Vous êtes sur la page 1sur 20

Septembre 2008

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 2

Sommaire 2 3 Introduction Valoriser les potentiels inexploits de la gestion du risque informatique Percevoir le risque dun point de vue global Remettre plat lensemble de la gestion du risque informatique Optimiser le rapport risques/bnces : le rle stratgique des DSI Conclusion

Introduction
Le risque fait partie intgrante des activits des entreprises, et sur un march dynamique et dsormais mondialis, o rgnent le changement et les incertitudes, il connat un dveloppement acclr. Les acquisitions dentreprises, les partenariats bass sur la collaboration, lintgration mondiale et les volutions technologiques incessantes sont autant de facteurs de risque. Aujourdhui, les entreprises les plus performantes ont parfaitement compris comment les absorber et les limiter au mieux. Plutt que de se contenter de traverser ces changements majeurs, elles en tirent parti et les suscitent mme parfois pour crer de nouveaux potentiels. Cette rsilience est un vritable levier de croissance et de protabilit durables. Dans un contexte marqu par lomniprsence de linformatique au cur de toutes les activits dune entreprise, la capacit dadaptation repose de plus en plus sur laptitude grer efficacement les risques auxquels sont exposs linformatique, linfrastructure physique et les processus mtier dune organisation. Rien dtonnant par consquent ce que, pour les DSI les plus performants, la gestion du risque constitue bien plus quune thmatique dominante. Cest une vritable exigence quils partagent au sein de lentreprise, avec leurs homologues responsables de lignes dactivits. Pourtant, le primtre dinuence de la plupart des DSI en matire de gestion du risque reste trop souvent limit pour conduire un vritable gain de valeur pour lentreprise. Force est de constater quen matire de risque, les DSI ont plutt tendance pratiquer lvitement que la gestion. Ce qui veut dire que lorsquils se concentrent trop exclusivement sur les menaces informatiques, en oubliant le rapport risques/bnces pour lentreprise toute entire, ils rduisent eux-mmes la puissance de ce levier en matire de rsultats oprationnels et nanciers. Dans le contexte actuel marqu par une extrme interdpendance des activits, les responsables informatiques se doivent de percevoir et de matriser les avantages quoffre la prise de risque en matire dinvestissements et de gains nanciers. En considrant le risque sous un angle plus global et largi, ils peuvent percevoir limpact des processus informatiques et de linfrastructure sur les activits mtier. Par ailleurs, ils sont en meilleure position pour exploiter les capacits de linformatique an de limiter les risques qui psent sur lentreprise et de capitaliser sur de nouveaux potentiels de prot.

5 6

11

17

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 3

Points cls
Le primtre dinuence de la plupart des DSI en matire de gestion du risque reste trop souvent limit pour conduire un vritable gain de valeur pour lentreprise.

En adoptant des principes directeurs de gouvernance centrs sur le risque, lentreprise peut largir sa vision et apporter ses dirigeants une vue plus complte des risques et des bnces potentiels. Disposant ainsi denseignements trs larges, ils sont mme de prendre des dcisions pertinentes, axes sur loptimisation du potentiel de chiffre daffaires et lacceptation dun certain degr dexposition au risque. Par ailleurs, ils sont en meilleure position pour mettre en place des processus danalyse et dautomatisation efficaces, capables de prendre en compte les risques du moment, tout en protgeant les enjeux futurs de lentreprise. Pour rsumer, les DSI sont idalement placs pondrer le rapport risques/bnces. Lorsque les DSI parviennent communiquer sur limportance de la gestion des risques pesant sur linformatique et linfrastructure physique de lentreprise, ils deviennent les promoteurs dune nouvelle vision du risque auprs des autres responsables, et mme, au nal, dans lentreprise toute entire. Mais au-del de ce rle minent, ils doivent se montrer capables de transformer la dmarche traditionnelle de gestion du risque informatique en un potentiel incontournable de valeur.

Valoriser les potentiels inexploits de la gestion du risque informatique


Dans un contexte instable et en volution permanente, la prise de risques et laptitude limiter leurs effets sont stratgiques pour la croissance de lentreprise.

Lancer de nouveaux produits ou investir dans des ides novatrices reprsente un certain risque. Mais en cas de russite, comme en tmoignent de nombreuses entreprises du secteur de la pharmacie et de la nance, les bnces sont normes. Les entreprises capables dinnover savent que le risque est un vritable levier pour la croissance de leurs activits. Cest pourquoi, plutt que dcarter le danger, ces rmes privilgient le dveloppement, dans un environnement pourtant marqu par lincertitude des rsultats. Elles adoptent donc une approche adapte pour limiter lventualit dun chec.
Un nouveau rle pour les DSI : gestionnaires du risque

Lorsque des dmarches de gestion du risque concernant linformatique et les infrastructures sont engages, cest rarement dans lide den faire un levier de comptitivit pour lentreprise. Il y a diffrentes raisons cela, mais qui tiennent pour lessentiel aux limites de la dmarche des dirigeants informatiques pour cerner le risque et y rpondre. Si vous considrez la gestion du risque informatique exclusivement en termes de silos dinformations et de ressources, vous vous empchez dapprhender de manire globale les activits mtier et le chiffre daffaires de lentreprise.

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 4

De mme, au lieu de tirer parti des obligations rglementaires imposes lentreprise comme un bouclier contre des menaces effectives, elles sont traites comme une simple liste de contrle des oprations informatiques excuter. Toujours selon cette dmarche limite, les volutions apportes linformatique, par exemple la virtualisation et les services partags, sont perues comme des solutions des problmes techniques, sans aucune prise en compte de limpact sur lentreprise. Dune manire gnrale, les DSI considrent la stabilit oprationnelle, la disponibilit des quipements, la protection des informations et les plans de reprise dactivit comme lultime objectif de la gestion du risque informatique. Mme si ces actions sont bien entendu excellentes pour une gestion efficace du risque informatique, le rle quelles jouent dans les processus mtier ne doit pas pour autant tre lud. Il est frquent que les responsables informatiques ne peroivent pas jusquo ces actions protgent lentreprise. Ils ne prennent pas non plus la pleine mesure du vritable let de protection quils offrent, et qui permet lentreprise de souvrir de nouveaux marchs, dengager des partenariats mondiaux et de se dvelopper. Ils ne sont tout simplement pas accoutums remettre linformatique dans la perspective dune dmarche privilgiant la rduction du risque pour lentreprise ou la cration de nouveaux potentiels de chiffre daffaires. y regarder de plus prs, linformatique a toujours t considre comme un centre de cots. Avec la pression croissante qui pesait sur la rduction des cots informatiques, les DSI ont eu davantage tendance utiliser la gestion du risque informatique pour contenir leurs cots qu mettre en place des actions novatrices axes sur la rduction des cots dexploitation et des risques. Vu sous cet angle, il semble difficile pour les DSI de considrer linformatique comme un levier de croissance pour lentreprise. Dautre part, si elle perdure, cette approche peut conduire carter des potentiels de croissance pourtant pertinents, la plupart du temps pour des raisons de surestimation des risques associs. Limmobilisme li cette vision est un vritable problme dans un contexte marqu par les changements acclrs et des activits intgres mondialement. Selon lenqute IBM Global CEO 2008 : opportunits pour le DSI , les PDG, ainsi que dautres hauts dirigeants dentreprises, expriment leurs proccupations quant limmobilisme, dans le contexte actuel.2 La capacit exploiter des potentiels lchelle de la plante ne repose que sur la dtermination conduire le changement, et pas seulement y ragir. La prise de risque est dabord une question de motivation.

Qui se trouve aux avant-postes en matire de gestion du risque ? Malgr le peu denclin des informaticiens pour la prise de risque, les DSI sont de plus en plus aux commandes de la gestion du risque lchelle de lentreprise. Selon lenqute IBM Global CFO Study 2008 ,1 25 % des directeurs nanciers, comme dautres hauts responsables nanciers, indiquent que les directeurs des systmes dinformation sont en meilleure position pour matriser les risques, aprs les directeurs nanciers et les PDG. Lenqute indique toutefois que la proportion de directeurs nanciers et de PDG occupant un rle prpondrant dans ce domaine ira en dcroissant au cours des trois prochaines annes. Les directeurs nanciers verraient bien les DSI prendre la relve.

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 5

Points cls

Percevoir le risque dun point de vue global


Du fait de lomniprsence de linformatique dans la plupart des activits des entreprises, il va sans dire que les risques auxquels sexpose une organisation dcoulent de ceux lis linformatique et linfrastructure physique associe. Les hauts dirigeants des entreprises sont de plus en plus conscients de la ncessit dune meilleure gestion du risque informatique. Selon ltude IT Governance Global Status Report 2008 mene par lITGI (IT Governance Institute), 62 % des PDG et des DSI interrogs ont pris, en 2007, des mesures destines amliorer la gestion des risques, contre 45 % en 2005 et 18 % en 2003.3 Il nen reste pas moins quaborder la gestion du risque informatique sous langle des silos dinformations rend plus difficile la moindre volution relle. Culturellement, les risques informatiques sont rpertoris en catgories strictes et donc abords, par exemple, en termes de disponibilit des systmes, de scurit des accs et de plan de reprise dactivit. Cette vision analytique lude les relations dinterdpendance, ce qui peut provoquer un dfaut dapprciation du risque global auquel une activit ou un processus mtier peut tre expos. Limportance de cet aspect va bien au-del des enjeux de protection. Il a un impact important sur la croissance de lentreprise. Prenons lexemple dune mise niveau technologique destine faciliter le dveloppement dune banque lchelon mondial. Si lon peroit le risque informatique en termes de silos dinformations, il est strictement impossible pour les responsables mtier de comprendre la ralit des menaces potentielles qui psent sur les actifs de la socit. En outre, aucune mise en perspective ne permet de relier les besoins de lentreprise en termes de comptitivit et de rsilience et leurs fonctionnalits associes en termes de ressources informatiques et dinfrastructure. Une entreprise se doit donc de disposer dune vue globale et unie de lensemble des risques auxquels elle doit faire face, sans exception. Lorsquils sont capables denvisager le risque globalement, les responsables informatiques sont mieux mme de percevoir le lien avec les activits mtier. Disposant ainsi dun point dobservation omnidirectionnel, ils sont dans une position idale pour matriser lensemble des menaces potentielles qui psent sur lactivit. Ils savent dans ce cas ragir ces menaces (catastrophes naturelles, actes malveillants, accidents et dsordre oprationnel), tout en percevant simultanment lensemble des consquences ventuelles pour les actifs et les ressources de lentreprise (personnel,

En adoptant une approche globale de la gestion du risque, les directeurs des systmes dinformation disposent dune vue unie des menaces qui psent sur lentreprise et de leurs consquences.

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 6

Points cls

informations, matriels, logiciels et installations physiques). Par ailleurs, ils prennent mieux la mesure de la dynamique du risque, en tant absolument conscients que des enjeux de stabilit oprationnelle en apparence ngligeables, par exemple des capacits insuffisantes, sont susceptibles de se transformer en pertes lourdes sils ne sont pas matriss. Par leur parfaite connaissance des systmes sur lesquels reposent chacune des activits mtier, les DSI matrisent davantage les dlais de reprise de lexploitation en fonction de critres de priorits. Par ailleurs, ils identient plus facilement les moyens et lchelonnement ncessaires aux volutions de linformatique. Et cest parce quils connaissent leffet de levier pour lentreprise des actions de rduction du risque informatique quils sont les mieux placs pour promouvoir la dmarche auprs de la direction.

Remettre plat lensemble de la gestion du risque informatique


En adoptant une approche globale de la gestion du risque, les directeurs des systmes dinformation disposent dune vue unie des menaces qui psent sur lentreprise et de leurs consquences.

Manifestement, les DSI sont appels adopter une approche largie et oriente mtier de la gestion du risque informatique. Au nal, il sagit bien dun lment essentiel de la mise en cohrence stratgique de la fonction Informatique et de lentreprise. En effet, elle exige des DSI quils assument leurs fonctions en termes de rapport risques/bnces, qui est bien le langage quemploie le comit de direction. Une approche oriente mtier considre les ds relatifs la gestion du risque informatique sous langle des processus mtier. Il sagit, dans ce cadre, didentier les risques en corrlant les processus de lentreprise et les risques potentiels lis linformatique. Lanalyse des dpendances permet ainsi didentier les modalits dinteraction entre les activits mtier et des lments spciques de linformatique et de linfrastructure de lentreprise. En structurant ensuite les activits informatiques en diffrentes couches, il est plus facile de revenir aux causes sous-jacentes relevant de linformatique. Une des approches consiste valuer les risques informatiques en termes de processus mtier et de rsultats. Les rsultats mtier et leurs risques associs sont identis pour chaque processus informatique. Prenons comme exemple une action de conduite du changement. Dans ce cas, le changement peut concerner la technologie (consolidation des centres informatiques, nouvelles congurations), mais aussi des volutions des activits mtier (oprations dacquisitions, rationalisation des cots). Les risques envisageables dans ce contexte portent sur les dures darrt des systmes, les pertes dinformations, les retards de traitements systme et les capacits insuffisantes des ressources. Pour lentreprise, ces rsultats sont tous reprsentatifs de problmes de prise en charge par linformatique, quil sagisse dune

Lanalyse des dpendances permet de mieux comprendre, avant leur apparition, lorigine informatique des problmes potentiels que peut rencontrer lentreprise.

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 7

planication inadapte, dun besoin de dploiement rapide ou de labsence de ractivit. Il est possible den trouver la cause dans une conception incorrecte des processus, mais aussi dans une ralisation inadapte (parfois lie des problmes de formation), ou encore dans une raction inapproprie face un problme. Lessentiel est de revenir lorigine dune situation nfaste pour lentreprise, et en particulier, de mettre en lumire les causes profondes reposant sur les processus.
Un cadre structur de gouvernance est dune importance stratgique

Les avantages des approches fondes sur les processus pour la gestion du risque informatique En adoptant des approches bases sur les processus, les entreprises mettent davantage en lumire leurs lacunes et la ncessit daller plus loin en matire de gestion du risque informatique. Selon ltude IT Governance Global Status Report 2008 , les PDG et les DSI qui ont implment la mthodologie COBIT au sein de leurs entreprises avaient davantage tendance considrer la gestion du risque informatique comme trs importante par rapport aux autres dirigeants interrogs (57 % contre 44 %). Par leur dmarche plus dtermine en la matire, ces entreprises tendent naturellement dynamiser la cration de valeur mtier.

Sans un cadre robuste de gouvernance, il ny a pas de gestion du risque satisfaisante. Ce cadre permet de mettre en place les politiques, les contrles et les rgles oprationnelles qui permettent aux responsables informatiques de grer les risques et de pondrer leur valeur pour lentreprise. Toutefois, pour tre efficace long terme, un cadre de gouvernance doit sadapter au contexte volutif dans lequel opre une entreprise. Des principes de gouvernance extrmement sophistiqus existent dj. Les DSI pourront donc tirer un prot immdiat des rgles et meilleures pratiques dj proposes en matire de gestion du risque informationnel. LITGI (IT Governance Institute) a dvelopp dexcellents principes de gouvernance, gnralement appliqus dans le monde entier et bass sur des standards ouverts. De son ct, la mthodologie COBIT (Control Objectives for Information and related Technology) propose un ensemble de bonnes pratiques, centres sur la gouvernance en matire de technologie et dinfrastructures, et qui englobent la gestion du risque. La spcicit de la dmarche COBIT est de se placer dans une perspective dexcution. Pour sa part, la mthodologie Val IT de lITGI est plus axe sur la matrise des investissements dentreprise fonds sur linformatique, gestion du risque comprise, avec pour objectif doptimiser le retour sur investissements.4 Par ailleurs, lISO (Organisation internationale de normalisation) et lOffice public britannique du Commerce, avec la mthodologie ITIL (IT Infrastructure Library), ont dvelopp des principes directeurs particulirement utiles en matire de gestion du risque informatique. IBM, de son ct, a ralis la synthse de ces bonnes pratiques en proposant les mthodologies PRM-IT (Process Reference Model for IT), CBM-BoIT (Component Business Model for the Business of IT) et Resilient Enterprise Blueprint, en y associant une feuille de route pour faciliter leur implmentation. Au-del dune meilleure rsilience, de la normalisation des processus mtier et de la mise en place de bonnes pratiques, la gouvernance conduit aussi une gestion plus efficace des risques affectant le chiffre daffaires de lentreprise. Outre une meilleure protection vis--vis des pnalisations dues au

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 8

Points cls
Les directeurs des systmes dinformation sont naturellement appels jouer un rle de premier plan dans la mise en place de processus structurs, capables de dynamiser la ractivit des entreprises face au risque et damliorer leurs capacits anticiper sur les menaces, les analyser et y rpondre.

titre des contrats signs, des rgles du secteur dactivit ou de la rglementation, elle favorise le dveloppement de lactivit et la matrise des contrats existants. Une entreprise veut connatre ses capacits assurer la continuit de ses activits, quelles que soient les menaces rencontres. Pour leur part, les clients exigent des garanties de protection de leurs informations, mais aussi de leurs autres actifs. Un cadre de gouvernance est donc la rponse adapte aux objectifs de gestion du risque. Mme si les normes et les dmarches mises en avant par chacune de ces mthodologies diffrent par leur terminologie, les recommandations quelles proposent en matire de gestion du risque informatique convergent :

Dnir le primtre de lanalyse du risque. Il sagit didentier les activits mtier, les initiatives et les lments technologiques et dinfrastructure de lentreprise qui doivent tre pris en compte dans la dmarche de gestion du risque informatique. Cibler et dnir les risques. La dmarche consiste associer chacune des activits mtier des menaces possibles et des ressources exposes des risques. Estimer la probabilit de la ralisation dun risque et son niveau dimpact. Il sagit de calculer la probabilit et la gravit dune atteinte aux activits mtier, pour disposer, au nal, dune vision globale des risques encourus. valuer les mesures de contrle. Il sagit ici de mesurer la qualit des procdures de contrle dj en place pour prvenir, identier et limiter les risques, en prenant en compte les cots par rapport la valeur cre. Apprcier le risque et laborer les actions et les rponses correspondantes. Lapproche consiste analyser les risques par rapport la volont de lentreprise, tablir les actions prioritaires de rduction du risque et dcider des investissements en fonction dune analyse cots/bnces. Mettre en uvre des actions visant rduire les risques. Cette tape consiste dvelopper, tester et mettre en place des plans dtaills de rponse aux risques. Assurer un contrle et un retour dinformations permanents. Il sagit ici dassurer la collecte permanente dinformations concernant les menaces affectant la dmarche de gestion du risque, son impact et son efficacit, puis dadapter les plans daction et les processus de gestion du risque en fonction de ces informations.

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 9

Points cls

Des processus structurs de ce type favorisent la ractivit des entreprises et leurs capacits anticiper sur les menaces, les analyser et y rpondre. Lobstacle de la complexit organisationnelle peut toutefois temprer leur mise en uvre. La gestion du risque entre de plus en plus dans les attributions des directeurs des systmes dinformation. En outre, la plupart de ces menaces appartiennent au primtre de contrle de linformatique et les DSI sont naturellement appels jouer un rle de premier plan dans la mise en place de ces processus, en sengageant dans des actions consistant :

Affecter les nancements et les ressources ncessaires aux dmarches danalyse du risque Proposer des orientations destines favoriser le dialogue entre les diffrents intervenants concerns et sassurer en permanence de la cohrence entre les objectifs mtier et la conformit avec les politiques de gouvernance de lentreprise Promouvoir lamlioration constante des processus Mettre laccent sur lintgration accrue de la notion de risque dans la gouvernance globale de lentreprise laborer des politiques de gestion du risque destines accompagner les activits de lentreprise.

Le rle important du personnel, de lorganisation et de lautomatisation

lvidence, la direction dune entreprise ne peut que se montrer trs favorable des programmes de gestion du risque informatique capables de mettre en vidence des menaces potentielles pour ses activits, tout en proposant des rponses plus souples et moins coteuses ces risques. Les DSI ont ici une opportunit exceptionnelle de raliser ces objectifs en levant les obstacles lis au personnel, lorganisation et lautomatisation :
Lefficacit des dmarches de gestion du risque informatique repose la fois sur une culture centre sur le risque, sur une dtermination sans faille des dirigeants de lentreprise et sur des processus automatiss destins faciliter lanalyse et la rsolution des problmes.

Personnel. Pour tre vritablement efficace, la gestion du risque doit dpasser les limites dun simple programme. Elle doit sintgrer profondment dans ltat desprit du personnel de lentreprise. Une entreprise a lobligation de dvelopper une vraie culture centre sur le risque, adapte au large ventail de menaces auxquelles elle a faire face, mais en y adjoignant une stratgie de rponse pour les limiter. Plutt que de privilgier la raction aprs coup, les programmes de formation en la matire doivent prparer les collaborateurs de lentreprise dtecter et identier les risques, et y rpondre. Chacun des employs dune entreprise doit se sentir vritablement partie prenante de la protection de lentreprise et de la cration de valeur.

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 10

Points cls

Organisation. Si le soutien de la direction la gestion du risque informatique va de soi, lefficacit de la dmarche ncessite des approches complmentaires. Les processus de gestion du risque, notamment ceux que dcrit la mthodologie COBIT, doivent saccompagner de procdures concernant la continuit de lactivit et de principes de gouvernance centrs sur le risque, selon une approche descendante. La dmarche ncessite une intgration stratgique dans la bre mme de lentreprise, et ceci, an de dcompartimenter les sources de risques et de matriser compltement les dpendances et les ruptures dexploitation potentiellement nfastes pour lactivit. Automatisation Lautomatisation facilite la gestion du risque informatique selon deux axes importants. Elle permet tout dabord de rduire la complexit de lanalyse et de la diffusion dinformations concernant les risques stratgiques. En effet, plus la taille dune entreprise est importante, ce qui induit davantage encore dvolutions mtier et technologiques, plus les processus mis en jeu sont complexes. Deuximement, lautomatisation facilite lvaluation et la rduction des risques en conditions relles. Lutilisation dapplicatifs de gestion des activits mtier et des services, de suivi des procdures de contrle et de supervision de la scurit permet de limiter la mise contribution des ressources, grce des diagnostics danalyse de cause effet et des fonctions didentication et de raction (sense-and-respond). Lentreprise peut ainsi plus facilement identier les risques, dclencher des procdures anticipes, mais aussi simplier les rponses et en rduire les cots, et enn, rationaliser les processus de gestion du risque.

Cest en harmonisant le niveau de rponse au risque du personnel de lentreprise, de lorganisation et des processus automatiss quune entreprise peut tirer davantage de valeur mtier de ses initiatives de gestion du risque.

Cest sur ces domaines que les entreprises doivent faire porter leurs efforts, tout en pondrant de manire permanente leur impact pour une gestion efficace du risque informatique. Une dmarche de sensibilisation au risque lchelle de lentreprise par exemple, peut tre renforce par une formation interne. Cependant, une fois ralise, cette formation ne donnera pas pour autant aux employs de lentreprise les processus ncessaires pour une action sur le terrain. linverse, le personnel form aux processus de rponse au

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 11

Points cls

risque ne seront pas mme dapporter de vritables solutions des problmes sans une certaine automatisation. Tout dsquilibre en termes de qualit de rponse dans ces trois domaines conduit un niveau insuffisant de cration de valeur par rapport aux investissements raliss. Cest en amliorant en permanence son approche dans les trois domaines quune entreprise peut obtenir les meilleurs rsultats.

Figure 1. Lefficacit de la dmarche de gestion du risque repose sur lharmonisation des investissements dans le personnel, lorganisation et lautomatisation.

Optimiser le rapport risques/bnces : le rle stratgique des DSI


Aujourdhui, les directeurs des systmes dinformation se doivent de considrer la gestion de linformatique comme un levier doptimisation de la cration de valeur, intgrant la limitation de la prise de risque.

Compte tenu du rle toujours plus stratgique des DSI au sein du comit de direction, les attentes en matire de gestion du risque informatique sont plus leves que jamais. Les directeurs des systmes dinformation se doivent de matriser le cot rel des risques informatiques, ce qui signie quils doivent connatre parfaitement limpact de leurs dcisions sur le chiffre daffaires, la dlisation des clients et la comptitivit. Dans un monde orient sur la cration de valeur, la gestion informatique doit se concentrer sur la ralisation du meilleur rsultat en limitant au maximum les risques (gure 2). Cest ici quintervient la notion de budgtisation du risque.

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 12

Mettre en place un budget de risque

Points cls
Grce cette dmarche, les DSI sont mme doptimiser les bnces pour lentreprise en investissant leur capital de risque de la manire la plus efficace possible.

La budgtisation du risque consiste crer un cadre permettant de dnir les risques quil est possible de prendre, compte tenu des enjeux. Similaire celle des responsables nanciers, lapproche consiste affecter des ressources suffisantes pour rpondre des risques informatiques identis , concernant, par exemple, la disponibilit de services. Par ailleurs, les DSI doivent provisionner un budget plus important lorsque les risques encourus sont vritablement inconnus. Considrons par exemple la cration dun nouveau portail destin rduire la perte de clientle, ou la mise en place de capacits largement suffisantes pour rpondre des volumes de transactions prvisionnels pour un produit nouveau. Les diffrentes tapes mises en uvre pour rduire les risques informatiques rencontrs sont plus facilement matrisables que le taux dacceptation rel par les clients dun produit rcemment lanc ou lefficacit dun nouveau circuit de distribution. Grce la budgtisation du risque, les DSI peuvent prendre des dcisions justies, de concert avec les responsables mtier, pour affecter des ressources et optimiser ainsi les rsultats de linitiative. En utilisant leurs ressources de manire avise, les directeurs des systmes dinformation vitent aux responsables mtier dutiliser leur budget de risque sur dautres postes, plus difficiles grer, dans le cadre dune nouvelle action.
Ouvrir le dbat sur le risque

Cest un fait, les managers naiment pas parler du risque. Il est videmment plus facile et moins perturbant den rester lide que les projets se drouleront comme prvu et quaucun incident ne viendra les bouleverser. Dans une telle atmosphre dvitement, les collaborateurs de lentreprise sont trs naturellement peu enclins faire remonter les problmes susceptibles davoir un impact important sur un projet. Ils attendent souvent trop longtemps, en prenant tardivement en compte les risques alors quune solution informatique se trouve dj en production, et ils deviennent malgr eux les hros du moment. Lorsquune entreprise persiste dans ce type de culture, elle se trouve oblige de ragir aux problmes lorsquils apparaissent, et bien souvent dans une situation de crise.

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 13

Points cls
Lentreprise attend des DSI quils se tournent vers leurs collgues pour lesquels le risque est une priorit et quils dmontrent que linformatique peut rpondre de manire anticipe un risque, tout en dynamisant la cration de valeur.

La plupart des DSI ont suffisamment dexprience en matire de gestion de projet pour savoir que des projets sans risques nexistent tout simplement pas. Ils sont parfaitement conscients quil est plus efficace danticiper sur les ventuels problmes que dattendre de devoir y ragir. En dialoguant avec dautres dirigeants pour lesquels le risque est une notion prioritaire (directeurs nanciers, directeur de la gestion des risques, responsables de la continuit de lactivit), les DSI peuvent mieux sensibiliser lentreprise la notion de risque et favoriser une culture positive qui encourage un retour dinformation rapide. Amens collaborer avec des responsables de lignes dactivit, et mme des intervenants extrieurs (investisseurs, fournisseurs, clients, organismes dvaluation de solvabilit, organismes de tutelle), les directeurs des systmes dinformation sont en position idale pour promouvoir les modalits dune collaboration oriente sur la rduction du risque informatique, et mieux encore, pour indiquer comment linformatique peut anticiper sur les risques et dynamiser la cration de valeur.
Construire un argumentaire pour une gouvernance centre sur le risque

Une gouvernance centre sur le risque doit permettre dintgrer des quipes lchelle de lentreprise et de responsabiliser chacun vis-vis des notions de risque et de rsilience.

Pour assurer une gestion du risque sans discontinuits et oriente sur lanticipation, une gouvernance centre sur le risque est indispensable. Quelle que soit sa forme, la gouvernance centre sur le risque permet aux dirigeants de lentreprise de disposer dune vision plus globale en la matire, en intgrant les quipes charges de ce domaine lchelle de toute lentreprise et en responsabilisant chacun aux notions de risque et de rsilience. Parce quils comprennent les dpendances organisationnelles gnratrices de risque, les collaborateurs de lentreprise sont mieux mme de prendre des dcisions courantes susceptibles dinuer positivement sur les risques auxquels lentreprise est expose. Par ailleurs, les responsables de lignes dactivit voient plus loin que les problmatiques de leurs propres organisations, et ils disposent des moyens de grer les priorits de leurs investissements et de privilgier les meilleures rponses pour lentreprise. Les mthodologies COBIT et Val IT, entre autres, permettent daccompagner et de contrler ces dcisions, par des moyens spciques danalyse du risque en fonction des bnces potentiels.

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 14

Points cls

Une gouvernance centre sur le risque permet aux dirigeants de lentreprise dutiliser la gestion du risque informatique comme un levier de rsilience, mais aussi comme un bouclier de protection de la technologie et de linfrastructure physique, et donc au nal, comme un facteur de dynamisation de la croissance. Les DSI ont manifestement tout intrt promouvoir cette vision de la gestion des risques pesant sur linformatique et linfrastructure physique associe. En premire approche, leur dmarche consiste liminer les diffrents silos informatiques gnrateurs de risques et proposer une vision unie pour mettre en lumire les interdpendances fonctionnelles et lensemble des menaces et des impacts potentiels sur lactivit, la technologie et linfrastructure. Ensuite, les DSI doivent tendre la logique globale de gestion du risque au reste de lentreprise, en aidant les responsables de lignes dactivit comprendre lensemble des risques auxquels sont exposs leurs propres processus. La plupart dentre eux ne sont tout simplement pas conscients des risques lis aux autres secteurs, ou de ceux queux-mmes font courir aux autres. Une vision globale est donc absolument essentielle, car cest la seule capable de rvler les niveaux dexposition stratgiques, les pertes relles et les tendances. Par ailleurs, la dmarche permet de simplier le processus, parce quelle limine, de fait, toute discussion particulire concernant des risques spciques un secteur. En ce qui concerne la direction, qui doit rendre des comptes aux actionnaires et aux administrateurs, limportance dune vision consolide du risque est essentielle et les DSI ont un apport important dans la prcision de cette vision unie. Lorsquil sagit par exemple, pour les directeurs nanciers, dvaluer les points positifs de projets ou dinvestissements nouveaux, les DSI jouent un rle essentiel pour mettre en lumire les risques dans les calculs de rapport risques/bnces de la direction nancire. Les directeurs des systmes dinformation peuvent galement mettre en avant le fait que la rduction du risque informatique se traduit par une meilleure stabilit oprationnelle, et au nal, par une plus grande stabilit nancire.

Les DSI jouent un rle essentiel auprs des responsables des lignes dactivit pour promouvoir les avantages dune vision consolide du risque et combler les lacunes de dialogue et daction en matire de risque.

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 15

Points cls
Les DSI disposent des connaissances applicatives et des informations ncessaires pour simplier lanalyse, le contrle et les rponses aux situations de risque.

Les DSI savent parfaitement que des applications appropries peuvent simplier lanalyse et le contrle du risque, et quils disposent de lexpertise pour les dployer. Les applications danalyse de dpendances peuvent faciliter lidentication dventuels domaines ponctuels de dfaillance et des conits ventuels de partage des ressources. Ils peuvent galement aider les responsables de lignes dactivit mieux comprendre lorigine possible des risques, mais aussi en identier les prols, puis tirer parti de leurs capacits danticipation. Cest un fait que les dpendances globales lies aux activits, aux processus et aux applications mtier napparaissent pas clairement pour les responsables dactivit. Cest pourquoi les DSI ont un rle stratgique jouer pour mettre en vidence ces dpendances lchelle de lentreprise toute entire. Pour ce faire, ils peuvent utiliser des techniques de prdiction, destines prvoir les risques, et non se contenter de ragir aux problmes. En outre, leur connaissance des mthodologies doptimisation des processus, comme Six Sigma, peut galement apporter beaucoup en matire de rduction des risques tout en favorisant la mise en place dun langage commun avec les lignes dactivit, ventuellement dj utilisatrices de ces applications.
liminer la complexit

La complexit des infrastructures et des applications est une source de risques supplmentaires sans contrepartie en termes davantages mtier.

Les grandes infrastructures informatiques et physiques sont souvent complexes, mais la plupart dentre elles sont tout simplement devenues inextricables. Cest le cas, par exemple, dune infrastructure courante, base sur une multiplicit de plates-formes htrognes, et mise en uvre pour satisfaire des prfrences individuelles plutt que pour rpondre des exigences mtier spciques. Ces infrastructures se caractrisent non seulement par des dlais de raction accrus et des ressources ncessaires plus volumineuses, mais aussi par des risques supplmentaires sans contrepartie indiscutable en termes davantages mtier. Sagissant dapplications complexes, leffet produit est le mme, parce quil conduit accrotre la charge de gestion ncessaire sans apporter de valeur. Les DSI paient souvent le prix fort de la complexit informatique, mais aussi des risques qui en rsultent. Cest videmment eux qui manifestent la plus grande motivation sengager dans la simplication des infrastructures. Quil sagisse de consolidation et de virtualisation ou encore des architectures orientes service (SOA), lorsque les DSI sengagent dans des actions visant amliorer le retour sur investissement, ils adoptent tout naturellement une approche visant liminer la complexit.

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 16

Points cls

Crer un environnement favorisant la cration de valeur base sur la gestion du risque informatique

Mettre en place une vision unie et globale de la gestion du risque en reliant les silos de gestion du risque entre linformatique et lentreprise Sensibiliser lentreprise lensemble des menaces potentielles et tous leurs effets possibles sur les actifs et les ressources Se servir du levier de lanalyse des dpendances pour mettre en lumire les interconnexions fonctionnelles et les rapports de cause effet des risques Tirer parti des mthodologies, des standards ouverts et des bonnes pratiques en matire de gestion du risque informatique, au moyen de cadres de gouvernance structurs Amliorer la gestion du risque informatique par des volutions matrises au niveau du personnel, de lorganisation et de lautomatisation tablir un budget de risque, en affectant un capital de risque bas sur des bnces potentiels Mettre en relation de manire priodique les responsables mtier et les partenaires externes de lentreprise pour liminer les barrires culturelles et faire progresser les changes en matire de gestion du risque Promouvoir limportance dune gouvernance centre sur le risque liminer les lments de complexit de linformatique et de linfrastructure susceptibles daugmenter lexposition au risque et de rduire les bnces

Figure 2. Actions damlioration des performances en matire de rapport risques/bnces ensemble dactions proposes aux DSI.

Utiliser le rle stratgique des DSI pour promouvoir la gestion du risque informatique Au-del des aptitudes anticiper sur les risques pour dynamiser la croissance, la dmarche de gestion du risque offre aux DSI des opportunits de progression personnelle, dans un contexte o ils sont appels dvelopper de nouvelles relations, tendre leur primtre dinuence et renforcer leur crdibilit au sein du comit de direction.

Les directeurs des systmes dinformation ont devant eux une opportunit unique de dmontrer leur leadership au niveau de lentreprise en favorisant un meilleur impact en matire de rapport risques/bnces de linformatique auprs des directeurs nanciers et des responsables de lignes dactivit. Mise entre des mains comptentes, la gestion du risque informatique est un gisement exceptionnel de cration de valeur, avec comme pralable la ncessit dune mutation de lapproche traditionnelle des DSI en matire de risque, faute de quoi ils ne pourront saisir les potentiels de croissance crs. Au-del de linnovation et du dveloppement du chiffre daffaires, une gestion anticipe du risque peut tre une source dvolution personnelle, en favorisant les relations, linuence et la crdibilit stratgique des DSI au sein du comit de direction.

Mthodologie de gestion du risque informatique pour les Directeurs des Systmes dInformation : un levier exceptionnel de cration de valeur et de croissance Page 17

Conclusion
La plupart des dirigeants dentreprises sont conscients de la relation de cause effet entre croissance et risque. Par leur participation de plus en plus stratgique aux dcisions, les directeurs des systmes dinformation doivent dpasser la technique, bien au-del de la simple prvention des menaces, et considrer le risque dans une perspective davantage globalise et centre sur les activits mtier, avec pour nalit, la cration de potentiels. Lentreprise attend des DSI quils cessent daborder la gestion du risque en termes de silos dinformations et quils mettent en place une dmarche axe sur la ralisation du plein potentiel de linformatique pour la cration de valeur. Par leur connaissance des applications et leur vision globale de lentreprise, ils sont en position idale pour aider les directeurs nanciers et les responsables mtier exploiter le gisement de croissance quoffre la gestion du risque informatique. Mieux encore, par leur dmarche proactive axe sur la promotion et la mise en uvre dun cadre de gouvernance centr sur le risque, les directeurs des systmes dinformation sont aux avant-postes pour dvelopper au sein de lentreprise des leviers capables de contenir les crises, mais aussi de favoriser le prot et la cration de valeur.
Pour de plus amples informations

Pour plus dinformations sur la gestion du risque informatique et la cration de valeur, contactez IBM ou votre partenaire commercial IBM, ou visitez :
ibm.com/cio/fr

IBM France Tour Descartes La Dfense 5 2, avenue Gambetta 92066 Paris La Dfense Cedex

La page daccueil dIBM est accessible ladresse ibm.com/fr IBM, le logo IBM et ibm.com sont des marques dInternational Business Machines Corporation aux Etats-Unis et/ou dans dautres pays Ces informations concernent les produits, programmes et services commercialiss par IBM France et nimpliquent aucunement lintention dIBM de les commercialiser dans dautres pays. Les rfrences aux produits, programmes et services IBM nimpliquent pas que seuls ces produits, programmes et services peuvent tre utiliss. Tout produit, programme ou service quivalent peut tre utilis. Les matriels IBM peuvent contenir des composants neufs. Dans certains cas, le matriel peut ne pas tre neuf et peut avoir t dj install. Ceci ne modie en rien le rgime des garanties contractuelles IBM applicables. Cette publication a uniquement un rle informatif. Les informations peuvent tre modies sans pravis. Contactez votre agence commerciale ou votre revendeur IBM pour obtenir les toutes dernires informations sur les produits et les services IBM. Cette publication contient des adresses internet non-IBM. IBM ne peut pas tre tenu responsable des informations publies sur ces sites. IBM ne fournit aucun avis juridique, comptable ou de contrle et ne garantit pas non plus que ses produits et services soient conformes la lgislation. Les clients sont responsables de la conformit la lgislation en vigueur applicable en matire de scurit. Les photographies de cette publication peuvent, le cas chant, reprsenter des maquettes. Copyright IBM Corporation 2008 Tous droits rservs.

IBM, Le juste quilibre entre risques et performances au sein dune organisation nancire intgre : tude internationale sur la fonction Finance Global CFO Study 2008 , octobre 2007. www.ibm.com/gbs/2008cfostudy Ltude Global CFO Study 2008 a t ralise en collaboration avec la Wharton School (Universit de Pennsylvanie) et lEconomist Intelligence Unit. IBM, Lentreprise de demain : Global CEO Study , juin 2008. www.ibm.com/ibm/ideasfromibm/us/ceo/ 20080505/index.shtml. IT Governance Institute, IT Governance Global Status Report 2008. www.itgi.org/AMTemplate.cfm?Section= ITGI_Research_Publications&Template=/ ContentManagement/ContentDisplay.cfm& ContentID=39735 La synthse IT Governance Global Status Report 2008 est base sur une enqute internationale mene auprs de DSI et de PDG par PricewaterhouseCoopers pour lIT Governance Institute (www.itgi.org/). Les mthodologies COBIT et Val IT, bases sur des standards ouverts, sont accessibles gratuitement auprs de lIT Governance Institute.

CIW03045-FRFR-00

Vous aimerez peut-être aussi