stratégie de l’entreprise.
Dans ce mouvement de montée en maturité de la gouvernance SI, la gestion des
risques est bien une composante essentielle. Elle fait partie intégrante du dispositif
de pilotage et d’aide à la décision du DSI. Et elle doit s’articuler avec la gestion des
risques de l’entreprise, à la hauteur du poids critique que représente maintenant le SI.
Que recouvre la gestion des risques SI ? Comment l’articuler avec les filières organisa-
tionnelles existantes ? Comment la mettre en place ? Autant de questions auxquelles
nous vous proposons de répondre à travers cette nouvelle Synthèse de notre observatoire
du management des systèmes d’information.
Bonne lecture à tous.
Laurent Bellefin,
Directeur associé
Directeur de la publication
« Il y a bien des
manières de ne pas
réussir, mais la plus
sûre est de ne jamais
prendre de risques. »
Benjamin Franklin

Quelle perception du risque dans la société ?
Avant de plonger dans la gestion du risque en entreprise, prenons un peu de
recul pour nous intéresser à la gestion du risque dans notre monde moderne.
Agrégé en sciences sociales, Patrick
Peretti-Watel est docteur en sociolo-
gie du risque et statisticien. Il a écrit
de nombreux ouvrages sur le risque
dans la société et a présenté, lors de
l’Atelier Solucom, son point de vue
sur cette thématique au cœur de nos
préoccupations.
Un monde paradoxalement moins
dangereux mais plus risqué…
Alors que notre monde est de moins
en moins dangereux, comme l’atteste
notamment l’allongement considé-
rable de notre espérance de vie depuis
un siècle, nous avons aujourd’hui le
sentiment de vivre dans un monde
de plus en plus risqué. Risques ali-
mentaires, écologiques, technolo-
giques, financiers, métiers à risques,
populations à risques… le risque est
omniprésent et sans cesse mis sur le
devant de la scène médiatique.
Pour paraphraser le philosophe
François Ewald, rien n’est en soi un
risque, mais tout peut en devenir un.
Le risque est plus une façon d’appré-
hender le réel, associée à une volonté
de maîtriser l’avenir. Cette « mise en
risque » progressive du monde est
justement ce qui caractérise l’histoire
du 20ème
siècle. C’est dans ce sens
que l’on parle parfois de la « société
du risque », ou de la « civilisation
du risque ». Dans une certaine
mesure, plus nous « fabriquons »
des risques, plus nous gagnons en
sécurité : c’est pour cela que nous
vivons dans un monde qui est para-
doxalement de plus en plus risqué
et de moins en moins dangereux.
Quelcomportementfaceaurisque?
Erving Goffman, sociologue améri-
cain, remarquait que les hommes,
comme les animaux, oscillent en
permanence entre deux états d’acti-
vité, la veille et l’alarme, passant de
l’un à l’autre lorsqu’un signal attire
leur attention sur un danger dans leur
environnement. Pour lui, certains
individus sont plus sensibles que
d’autres à ces signaux et plus prompts
à réagir : « À considérer la tendance
des individus à être tantôt tranquilles
et tantôt sur leurs gardes, il est facile
de voir que certains ressemblent à la
biche, toujours prête à s’effrayer, alors
que d’autres ressemblent à la vache,
lente à se mobiliser ». Pour prolon-
ger cette analogie, dans la mesure où,
aujourd’hui, notre capacité à identi-
fier des risques croît beaucoup plus
vite que notre capacité à les gérer, on
pourrait dire que l’homme moderne
possède les aptitudes perceptives
d’une biche, mais la réactivité d’une
vache. Évidemment, ce décalage est
anxiogène !
L’incongruité du risque zéro
La « mise en risque » progressive du
monde a été au 20ème
siècle corrélative
d’une nouvelle utopie : celle du risque
zéro. L’expansion continue du risque
est portée par un espoir qui peut sem-
bler rétrospectivement un peu naïf :
on a longtemps pensé que la science,
grâce aux techniques du risque, allait
parvenir à éradiquer certains dangers
pour nous garantir une sécurité totale.
Mais dans de nombreux domaines,
les experts ont dû admettre que le
risque nul n’existe pas, que certains
risques sont rémanents, que d’autres
sont concurrents, et que la réduction
des uns peut renforcer les autres. Par
exemple, certains médicaments qui
servent à réduire le risque de rechute
après un type de cancer ne sont pas
prescrits trop longtemps, car ils aug-
mentent les risques d’autres cancers.
L’échec de l’utopie du risque zéro
s’explique de différentes façons.
L’une d’entre elles est l’intrusion du
facteur humain. C’est ce qu’illustre
par exemple la théorie du risque
homéostatique. Selon cette théorie,
les individus ne recherchent pas for-
cément le risque zéro, ils sont même
prêts à s’exposer à un certain niveau
de risque qu’ils jugent « accep-
table », pour en retirer un bénéfice.
Par exemple, lorsque l’on a équipé
des taxis allemands de systèmes qui
réduisent la distance de freinage,
dans un premier temps cela a réduit
leur risque d’accident… Mais les
chauffeurs se sont adaptés en en
profitant pour conduire plus vite et
en freinant plus tardivement, de sorte
qu’au final, le nombre d’accidents
est resté identique. L’ajustement du
comportement de ces chauffeurs a
ainsi rendu inopérante la mesure de
réduction du risque d’accident.
Plus généralement, les experts de la
sécurité ont souvent tendance à se
focaliser sur le risque qu’ils ont à
gérer, et peinent à se rendre compte
que les individus qui sont exposés
à ce risque peuvent très bien avoir
d’autres contraintes, d’autres risques.
« L’hommemodernepos-
sèdelesaptitudespercep-
tives d’une biche, mais
la réactivité d’une vache.
Évidemment,cedécalage
est anxiogène ! »

Par exemple, lorsqu’a été envisagé le
fait d’enfouir des déchets radioactifs
à Marcoule, la commission mise en
place pour évaluer les risques s’est
rendue compte qu’elle n’avait pas du
tout envisagé le risque qui préoccu-
pait le plus les viticulteurs locaux : un
risque commercial fort, étant donné
que ces viticulteurs exportaient beau-
coup de leur vin vers le Japon…
Un déni du risque redoutable
Dans les années 80, l’anthropologue
Françoise Zonabend a travaillé sur
l’usine de retraitement des déchets
radioactifs, située à La Hague. Dans
cette usine, les ouvriers de La Hague
étaient enclins à ce que l’on appelle
le déni du risque. Autrement dit,
face aux experts qui leur parlaient du
risque de contamination radioactive
auquel ils étaient exposés, ils avaient
tendance à se trouver de bonnes
raisons pour juger qu’eux-mêmes
n’étaient pas ou peu exposés à ce
risque, même si d’autres l’étaient.
Les jeunes recrues pensaient
que le risque toucherait les plus
expérimentés, moins bien formés
qu’eux. Les plus anciens étaient au
contraire convaincus que seuls les
jeunes, moins expérimentés qu’eux,
étaient en danger.
Le déni du risque s’appuie souvent
sur une stratégie de « bouc émis-
saire », qui consiste à mettre un
risque à distance en estimant que
ce risque ne concerne qu’une caté-
gorie d’individus bien particulière,
à laquelle on n’appartient pas soi-
même. Beaucoup de gens continuent
à croire, aujourd’hui encore que le
virus du VIH ne peut toucher que les
homosexuels ou les toxicomanes. Ils
ne se sentent donc pas concernés par
les campagnes de prévention.
Un principe de précaution qui
devient principe d’abstention
Ces dernières décennies ont également
été marquées par ce que l’on appelle le
principe de précaution qui, dans une
certaine mesure, marque une forme de
retour à l’utopie du risque zéro. Selon
la loi Barnier de 1995, le principe
de précaution implique que « l’ab-
sence de certitudes, compte tenu des
connaissances scientifiques et tech-
niques du moment, ne doit pas retar-
der l’adoption de mesures effectives
et proportionnées visant à prévenir un
risque de dommages graves et irré-
versibles à l’environnement à un coût
économiquement acceptable ». Nous
avons largement pu expérimenter ce
principe de précaution : ce dernier
est très souvent invoqué pour récla-
mer ou justifier des mesures préven-
tives en l’absence de certitudes sur le
risque encouru : cas de la vache folle,
des OGM, des champs électromagné-
tiques… En vertu de ce principe, le
politique ou l’industriel a un devoir
d’anticipation, il doit tenir compte
des incertitudes scientifiques à long
terme.
Mais aujourd’hui, est fait un usage
galvaudé de ce principe de précau-
tion, ce dernier se transformant en
principe d’abstention. Il est invoqué
à tort et à travers, passe outre les
garde-fous posés par la loi, fait seu-
lement mention des risques « graves
et irréversibles » et n’envisage que
des mesures « proportionnées », à
un coût « économiquement accep-
table ». Sans ces restrictions de bon
sens, ce principe conduit à toujours
envisager le pire, et à payer très cher
pour viser un « risque zéro » hors
d’atteinte. Au nom de ce principe,
vous pouvez défendre la vaccination
de masse : il était théoriquement
possible que la grippe H1N1 fasse
des millions de victimes en France,
il fallait donc vacciner tout le monde.
Mais inversement, le nouveau vac-
cin préparé dans l’urgence avait une
probabilité non nulle d’engendrer des
effets secondaires très graves : ainsi,
au nom du même principe de précau-
tion, la population pouvait tout aussi
bien refuser de se faire vacciner.
Deux dimensions du risque,
technique et humaine
Aujourd’hui, la gestion d’un risque,
dans la société comme au sein
d’une entreprise, implique au moins
deux dimensions interdépendantes.
D’abord une dimension technique,
qui doit déterminer les coûts et
les bénéfices attendus, ainsi que
le degré d’acceptabilité du risque.
Ensuite une dimension humaine,
qui implique un dialogue avec les
personnes concernées, et en particu-
lier, au sein d’une entreprise, avec les
salariés, avec les métiers, pour que
leurs points de vues, leurs besoins
et leurs objectifs propres soient pris
en compte.

Un enjeu : savoir prendre des risques !
Une gestion des risques à mettre au service
des métiers et de l’innovation
Tout comme la société, l’entreprise évolue dans un environnement de risques
qui sont de natures très différentes et touchent toutes les facettes de l’entre-
prise : sa stratégie, son business, son système d’information...
Lesmenacesquipèsentsurl’entreprise
peuvent être dues à son environnement
ou être liées à ses mutations :
• Exigencescroissantesdesclients,
partenaires et utilisateurs… ;
• Durcissement des réglementa-
tions ;
• Fusions, repositionnements, res-
tructurations ;
• Émergence de la responsabilité
sociétale ;
• Prise de conscience aigüe des
risques technologiques et envi-
ronnementaux,misenlumièrepar
des incidents de grande ampleur
comme Fukushima en 2011.
Une gestion au service de
l’atteinte des objectifs de
l’entreprise
La perception de plus en plus nette
des menaces pousse les entreprises
à mettre en œuvre des démarches de
gestiondesrisques.Malheureusement,
cesdémarchesrestentencoretropsou-
vent perçues comme des contraintes
venant brider les métiers créateurs
d’initiatives et de valeur.
Les démarches de gestion des risques
peuvent donner l’impression de sur-
traiter le risque, voire de le refuser
systématiquement. En se focalisant
sur les pertes potentielles, les filières
de gestion des risques oublient par-
fois les gains potentiels d’une prise
de risque. Se développer sur un nou-
veau marché, adapter son offre com-
merciale, acquérir une société… sont
autant de démarches « risquées » qui
se révèlent aussi sources potentielles
de profits pour l’entreprise et bien sou-
vent nécessaires à son évolution. Pour
chaque risque, c’est ce difficile exer-
cice d’équilibre entre gains et pertes
potentiellesquidoitpermettredemodi-
fier la perception que les métiers ont
des démarches de gestion des risques.
Cibler une prise de risque
alignée avec les enjeux métiers
Une gestion des risques efficace doit
apporter une aide à la décision et une
réponse assumée et proportionnée aux
menaces pesant sur l’entreprise. Cela
ne peut être atteint qu’en collaboration
avec les directions métiers qui sont les
seules à même d’évaluer les impacts
sur leurs activités.
« En se focalisant sur les pertes potentielles, les filières de gestion des risques
oublient parfois les gains potentiels d’une prise de risque. »

Des risques très divers à gérerUn pré-requis : formaliser les
objectifs de l’entreprise…
Les risques créent une incertitude sur
l’atteinte des objectifs de l’entreprise
(définition de l’ISO 31000). Pour
identifier, évaluer et gérer les risques,
il est donc essentiel pour l’entreprise
de bien identifier et formaliser ses
objectifs. Cette définition permettra
d’anticiper les menaces et d’empê-
cher leur concrétisation.
L’environnement et le contexte interne
sont également des éléments clés à
intégrer dans sa gestion des risques :
enjeux réglementaires, organisation
interne, partenaires, forces et fai-
blesses, etc.
… pour identifier les risques et
leurs porteurs
Les risques touchent tous les niveaux
de l’entreprise et sont portés en consé-
quence par des acteurs multiples.
La Direction générale gère les risques
stratégiques. Elle s’intéresse au travers
de ces risques aux défaillances de la
stratégie de l’entreprise qui pourraient
avoir un impact sur son existence
même. Il s’agit par exemple des risques
relatifs aux fusions / acquisitions, etc.
Les risques métiers sont portés par les
directions en charge de ces fonctions,
car ils affectent directement le cœur
de métier. Ainsi, la Direction commer-
ciale s’intéressera aux risques relatifs
aux ventes et aux clients, la Direction
de la logistique aux risques relatifs à
l’approvisionnement.. Ces risques dif-
fèrent d’une organisation à l’autre : ils
peuvent être particuliers à un secteur,
comme par exemple le risque de mar-
ché pour les banques.
Modélisation du risque
Les scénarios de risques sont caractérisés par :
• les menaces et leur vraisemblance dans le contexte
de l’organisation ;
• les vulnérabilités, c’est-à-dire les faiblesses intrinsèques
de l’entreprise, qu’elles soient organisationnelles,
humaines ou techniques ;
• les objectifs qui pourraient être remis en cause...
• … et les impacts occasionnés.
On peut illustrer le « risque » à travers une situation très concrète : la menace serait un cambriolage, la vulnérabilité
associée au manque de système d’alarme, l’objectif étant la sécurisation des objets de valeur dans la maison. L’impact
est ici clairement identifié à travers la perte de biens de valeur et autres dommages occasionnés.
Enfin, les risques opérationnels sont
similaires dans toutes les entreprises.
Ils recouvrent les risques relatifs aux
processus, aux personnes et aux sys-
tèmes de l’entreprise. Il s’agit notam-
ment des risques SI, sécurité, conti-
nuité, RH, fraude, etc. Ces dernières
années, les risques opérationnels ont
fait l’objet d’une attention de plus en
plus importante du fait du renforce-
ment des réglementations, plus parti-
culièrement dans le secteur financier.

Le SI, colonne vertébrale de l’entreprise,
est au cœur de la gestion des risques
Parmi les risques opérationnels, les
risques liés aux systèmes d’infor-
mation ont évolué particulièrement
rapidement ces dernières années et
doivent faire l’objet d’une gestion
de risques à part entière. Autour de
l’information s’articulent en effet
différents domaines de risques très
dépendants les uns des autres.
Tout d’abord, les risques du système
d’information sont des risques trans-
verses à l’entreprise, qui intègrent
l’ensemble des risques métiers et
opérationnels ayant une composante
SI. Il peut s’agir par exemple de la
non-adéquation d’une application à
un besoin métier, de la non-atteinte
des niveaux de service ou encore
d’une gestion de projet défaillante.
Les risques sécurité de l’information
recouvrent pour partie les risques du
système d’information. En effet, ils
comportent une large composante
SI, mais n’y sont pas limités. Ainsi,
la sécurité de l’information couvre
également les dimensions orales et
papier de l’information. Bien ancrés
dans les pratiques de gestion de
risques des entreprises, ils font sou-
vent l’objet d’une filière dédiée.
Il en va de même pour les risques
de continuité d’activité. Ils regroupent
des risques SI sur les aspects conti-
nuité informatique, mais débordent
largement sur les risques opération-
nels en traitant le secours utilisateur
et les aspects logistiques, RH, juri-
diques, etc.
Les référentiels de gestion des risques
Il existe des référentiels et des normes pour gérer la plupart des types de risques. S’ils convergent sur un certain nombre de concepts
fondamentaux, leurs modalités de mise en oeuvre divergent en revanche : méthodologies variées, différences de vocabulaire, etc.
Il manque ainsi un cadre commun de gestion du risque, applicable à l’ensemble de l’entreprise. L’ISO 31000 est dans ce
domaine la norme aujourd’hui la plus globale qui, bien que récente, se généralise peu à peu. Elle définit les grands principes
de gestion des risques en entreprise, en s’appuyant sur des processus et un modèle d’amélioration continue.
Les domaines de risques autour du SI
Principaux référentiels utilisés pour gérer les risques
« Autour de l’information
s’articulent différents
domaines de risques très
dépendants. »

De multiples acteurs pour gérer les risques
liés au SI
Solucom a analysé les pratiques d’un
panelde50grandesorganisationsfran-
çaises. Collectées fin 2011, ces infor-
mations permettent d’identifier quatre
acteurs principaux intervenant dans
la gestion des risques SI liés au SI :
• Le Directeur des risques. Il assure la
gestion des risques opérationnels
et l’animation de la filière risques.
Il rapporte généralement directe-
ment à la Direction générale ;
• L’IT risk manager (IT RM). Il gère
les risques SI, en lien avec la
DSI et les métiers ;
• Le Responsable de la sécurité
du SI (RSSI). Il a en charge les
risques de sécurité du SI et le
plus souvent de la sécurité de
l’information au sens large ;
• Le Responsable plan de continuité
d’activité (RPCA). Il gère les
risques d’interruption de l’acti-
vité : perte d’un bâtiment, d’un
site informatique, etc.
Le degré d’adoption de ces diffé-
rentes fonctions est variable en
fonction de la maturité de la filière
concernée (voir schéma ci-dessous).
Dans certains contextes, une même per-
sonne peut cumuler plusieurs fonctions.
Un Directeur des risques qui ne
gère pas toujours les risques SI
Plus de la moitié des entreprises
dispose d’un Directeur des risques
ou Responsable des risques
opérationnels, et près de 90%
des Banques / Assurances. Si
le Responsable des risques
opérationnels s’intéresse à un
périmètre englobant ces risques,
il n’est pas systématiquement
positionné en coordinateur
des filières SSI, PCA et SI. Ce
positionnement est notamment lié
au fait que les filières SSI et PCA
ne sont pas toujours rattachées à la
Direction des risques.
Un rôle d’IT risk manager en
émergence
Une nouvelle fonction est en train
d’émerger pour la gestion des risques
SI : l’IT risk manager. À la croisée
des risques touchant le SI, 20% des
entreprises se sont désormais dotées
d’un poste dédié d’IT risk manager.
Ces chiffres sont encore supérieurs
dans le secteur Banque / Assurance,
avec 36% d’IT risk manager nommés.
Pour l’instant largement rattaché à la
DSI (55%), le poste se déporte petit
à petit vers la Direction des risques
(32%), positionnement qui contribuera
à rapprocher l’IT risk manager de la
vision métier des risques.
Une fonction RSSI démocratisée
La fonction de RSSI est largement
installée dans les entreprises, et
son périmètre d’activité ne se limite
plus aux risques de sécurité de l’in-
formation. Son rattachement reste
fortement lié à la DSI, de laquelle
il dépend dans deux tiers des cas,
même s’il est de plus en plus proche
de la Direction des risques. Cette ten-
dance est nettement marquée dans
le secteur de la Banque / Assurance.
Le RSSI assure dans 43% des cas le
rôle d’IT risk manager émergent et
dans 42% des cas le rôle de RPCA.
Un RPCA en lien fort avec le RSSI
et le Directeur des risques
Le rôle de RPCA est largement
répandu, même s’il ne fait pas tou-
jours l’objet d’une filière dédiée et
qu’il reste dans 42% des cas endossé
par le RSSI.
Quand le poste existe, il est dans
plus de la moitié des cas rattaché à
la Direction des risques, voire jusqu’à
70% dans le secteur de la Banque /
Assurance.
Acteurs mobilisés pour gérer les risques liés au SI
À qui est rattaché à l’IT risk
manager ?
À qui est rattaché le RSSI ?
À qui est rattaché le RPCA ?
Panel de 50 grands comptes français tous secteurs confondus

Casser les silos...
Une vision d’ensemble difficile
à obtenir
Les multiples acteurs qui composent
les filières de gestion des risques SI
agissent le plus souvent indépen-
damment les uns des autres. Chaque
responsable traite ses risques avec sa
propre méthode, sa propre échelle,
son propre référentiel... tout en ayant
peu voire même aucun échange avec
les autres acteurs.
L’existence de filières de gestion
des risques dédiées démontre une
certaine maturité : elles apportent
des réponses expertes aux risques
qu’elles prennent en charge.
Mais ce fonctionnement en silos
n’optimise ni l’identification, ni l’éva-
luation et le traitement des risques.
Les différents acteurs (DSI, RSSI,
RPCA…) vont être, chacun indépen-
damment, amenés à apporter des
réponses. Ces silos pénalisent l’entre-
prise dans son processus de prise de
décision car ils ne permettent pas de
répondre aux questions essentielles
qu’elle se pose :
• Quelle est globalement mon
exposition aux risques ?
• Ai-je bien mis les priorités aux
bons endroits ?
Dès lors, il ne peut y avoir de réponse
globale. Or c’est bien au niveau
« entreprise » que la gestion des
risques prend tout son sens.
…et d’inévitables redondances
L’approche en silos a un second
inconvénient : elle génère natu-
rellement une sur-sollicitation des
métiers : souvent autant de sollici-
tations que de filières ! Or s’il est
nécessaire que les acteurs de la
gestion des risques SI collaborent
avec les directions métiers, notam-
ment pour évaluer les impacts des
risques, il ne faut pas que cette
implication devienne excessive et
donc contre-productive.
La solution réside donc dans l’or-
chestration d’une collaboration entre
les différents acteurs de la gestion
des risques SI. Il ne s’agit pas de
fusionner complètement les silos,
mais de les transformer et de les faire
collaborer pour assurer une gestion
efficace des risques SI au niveau
entreprise.
Comment les entreprises évaluent-elles leur gestion des risques ?
Dans l’étude menée, plus de la moitié des entreprises du panel jugent leur démarche de gestion des risques « assez effi-
cace ». Pour 95% des entreprises, il y a une marge de progrès à franchir pour renforcer leur maturité et assurer une ges-
tion optimale des risques. Cette marge de progrès réside principalement dans l’organisation et les méthodes de travail.
La prise de risque n’est pas mesurée dans 24% des cas : n’est-ce pas cela le risque majeur ?
Une gestion de risques en silos
Comment jugez-vous l’efficacité de la démarche risque ? Comment jugez-vous la prise de risque ?
Réponse risque SI
Réponse risque SSI
Réponse risque continuité
DSI
RSSI
RPCA
Risk
manager
ClientsConcurrence
PartenairesRégulateurs

…en articulant les filières de gestion des risques
traitant du SI
Voici quelques organisations « types » rencontrées dans les entreprises permet-
tant, avec un niveau d’efficacité graduel, de répondre aux enjeux de la gestion
des risques liés au SI. Ces principes pourraient être appliqués ensuite aux
autres domaines de risques de l’entreprise.
La tour de Babel, des langages
différents
L’organisation « tour de Babel » maté-
rialise une situation où chacun parle
des langages différents. Dans ce cas
de figure, majoritaire aujourd’hui, les
constats sont évidents :
• Il n’y a pas de liens entre les
filières. Chacune traite de son
périmètre en appliquant sa
propre méthode ;
• Chaque filière s’adresse aux
métiers indépendamment et
sans concertation avec les
autres acteurs de la gestion des
risques, entraînant de multiples
sollicitations ;
• Chaque filière remonte ses
propres risques à la Direction
générale.
Dans cette configuration, la consolida-
tion de l’ensemble des risques iden-
tifiés indépendamment les uns des
autres n’est pas faite. Aboutir à une
vision « entreprise » des risques est
dès lors tout simplement impossible.
La tour de Pise, une situation
déséquilibrée
L’organisation « tour de Pise » sym-
bolise une situation déséquilibrée.
Ce déséquilibre s’explique par une
ébauche de consolidation verticale
des risques vers la Direction des
risques. Chaque cartographie des
risques est intégrée à la cartogra-
phie du niveau « supérieur » (par
exemple : risques de continuité inté-
grés aux risques sécurité).
Néanmoins, dans ce type d’organisa-
tion, l’information redescend généra-
lement peu vers les métiers qui restent
sollicités de manière indépendante et
souvent incohérente par l’ensemble
des acteurs du risque. Les métiers ont
en conséquence du mal à identifier
l’intérêt de la démarche risques.
Dans cette organisation, les décisions
sont prises sur des bases peu solides.
Comment s’assurer de la pertinence
des risques qui « remontent » jusqu’à
la Direction générale ? Sont-ils vrai-
ment les risques les plus importants
de l’entreprise ? Sans concertation
de l’ensemble des acteurs de la
« filière » risque, il reste délicat de
répondre à ces deux questions clés.
En conséquence, si cette organisa-
tion est plus opérante que la « tour
de Babel », elle n’est néanmoins pas
encore idéale.
La tour de contrôle, l’organisation
intégrée cible
L’organisation la plus optimale est la
« tour de contrôle », symbole d’une
vision d’ensemble ainsi que d’une
information partagée et consolidée.
Dans cette situation, tous les acteurs
de la gestion du risque SI partagent
la même démarche. Ils se concertent
sur la méthode, utilisent les mêmes
échelles d’évaluation des risques et
centralisent les résultats. Ce rappro-
chement favorise ainsi la consolida-
tion d’une information validée par
tous et la construction d’une vision
cohérente de l’ensemble des risques
de l’entreprise. L’approche « tour de
contrôle » favorise par ailleurs l’opti-
misation budgétaire dans la mesure
où elle permet de se concentrer sur
les plans de réduction des risques
jugés prioritaires.
Attention, rapprochement des filières
ne veut néanmoins pas dire fusion
des filières. Chacune a recours à des
compétences, des expertises et des
normes spécifiques.
La « tour de contrôle » est l’orga-
nisation optimale mais il n’est pas
évident de l’implémenter immédia-
tement. Sa mise en place progressive
est, de ce fait, préférable si elle pose
les bases d’une approche des risques
partagée et permet un changement
de culture.

Étape 1 - Utiliser une échelle
commune : un pré-requis à la
démarche
L’échelle vise à mesurer de manière
objective les risques. Elle comprend
deux axes : la probabilité et l’impact
qui, combinés, permettent d’évaluer
la criticité du risque.
Disposer d’une échelle commune au
sein de l’entreprise semble une évi-
dence. Pourtant, il est rare que cette
bonne pratique soit en place, ce qui
complexifie la collaboration entre les
filières. Cette lacune rend impossible
une lecture d’ensemble des cartogra-
phies des risques élaborées. La pre-
mière étape pour intégrer les filières
de gestion des risques est donc de
définir des échelles communes. La
collecte des échelles en vigueur, leur
analyse et la rencontre des porteurs
des filières doivent permettre d’iden-
tifier les points de dépendance clés.
Quels sont les critères communs à
l’ensemble des filières ? Quelles sont
les spécificités de chacune ?
Cette phase d’analyse passée, il s’agit
ensuite de construire les échelles
cibles, en trouvant un compromis entre
les visions des différents acteurs. Les
métiers doivent en effet se reconnaître
dans les types et les niveaux d’impacts
définis. L’atteinte d’un consensus n’est
pas toujours aisé, mais il est nécessaire
de rester ferme sur l’utilisation d’une
échelle commune pour permettre la
suite de la démarche.
Exemple d’échelle
d’impact financier
Les 1ères
étapes de l’intégration des filières
en pratique
La mise en place de l’organisation « tour de contrôle » peut être réalisée selon
les étapes suivantes : utilisation d’une échelle commune, définition d’un porte-
feuille de risques, optimisation du travail avec les métiers et mise en commun
des plans d’actions.
Facteurs clés de succès
Dans cet exercice, quelques clés permettent de garantir le caractère opéra-
tionnel des échelles définies :
• L’impact financier suffit rarement à qualifier de manière représentative
les impacts d’un risque, sans compter qu’il est parfois difficile pour les
métiers de le quantifier. Il est donc judicieux d’intégrer les impacts opé-
rationnels, juridiques ou encore d’image. Cette adaptation est à faire au
regard des enjeux propres au secteur d’activité de l’entreprise.
• Les événements déjà survenus dans l’organisation ou son environnement
permettent de calibrer de manière appropriée l’échelle.
• Enfin, la définition d’une échelle commune à l’entreprise doit permettre
une certaine latitude et permettre des évolutions futures. Ainsi, il est
préférable de fixer quatre voire cinq niveaux dans l’échelle, quitte à ce
que certaines filières ou entités n’en utilisent qu’un sous-ensemble adapté
à leur situation. Si l’échelle entreprise ne prévoit pas suffisamment de
niveaux, les résultats finaux peuvent manquer de finesse et certains
risques peuvent être « noyés » dans la masse, nuisant à l’analyse et la
capacité de décision.
« Il est nécessaire de rester ferme sur l’utilisation
d’une échelle commune pour permettre la suite de
la démarche. »

Exemple de recouvrement de risques liés au SI
Étape 2 - Construire un portefeuille
de risques : un référentiel de
pilotage unique
Une fois les échelles définies, il
s’agit de construire le portefeuille de
risques. La démarche de fédération et
d’intégration du travail de plusieurs
filières de gestion des risques doit
effectivement passer par une étape
de mise en commun des risques. Cela
permet de définir la structure d’un
portefeuille de risques. Ce référentiel
centralisera le résultat du travail de
chacun et sera la base du reporting.
La constitution d’un portefeuille de
risques commence par l’analyse de
l’existant : quels sont les objectifs de
chacun ? Quels types de risques sont
traités ? Cette première étape permet
de structurer les types de risques
gérés au sein de grands domaines
constituant le portefeuille, dans une
logique de « catalogue » de risques
génériques.
Il convient ensuite d’identifier les
zones de recouvrement. En effet, il
est bien souvent impossible de posi-
tionner un risque dans une unique
filière. Voici quelques exemples illus-
trant ces zones d’adhérence pour les
filières SI, SSI et continuité :
• La perte d’un datacenter est
traitée à la fois par la filière
continuité, dont le plan de conti-
nuité informatique est l’un des
axes de travail et par la filière
SI, qui s’intéresse aux possibles
défaillances de la production ;
• L’usurpation d’identité et l’abus
de droits sont des risques trai-
tés par le RSSI, mais qui inté-
ressent aussi la filière SI sous
l’angle applicatif ;
• La non-conformité réglemen-
taire, enfin, est abordée par
l’ensemble des trois filières.
Identifier les zones d’adhérence est
un élément clé de la constitution du
portefeuille de risques. Une fois ces
recouvrements identifiés, il est alors
possible de formaliser les responsa-
bilités sur ces risques pour éviter,
dans le meilleur des cas, un travail
redondant, et dans le pire des cas des
démarches contradictoires.

Pour chacun des domaines de risques
définis, des responsables doivent être
identifiés. Il s’agit souvent naturel-
lement des acteurs des différentes
filières risques en place, avec un
travail plus fin au niveau des zones
d’adhérence permettant de coordon-
ner l’analyse sur ces périmètres. Des
modèles de responsabilités de types
RACI* permettent une formalisation
claire et précise des responsabilités.
Étape 3 - Transformer la relation
avec les métiers
Les métiers souffrent des nombreuses
sollicitations des filières risques qui
créent une lassitude et leur rejet. La
coordination et l’optimisation de la
relation avec les métiers est donc
un enjeu majeur, l’objectif étant de
repositionner les filières risques en
conseillers et non en demandeurs.
Plusieurs leviers d’optimisation sont
à mettre en œuvre. Tout d’abord, le
travail sur les zones d’adhérence des
risques, effectué lors de la constitu-
tion du portefeuille de risques, doit
être remis à profit pour anticiper les
redondances et les contourner au tra-
vers d’entretiens ou de questionnaires
communs sur ces périmètres.
Ensuite, l’échange des informations
collectées auprès des métiers est un
levier pour enrichir les démarches res-
pectives des filières. Ce nouvel angle
de vue doit permettre d’enrichir la
réflexion et de garantir une sollicitation
efficace des métiers.
Pour mettre en œuvre de manière
opérationnelle ces deux leviers, un
calendrier partagé doit être défini. Il
permettra de cadencer dans l’année
les rendez-vous avec les métiers, et de
les placer dans l’ordre le plus adapté.
Attention, si optimiser la relation per-
met la réduction des sollicitations, cela
ne veut pas dire pour autant qu’un seul
point de rencontre sera suffisant !
Enfin, la mutualisation de la restitu-
tion et du reporting doit permettre la
mise en perspective des risques et les
éventuels arbitrages lors de la valida-
tion des risques.
Cette restitution peut être portée
par l’un des acteurs à définir par le
Directeur des risques, par exemple au
cours d’un rendez-vous annuel.
Étape 4 : partager les plans
d’actions
L’étape suivante de l’intégration des
filières s’appuie naturellement sur le
partage et la coordination des plans
d’actions.
Historiquement chaque filière gérait
son plan d’actions et les budgets
associés. En partageant la vision des
risques, la définition des plans d’ac-
tions est plus simple à optimiser. Les
actions identifiées par chaque filière
Quelles sont les attentes
envers la gestion des risques
liés au SI ?
Interrogées sur leurs attentes vis-
à-vis de la gestion des risques liés
au SI, les entreprises se prononcent
majoritairement pour l’aide au pilo-
tage et l’orientation des décisions
de la DSI. La réduction des coûts,
via l’optimisation des budgets, et la
conformité viennent ensuite.
Facteurs clés de succès
La réussite de la mise en place d’un
portefeuille de risques réside souvent
dans une définition progressive :
• La démarche peut être initiée
avec les domaines de risques
correspondant aux filières
les plus mûres, qui pourront
ainsi alimenter le référentiel
avec plus de facilité, dans une
logique de « pilote » ;
• La couverture des risques peut
ensuite être élargie progressi-
vement, en s’appuyant sur de
premiers retours d’expérience
positifs.
sont partagées, et des synergies peu-
vent être dégagées :
• Les actions de réduction des
risques sur les zones d’adhé-
rence peuvent ainsi être défi-
nies collégialement, chaque
filière traitant d’une compo-
sante du risque ;
• Les actions redondantes, voire
contradictoires, peuvent être
identifiées et arbitrées.
Exemple de répartition des responsabilités par domaine
de risques
Domaine
ITrisk
manager
RSSI
RPCA
Achats
DSI
DSI
Risk
manager
Métier
Continuité I C R I I A
Sécurité I R C I I A
Conformité R C C I I A
Production R I I A
Sourcing R I I A
...
• R : responsible
• C : consulted
• A : accountable
• I : informed
*cf lexique page 18

Les bases d’un reporting commun
Une instance de pilotage
stratégique commune
Une instance commune doit être
mise en place pour assurer le pilotage
de la gestion intégrée des risques : il
s’agit souvent du comité des risques,
ou comité des risques SI selon le péri-
mètre visé. Il regroupe les représen-
tants des différentes filières et des
métiers, ainsi que la DSI.
Ce comité doit a minima se réunir
pour les étapes clés de la démarche
de gestion des risques :
• Lors de son initialisation, pour
valider les échelles, porte-
feuille, dispositions méthodo-
logiques, planning, etc.
• Après la constitution des car-
tographies des risques qui
alimentent le portefeuille de
risques pour valider le niveau
de risque ainsi que les actions
de traitement et leur répartition
dans les filières ;
• De manière régulière (trimes-
trielle a minima) pour assurer
le suivi du plan d’actions conso-
lidé et la réévaluation du niveau
de risque en conséquence.
Des comités peuvent également être
mis en place pour le suivi opération-
nel plus régulier.
Un autre bénéfice non négligeable du
partage des plans d’actions est bien sûr
l’optimisation des budgets. Les coûts
globaux de traitement des risques sont
ainsi consolidés et l’allocation des
budgets gérée de manière plus per-
tinente sur l’ensemble du périmètre.
Par ailleurs, des actions mineures qui,
prises indépendamment dans chaque
filière n’auraient pas été retenues, peu-
vent être finalement engagées si elles
sont identifiées par plusieurs filières.
Une fois le plan d’actions défini et
les budgets alloués, chaque filière
dispose de sa feuille de route projet,
dont elle porte la mise en œuvre et/ou
le suivi selon les cas. Un suivi régu-
lier et commun doit alors être mis en
place, afin de mesurer l’évolution du
niveau de risque en intégrant l’en-
semble des composantes des plans
de traitement.

« La démarche de gestion des risques
SI se doit d’être transverse : c’est
en avançant ensemble vers une
organisation intégrée et en se dotant
d’outils partagés que la maîtrise glo-
bale des risques pourra s’améliorer. »

La gestion des risques s’est développée au fil des années dans les entreprises, en constituant peu à peu des silos
dédiés à chacun des types de risques, et ceci en particulier sur la filière SI. Cette réponse ne permet aujourd’hui
plus aux responsables des risques de jouer pleinement leur rôle d’aide à la décision. Il apparaît donc nécessaire
de décloisonner ces démarches et de faire travailler les filières main dans la main pour atteindre un objectif
commun : permettre une vision globale au niveau du SI et de l’entreprise.
La démarche de gestion des risques SI se doit donc d’être transverse : c’est seulement en avançant ensemble
vers une organisation intégrée de type « tour de contrôle », et en se dotant d’outils partagés que la maîtrise
globale des risques pourra s’améliorer. La transformation des filières nécessitera une mise en œuvre progressive
en s’appuyant sur les périmètres les plus mûrs pour amorcer la dynamique et ensuite étendre la démarche
à d’autres domaines de risques. Comme tous les changements d’organisation associés, elle nécessitera un
accompagnement par une conduite du changement.
Un acteur est tout désigné pour piloter cette démarche : l’IT risk manager, une nouvelle fonction à la croisée
des filières traitant des risques autour de l’information. Quand l’IT risk manager n’est pas encore identifié, le
RSSI est un bon candidat pour endosser cette mission comme le montrent les premières tendances. Habitué à
travailler à la fois avec les métiers et la DSI, il allie compétences techniques et méthodologiques ainsi qu’une
transversalité précieuse : il s’agit d’ailleurs sûrement là d’une évolution naturelle de la fonction de RSSI du
management des risques sécurité au management des risques SI !
En conclusion

Lexique
Cartographie des risques
Représentation des risques identifiés
au sein de l’entreprise et de leur cri-
ticité relative
COBIT
Référentiel d’objectifs de contrôle
de l’information et des technologies
associées
COSO
Cadre de référence de la gestion des
risques en entreprise
Criticité
Combinaison de la probabilité et de
l’impact d’un risque (peut être éga-
lement appelée gravité)
Échelle
Outil de mesure des risques, permet-
tant de retranscrire les probabilités et
l’impact des risques dans un langage
simple
Filière
Ensemble des acteurs intervenant sur
un sujet donné, par exemple la ges-
tion des risques pour la filière risque
ISO 27001
Norme internationale définissant les
exigences pour la mise en place d’un
système de management de la sécu-
rité de l’information
ISO 27005
principes de gestion des risques de la
sécurité des systèmes d’information
ISO 31000
principes et lignes directrices pour le
management du risque
ITGI
IT Governance Institute
IT RM
Information technology risk manager.
Personne en charge de la gestion des
risques SI, en lien avec le DSI et les
métiers
Portefeuille de risques
Référentiel de centralisation des
risques de l’entreprise
RACI
Modèle anglo-saxon de représen-
tation des responsabilités basé sur
quatre rôles : responsible (fait l’ac-
tion), accountable (valide l’action),
consulted (donne son avis), informed
(est informé)
RPCA
Responsable du plan de continuité
d’activité. Il gère les risques d’in-
terruption de l’activité : perte d’un
bâtiment, d’un site informatique, etc
RSSI
Responsable de la sécurité du sys-
tème d’information. Il a en charge les
risques de sécurité de l’information

À propos de Solucom
Solucom est un cabinet indépendant
de conseil en management et
système d’information.
Ses clients sont dans le top 200
des grandes entreprises et
administrations. Pour eux, le cabinet
est capable de mobiliser et de
conjuguer les compétences de près
de 1000 collaborateurs.
Sa mission ? Porter l’innovation au
cœur des métiers, cibler et piloter les
transformations créatrices de valeur,
faire du système d’information
un véritable actif au service de la
stratégie de l’entreprise.
Solucom est coté sur NYSE Euronext
et a obtenu la qualification entreprise
innovante décernée par OSEO
Innovation.
Pour en savoir plus, www.solucom.fr
L’Atelier Solucom
Acteur indépendant du marché du conseil, Solucom est témoin des mutations en profondeur de l’organisation des
DSI. Fort de ses retours d’expérience en matière de gouvernance SI, le cabinet apporte sa vision sur des problé-
matiques actuelles et émergentes.
Imaginé sous forme de club, l’Atelier Solucom, porté par des directeurs associés de Solucom, est un lieu d’échange
où nos clients abonnés sont invités à partager et échanger sur le présent et le futur du management des systèmes
d’information. L’objectif ? Accompagner nos clients dans leurs réflexions stratégiques et prospectives, formaliser
les meilleures pratiques, pour identifier et se préparer ensemble aux challenges IT de demain.
Pour connaître les thèmes et les dates des prochains ateliers, ateliersolucom@solucom.fr

Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 8
92042 Paris La Défense Cedex
Tél. : 01 49 03 25 00 Fax. : 01 49 03 25 01
www.solucom.fr
CopyrightSolucom-ISBN978-2-918872-11-5EAN9782918872115-Responsabledelapublication :LaurentBellefin

Management des risques : plaidoyer pour une vision unifiée

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Andere mochten auch

Andere mochten auch (20)

Ähnlich wie Management des risques : plaidoyer pour une vision unifiée

Ähnlich wie Management des risques : plaidoyer pour une vision unifiée (20)

Mehr von Wavestone

Mehr von Wavestone (20)

Management des risques : plaidoyer pour une vision unifiée