Risques viraux, défaillances logicielles entraînant une indisponibilité du service informatique, sinistres ou catastrophes naturelles induisant la destruction de data centers, non-conformité à la réglementation… On ne compte plus les cas de matérialisation des risques informatiques se traduisant par des pertes significatives, voire une paralysie partielle ou totale de l’organisation. Largement sous-estimé, le risque informatique n’est pas assez pris en compte. Pourtant, il induit souvent des impacts financiers (non-respect de contrat, délai de livraison), d’image, d’atteinte à l’outil de production ou de vol de secrets de fabrique.
L’actualité aidant et le niveau de maturité progressant, les organisations réfléchissent de plus en plus à la mise en place d’un système de management des risques qui s’intègrerait directement dans leurs dispositifs de gouvernance.
Initier une cartographie des risques
La réalisation d’une cartographie des risques informatiques doit en premier lieu prendre en compte les enjeux métiers et les activités les plus sensibles pour l’organisation, que ce soit en termes financiers, réglementaires ou d’image. La bonne appréhension des processus clés de l’organisation et l’implication des parties prenantes sont donc des impératifs préalables à toute activité de recensement des risques informatiques. La deuxième étape consiste à identifier les actifs matériels et immatériels les plus critiques, puis d’en réaliser un criblage en termes de valeur et d’importance vitale pour l’organisation. Enfin, qu’ils soient d’origine interne ou externe, l’ensemble des menaces et des évènements redoutés par l’organisation doivent être inventoriés. Ces évènements peuvent être classés en deux catégories : les évènements inhérents à la nature même de l’organisation, telle que la dépendance vis-à-vis d’une application clé développée en interne (événements endogènes), et les évènements exogènes comme les attaques virales, les intrusions ou les catastrophes naturelles.
Evaluer les risques
La pertinence de l’évaluation des risques repose largement sur la capacité des organisations à construire des tables de probabilité d’occurrence, pour les événements endogènes, qui collent le plus à leur réalité. Ces probabilités peuvent être majorées ou atténuées selon les faiblesses de l’entreprise et les moyens de protection qu’elle met en œuvre. La robustesse ou la faiblesse de ces moyens sont généralement appréciées grâce à un audit du système d’information, de sécurité ou des capacités de reprise de l’organisation. Pour asseoir les probabilités définies, il est donc essentiel de disposer d’un regard critique sur son niveau de protection des actifs informatiques et de disposer d’un historique des évènements passés.
La majorité des organisations a recours à une évaluation semi-qualitative des dommages et échelonne le niveau de risques en fonction de leurs impacts. Dans certains cas, l’exercice de quantification peut se révéler utile pour apprécier le poids du risque, voire son impact sur le capital économique. Dans ce type de cas, le recours à des outils de type actuariels devient incontournable.
Facteurs clés de succès
Certains facteurs garantissent le succès d’une cartographie des risques. La mise en place d’une approche pragmatique permet d’écarter d’emblée les actifs matériels et immatériels de moindre importance, pour ne se focaliser que sur les composants critiques. Ensuite, la capacité à identifier les interdépendances entre les risques, les isoler et les regrouper selon leurs natures est un bon moyen pour éviter les effets dominos potentiels. Enfin, l’implication des décisionnaires et l’inscription d’une cartographie des risques informatiques au sein de la cartographie globale de l’organisation permettent de transformer une action ponctuelle, en un processus pérenne, réactualisé tous les ans.
Ces dernières années, le sujet suscite davantage l’intérêt des Directions générales. Les fonctions risques disposent donc d’un soutien grandissant et de plus de moyens pour conduire ces analyses. Le principal défi aujourd’hui : inscrire la cartographie dans les autres filières concourant à la gestion des risques, c’est-à-dire l’audit et le contrôle internes.
Si vous êtes intéressé par ce sujet, ou que vous rencontrez ce type de problématique, n’hésitez pas à me contacter.