Société ontarienne d assurance-dépôts

Transcription

1 Société ontarienne d assurance-dépôts Gestion des risques liés aux technologies de l information : Rôle des conseils d administration et des comités d audit DAVID FLORIO, CPA, CA IT, PCI QSA, CRMA PARTNER, BUSINESS RISK SERVICES GRANT THORNTON LLP

2 Introduction par Jim Maxwell, Chef de l administration et des finances de la SOAD 2

3 Ordre du jour L importance de la technologie de l information (TI) La gouvernance des TI pourquoi est-ce important? Risques liés aux TI et contrôles Types de questions à poser Compréhension des réponses fournies 3

4 L importance des TI Dans le contexte commercial actuel, plusieurs forces du marché qui comprennent notamment les préoccupations en matière de sécurité ainsi qu une infrastructure vieillissante, exercent des pressions sur les ressources limitées en TI des Caisses populaires. Réaction face à la crise du marché Rentabilité x - productivité Confidentialité /sécurité Infrasctucture vieillissante Exigences réglementaires Maturation de la technologie Les pressions du marché ajoutent un élément de complexité et d incertitude dans l évaluation proactive que doit faire un établissement en matière de son milieu de TI 4

5 La gouvernance des TI pourquoi est-ce important? La TI est omniprésente dans l organisation; elle peut entraîner un nombre d enjeux et de possibilités Les membres du conseil n ont pas forcément des connaissances en TI, mais ils doivent remettre en question les stratégies et donner des directives à la direction L organisation peut être menacée si le conseil ne pose pas les bonnes questions Le conseil doit poser des questions pour éviter les situations critiques 5

6 Gouvernance des TI Portrait de la réalité Exemples de problèmes/violations potentiels Les erreurs humaines et les problèmes techniques auraient causé près des deux tiers des violations de données à l échelle mondiale en En 2011, le coût moyen par dossier en matière de violation de données représentait 247 $, ce qui le plaçait au 3e rang et était 27 p.100 plus élevé que la moyenne. Depuis 2005, 13 p. 100 des violations de données signalées par Privacy Rights Clearinghouse se sont produites dans le secteur financier. D ici à 2016, l incidence financière de la cybercriminalité s accentuera pour atteindre 10 p. cent par année en raison de la découverte constante de nouvelles failles. Symantec - Data Breach Trends & Stats 6

7 La gouvernance des TI pourquoi est-ce important? Les TI s avèrent stratégiques pour les caisses populaires Ne voudriez-vous pas savoir si les technologies de l information de votre caisse : Lui permettront de réaliser les objectifs fixés? Seront suffisamment adaptable et flexible? Assureront une gestion efficace des risques auxquels elle est exposée? Seront capables de déceler les occasions et de prendre les mesures appropriées? 7

8 Grille d analyse de l impact stratégique des TI Besoin faible à élevé au titre de la fiabilité des TI STRATÉGIE DÉFENSIVE Réglage usine Une panne du système d une minute ou plus entraîne des pertes commerciales Une réduction du délai de réponse au-delà d une seconde a de lourdes conséquences pour les utilisateurs internes et externes La plupart des activités principales sont en-ligne Le système ne nécessite qu une maintenance Faible différence stratégique ou pas de réductions considérables des coûts Mode appui Les interruptions de service récurrentes pouvant durer jusqu à 12 h n ont pas de conséquences graves Le temps de réponse à l utilisateur peut aller jusqu à 5 sec. pour les transactions en-ligne Les systèmes internes sont presque invisibles aux fournisseurs et clients. L extranet n est guère nécessaire La compagnie peut passer rapidement au mode manuel pour 80 % des transactions Le système ne nécessite qu une maintenance STRATÉGIE OFFENSIVE Mode stratégique Une panne du système d une minute ou plus entraîne des pertes commerciales Une réduction du délai de réponse au-delà d une seconde a de lourdes conséquences pour les utilisateurs internes et externes Les nouveaux systèmes laissent présager des transformations majeures des processus et du service Les nouveaux systèmes laissent présager une réduction importante des coûts Les nouveaux systèmes combleront les écarts en matière des coûts, service, performance des processus avec les concurrents Mode de renversement Les nouveaux systèmes laissent présager des transformations majeures des processus et du service Les nouveaux systèmes laissent présager une réduction importante des coûts Les nouveaux systèmes combleront les écarts en matière des coûts, service, performance des processus avec les concurrents Les TI représentent plus de 50 % des dépenses d immobilisations Les TI représentent plus de 15 % des dépenses totales de la Société Besoin faible à élevé au titre des nouvelles technologies de l information Source: Nolan, R. et McFarlan, F.W «Information Technology and the Board of Directors.» Harvard Business Review, octobre. Copyright 2005 Harvanrd Business School Publishing Corporation. All rights reserved. 8

9 Que doivent faire les conseils à cet égard? Agir en considérant la génération de valeur pour les intervenants Adopter un cadre de gouvernance des TI Poser les bonnes questions Mettre l accent sur les TI Alignement avec stratégie opé- rationnelle Création de valeur Gestion des risques Mesurer les résultats Alignement stratégique des TI Apport de valeur des TI Génération de valeurs pour les intervenants Mesure du rendement Gestion des risques Adaption de présentations élaborées par l IT Governance Institute 9

10 Cadre de gouvernance des TI Fournir une orientation Fixer les objectifs TI alignée sur les affaires TI exploite les occasions et optimise les avantages Ressources de la TI utilisées de manière responsable Risques de la TI gérés de façon adéquate Comparer Mesurer le rendement Activités de TI Augmenter l automatisation (génère de la valeur) Réduire les coûts (efficacité de l entreprise) Gérer les risques (sécurité, fiabilité et conformité) Adaption de présentations élaborées par l IT Governance Institute 10

11 Gestion des risques Tableau de bord des risques Catégorie de risques Crédit Exposition aux pertes liées aux prêts et aux placements à revenu fixe Taux d intérêt variation des taux du marché qui ont une incidence sur le capital et les bénéfices Liquidité capacité de faire face aux obligations financières et en matière de dépôts Réglementaire/légal exposition aux infractions portant sur les règlements, les lois et les accords juridiques Réputation impact sur les sociétaires, confiance du public entraînant une diminution du chiffre d affaires et des sociétaires Capital humain impact du désalignement des compétences, désengagement du personnel, et perte du capital de savoir Exploitation exposition due aux faibles processus et contrôles, panne technologique, perte d information et engagements non respectés envers les sociétaires/le personnel Appétit du risque Faible - Modéré Faible - Modéré Faible Faible Faible Faible Modéré Faible - Modéré Niveaux de risque actuel Tendance du risque Commentaires Que manque-t-il??? Les TI sont essentielles pour une entreprise. L échec dans la gestion efficace des activités peut entraîner des conséquences graves! 11

12 Gestion des risques liés aux TI La gestion du risque d entreprise par le conseil devrait reposer sur les activités suivantes: S assurer de la transparence relativement aux risques importants auxquels fait face l organisation Être conscient que la gestion du risque est la responsabilité du conseil Être conscient que la réduction du risque peut contribuer à la réalisation d économies Prendre en compte qu une approche proactive de la gestion des risques procure un avantage concurrentiel Insister pour que la gestion du risque soit intégrée dans les opérations de l entreprise Ce que vous ne voyez pas peut représenter un danger! Adapted from IT Governance Institute presentations 12

13 Gestion des risques liés aux TI 13

14 Risques et menaces Externes Internes Intentionnels Involontaires Accès non autorisé aux ressources Contamination par virus Attaques internes par des employés mécontents Erreurs ou omissions survenues au cours des processus de routine et projets courants Défaillances matérielles ou logicielles Incendie, inondation, panne d électricité, évacuation d urgence 14

15 Risques supplémentaires typiques liés aux TI Accès inapproprié aux données, programmes, matériel Transmission de données en clair Manque d authentification des parties qui effectuent des transactions Absence de piste de vérification Sauvegarde et restauration des données non testées Modifications de programmes non autorisées et non testées Non-gestion des préposés aux TI Politiques vagues 15

16 Contrôles relatifs aux TI Contrôles à l échelle de l entité Alignement stratégique de la TI sur la stratégie de l entreprise Contrôles d accès Contrôles logiques visant à protéger les renseignements confidentiels et sécuriser les systèmes et les données Mesures de sécurité physiques afin de protéger les biens et les données informatiques Contrôles des modifications Confirmation que les modifications apportées aux systèmes sont bel et bien approuvées et testées avant la mise en service Contrôles des opérations relatives aux TI Confirmation de la disponibilité des systèmes (p. ex. PCO/PRS) Gestion des fournisseurs de services externalisés Accès de connexion 16

17 Pourquoi les contrôles d accès sont-ils importants? Examinons la répartition des tâches La sécurité des TI permet une répartition des tâches adéquate Initiation Garde 1 Autorisation Rapport 3 Tenue de dossiers 17

18 Questions d ordre tactique à poser Savons-nous où sont nos données? Savons-nous par qui nos données sont consultées? Savons-nous si les modifications aux systèmes donnent les résultats attendus sans nuire aux autres fonctions? Avons-nous suivi le processus d habilitation approprié pour les personnes qui ont des privilèges spéciaux (administrateurs)? À quel point avons-nous mis à l essai les mesures relatives à la sécurité des TI, les réactions aux incidents informatique, les PCO, les PRS et les programmes de gestion des crises? Pourrions-nous savoir si nos données ont été piratées ou si nos systèmes ne fonctionnent pas? Les projets sont-ils Fondés sur une solide analyse de la rentabilité? Gérés en fonction des enjeux et du registre des risques et des rapports d activité précis? Mis à l essai en fonction des besoins définis avant leur mise en oeuvre? 18

19 Questions d ordre stratégique à poser Questionnement Pensons-nous que cela ne pourrait pas nous arriver? Le service informatique et l entreprise communiquent-ils ensemble? Savons-nous quelles sont les dépenses à l échelle de l organisation? Connaissons-nous le coût potentiel de fuites et détournements de données? Les TI et les politiques sont-elles documentées en bonne et due forme? Une planification adéquate de la relève a-t-elle été prévue pour le groupe des TI? 19

20 Gouvernance des TI - résumé Objectifs Comprendre les enjeux et l importance stratégique des TI S assurer que l entreprise peut poursuivre ses opérations Vérifier que l entreprise peut mettre en oeuvre les stratégies requises pour l élargissement de ses activités dans l avenir But S assurer que les attentes relatives aux TI soient satisfaites et que les risques liés aux TI sont atténués Position La gouvernance d entreprise implique une série de relations entre la direction de l entreprise, son conseil d administration, ses actionnaires et d autres intervenants. Elle fournit aussi la structure qui permet : d établir les objectifs de l entreprise et les moyens de les atteindre De décrire la façon dont en entend s assurer du suivi du rendement. Adaption de présentations élaborées par l IT Governance Institute 20

21 Éléments à retenir Il n existe pas de solution unique Il est important de déterminer s il existe une stratégie en matière des TI, et de demander si elle est liée à la stratégie de l entreprise Il est important de comprendre comment l infrastructure TI de l établissement pourra supporter efficacement les besoins d affaires actuels et futurs Il faut s assurer de l existences de mécanismes qui permettent au conseil d évaluer périodiquement la capacité de l établissement en matière de TI 21

22 Documents de référence Cadres en matière de TI ITIL ISO/CEI 38500:

23 Questions, réponses et discussion David Florio (416)