Le management des risques informatiques

Dimension: px

Commencer à balayer dès la page:

Download "Le management des risques informatiques"

Thibaud Larouche
il y a 6 ans
Total affichages :

1 Le management des risques informatiques Cadre éprouvé, nouveaux enjeux 1 Le management des risques informatiques : cadre éprouvé, nouveaux enjeux. 5 juin 2012.

2 Le groupe ACCOR : quelques données Présence dans 92 pays, hôtels, chambres (fin 2011) collaborateurs sous enseigne Accor Plusieurs modes de détention : hôtels filiales (50%), managés (24%), franchisés (26%) Une gamme de marques allant du très économique (Hotel F1, Ibis Budget) au luxe (Sofitel), standardisées (Ibis, Novotel ) ou pas. En 2011 : Chiffre d affaires de MEUR Résultat net part du groupe de 27 MEUR Capitalisation boursière au 31/12/2011 : MEUR 2 Le management des risques informatiques : cadre éprouvé, nouveaux enjeux. 5 juin 2012.

3 Plan Qu est-ce qu un risque? Le risque informatique La gestion du risque informatique : principes, difficultés pratiques Nouveaux risques informatiques: Les réseaux sociaux Le «cloud» Le «bring your own» 3 Le management des risques informatiques : cadre éprouvé, nouveaux enjeux. 5 juin 2012.

4 Qu est-ce qu un risque? Un risque est un aléa qui tend à empêcher une entreprise d atteindre ses objectifs. (L opposé du risque est une opportunité). Un risque se caractérise par trois éléments Une vulnérabilité Des facteurs de risque (représentant une menace) Un impact (quantifié par une probabilité d occurrence et une perte moyenne) 4 Le management des risques informatiques : cadre éprouvé, nouveaux enjeux. 5 juin 2012.

5 Qu est-ce qu un risque? Exemples: une émeute à proximité d un hôtel (menace) un effectif de sécurité insuffisant (vulnérabilité) un incendie (impact) une mise à jour urgente d un applicatif complexe placée en production un vendredi soir (facteurs de risque) une gestion lacunaire des anomalies de production (vulnérabilité) un plantage dans la nuit du week end (impact) Dans l approche la plus répandue de la gestion des risques, on ne prend en compte que les effets négatifs du risque (coût du risque / coût du contrôle) 5 Le management des risques informatiques : cadre éprouvé, nouveaux enjeux. 5 juin 2012.

6 Le risque informatique Le risque informatique nait de l usage de l informatique, c est-à-dire : De l informatisation des données, qui facilite leur copie et leur diffusion sécurité des données (confidentialité, intégrité, disponibilité) De l utilisation des données dans des traitements informatiques confiance que l on peut faire à ces traitements pannes de ces traitements Le risque découle directement, dans ce cas, de l informatisation des données et des traitements Le risque informatique peut aussi provenir plus immédiatement des métiers utilisateurs, ou du pilotage de la fonction IT elle-même. 6 Le management des risques informatiques : cadre éprouvé, nouveaux enjeux. 5 juin 2012.

7 La gestion des risques informatiques L objet de la gestion des risques informatiques est double: L identification des risques: De leur probabilité d occurrence De leur impact moyen Le choix de la réponse à apporter: Acceptation du risque Refus total ( on arrête l activité génératrice de risque) Mitigation (mise en place de contrôles ou optimisation du process) Transfert (assurances) Le document de base : la cartographie des risques. 7 Le management des risques informatiques : cadre éprouvé, nouveaux enjeux. 5 juin 2012.

8 Quelques principes Les risques informatiques sont avant tout l affaire des métiers utilisateurs de l informatique car ils portent, directement ou indirectement, sur les données qui servent aux métiers utilisateurs La DSI est un acteur incontournable de la cartographie des risques informatiques d une entreprise mais elle ne doit pas en être responsable. La mise en place de contrôles n est pas suffisante pour gérer efficacement le risque. Le dispositif de contrôle interne doit aussi: Prendre en compte le contexte des processus concernés Etre basé sur une analyse de risque Etre évalué et adapté régulièrement (c est le rôle de l audit). 8 Le management des risques informatiques : cadre éprouvé, nouveaux enjeux. 5 juin 2012.

9 Les difficultés pratiques de la gestion des risques IT Quelques difficultés : Le caractère fastidieux des méthodes d analyse des risques Le manque d implication du top management, le manque de maturité de l organisation qui se livre à l exercice La faible élasticité des contrôles informatiques relativement aux risques encourus (difficulté pour estimer concrètement la perte moyenne, tendance à tout chiffrer de manière uniforme) Quelques bonnes pratiques: Disposer d une fonction «risques», impliquer le top management Fuir le dogmatisme, user du bon sens, procéder incrémentalement Savoir traiter les alertes Se souvenir de ce qui s est passé 9 Le management des risques informatiques : cadre éprouvé, nouveaux enjeux. 5 juin 2012.

10 Nouveaux risques IT Trois facteurs de risque nouveaux, qui trouvent leur source dans le caractère irrésistible de développements technologiques récents : Les réseaux sociaux (moteurs : les employés, les clients) Le «cloud» (moteur principal : le chant des sirènes) Le «bring your own» (moteur : les employés) 10 Le management des risques informatiques : cadre éprouvé, nouveaux enjeux. 5 juin 2012.

11 Nouveaux risques IT : les réseaux sociaux Risque d image Risque de divulgation d informations confidentielles Ne pas se cantonner à Facebook ou Twitter. Youtube est un réseau social, Doctissimo aussi. Deux volets pris en compte de façon inégale dans les entreprises Le comportement du personnel sur les réseaux sociaux Les interactions avec la clientèle, et notamment la gestion des réclamations Les «chartes d utilisation des réseaux sociaux» traitent surtout du premier volet. L interdiction ou la restriction est-elle la bonne réponse face à des réseaux ubiquitaires et irrésistibles? 11 Le management des risques informatiques : cadre éprouvé, nouveaux enjeux. 5 juin 2012.

12 Nouveaux risques IT : le «cloud» Le «cloud», concept vague et attractif qui peut désigner Un simple hébergement extérieur de serveurs Des services distants d infrastructure ou de bureautique (annuaire, suite Office ) La mise à disposition d un environnement de développement distant Des services de tierce maintenance applicative Des service de réplication et/ou de «push» de données Quatre enjeux principaux Garder la maîtrise de ce qu on met dans le «cloud» et notamment assurer la sécurité des données Garder la possibilité d apporter des changements à ce qui est dans le «cloud» Etre capable, à tout moment, de changer de prestataire ou de réinternaliser ce qui est dans le «cloud» La propriété des données dans le «cloud» 12 Le management des risques informatiques : cadre éprouvé, nouveaux enjeux. 5 juin 2012.

13 Nouveaux risques IT : le «bring your own» L idée : permettre aux employés de travailler avec leurs outils informatiques personnels. Savoir de quoi on parle : BYO device? BYO software? Inconvénients : Gestion d un parc hétérogène par essence Insécurité d un réseau d équipements BYO Conflits entre l utilisation personnelle et professionnelle : comment gérer le «je veux interdire»? Prise en charge des pannes, du remplacement des appareils Gestion des licences logicielles Une fausse bonne idée? Ou une bonne idée à canaliser? 13 Le management des risques informatiques : cadre éprouvé, nouveaux enjeux. 5 juin 2012.

14 En guise de conclusion Les risques informatiques évoluent dans un contexte d appétit technologique croissant et généralisé : besoin accru de souplesse et de pragmatisme dans leur gestion Une bonne démarche de gestion des risques IT est une démarche qui aboutit à du concret : zones de risques identifiées, qualifiées, et traitées La cartographie des risques est un document de base : c est le début de la gestion des risques et pas sa fin Nécessité toujours présente de piloter la fonction et d interagir avec les fonctions de contrôle (contrôle interne, audit interne). 14 Le management des risques informatiques : cadre éprouvé, nouveaux enjeux. 5 juin 2012.

15 Merci pour votre attention MERCI Nicolas Peirani ACCOR Responsable de l audit IT Groupe Nicolas.peirani@accor.com 15 Le management des risques informatiques : cadre éprouvé, nouveaux enjeux. 5 juin 2012.

Documents pareils

Connaître les Menaces d Insécurité du Système d Information

Connaître les Menaces d Insécurité du Système d Information 1. LES MENACES EXTERIEURES VIA L INTERNET ET INFORMATIQUE LES PROGRAMMES MALVEILLANTS : VIRUS / MALWARES LES SPYWARES (LOGICIELS-ESPIONS) : LOGICIEL