Une approche intégrée pour une gestion efficace et efficiente des risques S.I. dans l entreprise

Transcription

1 Une approche intégrée pour une gestion efficace et efficiente des risques S.I. dans l entreprise Jean-Louis Bleicher Jean-Yves Oberlé 16 juin 2009

2 Avertissement Cette présentation reflète uniquement l opinion des auteurs et n engage aucunement les organisations pour lesquelles ils travaillent 2

3 Constat 1 : les pertes attribuables aux risques opérationnels augmentent Dans les établissements financiers et entreprises d investissement, les pertes liées aux risques opérationnels ne cessent d augmenter depuis quelques années L année 2008 est à cet égard significative Janvier : affaire JK, banque française (perte 4,9 Md ) Octobre : affaire BPN, banque française (perte 750 Mn ) Décembre : affaire BM, entreprise d investissement américaine (perte 50 Md $ - 4 banques françaises touchées à hauteur de quelques centaines de Mn ) L origine des pertes est due à un défaut de contrôle interne et externe 3

4 Constat 2 : dans le même temps les réglementations et les acteurs en charge du contrôle augmentent Dans le secteur financier ce ne sont pas les réglementations sur le contrôle interne qui font défaut SOX LSF Bâle 2 CRBF Ni les nombreux acteurs et structures internes ou externes en charge du contrôle ou de la réduction des risques SEC CB AMF Expertise comptable et commissariat aux comptes Organe délibérant et exécutif Comité d audit Responsables du contrôle permanent (dont les responsables de la sécurité) et du contrôle périodique 4

5 Constat 3 : de même que les moyens consacrés à la maîtrise des risques Des effectifs dédiés à la gestion des risques en croissance régulière Dans les banques françaises AFB 1,9% des effectifs exerçaient une fonction d inspecteur, auditeur, déontologue et 3% un emploi d analyste risque (fin décembre 2007) Des investissements en SI conséquents Les banques ont investi des centaines de millions d euros pour mettre en place des systèmes d information de gestion des risques afin de se mettre en conformité avec les exigences réglementaires Alors, pourquoi une gestion des risques aussi coûteuse pour un résultat aussi piètre? 5

6 Cause 1 : de nombreux experts d un niveau de compétence hétérogène et travaillant trop souvent en silo A l origine étaient les experts de la sécurité Appréciation Risques Conformité Sécurité Audit Assurances Communication reporting identification évaluation/ mesure Risques Conformité Sécurité Assurances suivi / contrôle réduction/ acceptation Surveillance Risques Conformité Sécurité Assurances Audit Traitement Sécurité Continuité d Activité Assurances Risques Conformité 6

7 Cause 2 : sur des bases différentes et en utilisant des référentiels spécifiques Les intervenants n ont pas toujours la même appréhension de l entreprise Découpage en processus vs découpage organisationnel Les modèles de gestion des risques peuvent différer Principes et règles d appréciation, de traitement, de surveillance et de communication Les dispositifs de contrôle s agrègent mais ne s articulent pas Audit interne, contrôles permanents, contrôles informatiques, etc. Les référentiels de travail sont différents Quels sont les points communs entre le référentiel d appréciation du risque informatique du responsable risques opérationnels, du responsable conformité informatique, du RSSI, du responsable des assurances informatiques, de l auditeur informatique? Peut-on améliorer cette situation? 7

8 Voie d amélioration 1 : une gouvernance efficace et efficiente de la gestion des risques Une politique de gestion des risques validée par le CA Des instances de pilotage et de coordination Un processus de gestion des risques unique et partagé intégrant la gestion de l inattendu Une gestion pragmatique des risques s appuyant sur la sécurité, la continuité d activité, le contrôle interne Appréciation Communication Processus de gestion des Risques Traitement Surveillance 8

9 Voie d amélioration 2 : des référentiels mis en cohérence et utilisés judicieusement, des acteurs compétents Les référentiels et les méthodes sont pléthores mais n expliquent jamais le comment faire RiskIT ISO ISO COBIT ITIL Une formation adaptée et une expérience professionnelle des acteurs de la gestion des risques 9

10 Voie d amélioration 3 : changer de paradigme Donner un autre sens La réduction des problèmes compliqués à leurs composants élémentaires ne convient plus pour l étude des systèmes économiques et sociaux actuels Considérer la problématique de la maîtrise des risques comme un problème complexe La théorie de la complexité nous amène à considérer l efficience des dispositifs de contrôle dans leurs interactions plus que dans la sophistication de chacune des composantes du contrôle Avoir une vision d urbanisation des dispositifs de contrôle La modélisation d un système de contrôle doit couvrir le champ des processus de l organisation, en faisant interagir les différentes fonctions de contrôle en s appuyant sur un process global 10

11 Voie d amélioration 4 : des systèmes d information de gestion des risques intégrés L organisation des contrôles est un ensemble d'éléments en interaction, regroupés au sein d'une structure régulée, ayant un système de communication (système d information) pour faciliter la circulation de l'information, dans le but de répondre à des besoins et d atteindre des objectifs déterminés Développer le concept de gouvernance des systèmes d information sécurisés sur l alignement à la gouvernance stratégique de l organisation Il faut toujours prendre le maximum de risques avec le maximum de précautions (Rudyard Kipling) 11