Le management par les risques informatiques

M.CLe développement continu des technologies de l’information (Web, mobilité, réseaux sociaux, Cloud computing…), le recours croissant à l’externalisation de fonctionnalités, la gestion de l’entreprise numérique étendue, l’implication croissante des métiers conduisent les entreprises à ajuster régulièrement leur stratégie, leur politique et leur organisation. Toutes ces évolutions sont autant d’opportunités permettant de créer de la valeur mais leur mauvaise maîtrise accroît le risque pour l’entreprise de ne pas atteindre ses objectifs.

Le management par les risques est donc une des dimensions importantes de la gouvernance de l’entreprise. L’AFAI (Association Française de l’Audit et du Conseil Informatiques) accompagne les parties prenantes concernées par le risque informatique en publiant deux ouvrages complémentaires pour favoriser le passage de la gestion des risques à la gestion par les risques informatiques.

Risk It est le référentiel de management du système d’information et des technologies par les risques. C’est à la fois un guide de principes directeurs et de bonnes pratiques. Il aide les entreprises à mettre en place une gouvernance ad hoc, à identifier et à gérer efficacement les risques informatiques.

Il a été réalisé par une centaine d’experts internationaux de l’ISACA (Information Systems Audit and Control Association) et adapté en langue française par l’AFAI, en coopération étroite avec d’autres associations francophones. Parallèlement, l’AFAI a élaboré un document sur la cartographie des risques informatiques, outil majeur du management des risques, au service du management par les risques.

Risk It : un référentiel et un guide utilisateur

Risk It considère le risque informatique comme un risque d’affaire/métier alors qu’il est trop souvent vu comme un risque technique réservé aux experts de l’informatique. Conçu pour servir de socle au management par les risques informatiques, en traitant à la fois des aspects de gouvernance et des principes de gestion, il s’appuie sur des normes reconnues comme COSO ERM, ISO 31000 et ISO 27005.

Il s’enrichit naturellement par des référentiels, normes ou méthodes plus spécifiques de tel processus ou activité (par exemple EBIOS ou MEHARI pour l’analyse des risques).

Risk It comprend deux documents :

• le référentiel Risk It, qui présente de façon détaillée le modèle de management par les risques informatiques reposant sur 3 domaines (gouvernance, évaluation, traitement), 9 processus et 47 bonnes pratiques ;
• le guide utilisateur Risk It, qui aide à mettre en place le modèle. Il fournit de nombreux conseils et outils d’aide à l’évaluation des risques, dont une cartographie s’appuyant sur 36 scénarios de risque informatique. Il propose également des bonnes pratiques de contrôle et de management tirées des référentiels COBIT et Val IT pour réduire les risques liés à ces mêmes scénarios.

Cartographie des risques informatiques

« État de l’art » (exemples, méthodes et outils) sur la cartographie des risques informatiques, l’ouvrage Cartographie des risques informatiques, concret et d’application, dresse un panorama des pratiques en montrant ce que font un certain nombre d’organisations témoins. Il vise à guider le lecteur désirant mener une démarche d’identification et d’appréciation des risques informatiques. Il traite de sujets de nature et de portée aussi différentes que les principaux modes de représentation des cartographies, la nécessité ou non d’une vision unifiée des risques au sein de l’organisation, les acteurs à impliquer. Il aborde également les facteurs clés de succès.

M.C