des principes à la pratique

Transcription

1 Le management par les risques informatiques : des principes à la pratique Partie 1 19 janvier 2012

2 Le management par les risques Opportunité Menace Aider l entreprise à atteindre ses objectifs métier grâce à un management des risques permettant de saisir les opportunités pour créer de la valeur ou l accroître contrer les menaces pour préserver la valeur ou limiter sa perte Améliorer l efficacité, l efficience opérationnelle et la qualité Améliorer la gouvernance des SI et celle de l entreprise Introduction 2

3 Le management par les risques informatiques: des principes à la pratique Panorama de la réglementation sur le management par les risques informatiques Stéphanie Benzaquine Senior Manager, Mazars 19 janvier 2012

4 Un environnement réglementaire complexe Les entreprises sont soumises à un environnement règlementaire toujours plus complexe dont elles doivent tirer parti pour optimiser l efficacité de leurs processus opérationnels, améliorer leurs dispositifs anti-fraude et fiabiliser leur communication aux parties prenantes : Des règlementations sur le contrôle interne : Sarbanes-Oxley, Loi de Sécurité Financière, Loi NRE, Decreto 231 & 262, TabaksBlat, Combined Code, Swedish Code of Conduct, Des règlementations sectorielles : Bâle II et règlement CRBF pour la banque, le Décret du 13 Mars 2006 et Solvency II pour l assurance Des référentiels de sécurité et de contrôle des systèmes d'information : COBIT, ITIL, CMMI, ISO Des normes qualité, sécurité, environnement : ISO 9000, ISO , ISO Panorama de la réglementation sur le management par les risques informatiques 4

5 La pression réglementaire s accentue régulièrement Un processus de mise sous contrôle des risques a été initié depuis quelques années au sein des institutions européennes : Les 4ème et 7ème directives Européennes, transposées par la loi du 3 juillet 2008 afin de «rendre compte des procédures de gestion des risques mises en œuvre» La 8ème directive, dite audit, transposée par l ordonnance du 8 décembre 2008, précise les compétences nécessaires pour effectuer le contrôle légal des comptes. Sont cités, les domaines suivants : Article 8 : «Le test de connaissance théorique inclus dans l'examen couvre notamment les domaines suivants :, gestion des risques et contrôle interne Il couvre également au moins les domaines suivants dans la mesure où ils se rapportent au contrôle des comptes : technologie de l information et systèmes informatiques, mathématiques et statistiques,...» Elle vise, entre autres, les principes de constitution et le rôle du Comité d Audit : Obligation de Comités d Audit dans les sociétés dont les titres sont admis à la négociation sur un marché réglementé, en assurant notamment le suivi : du processus d élaboration de l information financière de l'efficacité des systèmes de contrôle interne, d'audit interne, le cas échéant, et de gestion des risques de la société Ainsi que les contributions attendues des Commissaires aux comptes : Les Commissaires aux comptes «portent à la connaissance du Comité d Audit les faiblesses significatives du contrôle interne, pour ce qui concerne les procédures relatives à l élaboration et au traitement de l information comptable et financière» Panorama de la réglementation sur le management par les risques informatiques 5

6 Impacts de la 8ème directive sur le contrôle interne des systèmes d'information Le «suivi de l efficacité des systèmes de contrôle interne et de gestion des risques» inclut : La mise en place d un système de gestion des risques informatiques, intégré au processus global de gestion des risques de l entreprise : Le pilotage et le suivi des risques informatiques La mise en place d une veille pour la détection de nouveaux risques, afin de les mesurer et de les maîtriser le mieux possible Nécessité d identifier et de mesurer les risques informatiques de l entreprise (modéliser la cartographie des risques informatique) Panorama de la réglementation sur le management par les risques informatiques 6

7 Impacts de la 8ème directive sur le contrôle interne des systèmes d'information La gestion des risques avant et après la 8ème Directive : Avant Transposition en France de la 8ème Directive européenne Après Une «best practice» Ordonnance n du 8 décembre 2008 Une obligation prévue et encadrée par la loi Panorama de la réglementation sur le management par les risques informatiques 7

8 Les normes internationales d audit liées aux systèmes d information Normes ISA les plus directement concernées par les systèmes d information : ISA 240 Prise en considération de la possibilité de fraudes lors de l audit des comptes ISA 315 Connaissance de l entité et de son environnement et évaluation du risque d anomalies significatives dans les comptes ISA 330 Procédures d audit mises en œuvre par le Commissaire aux Comptes à l issue de son évaluation des risques ISA 570 Continuité d exploitation ISA 3402 (ex-sas 70) Assurance Reports on Controls at a Service Organization Panorama de la réglementation sur le management par les risques informatiques 8

9 Le management par les risques informatiques: des principes à la pratique Mise en place d un cadre de management par les risques : les atouts de Risk IT Jean-Louis Bleicher Consultant en management des risques 19 janvier 2012

10 Principes clés du management par les risques Gouvernance Stratégie Tactique Organisation Amélioration continue Processus de gestion Appréciation Communication Traitement Surveillance Mise en place d un cadre de management par les risques : les atouts de Risk IT 10

11 Normes et référentiels de management par les risques Référentiel Norme FERMA 2003 Management des risques de l entreprise COSO ERM 2004 Management des risques de l entreprise Cadre de référence Management du risque ISO Management du risque - Principes et lignes directrices ISO Gestion des risques - Techniques d'évaluation des risques ISO/IEC Guide Management du risque - Vocabulaire Technologies de l'information Techniques de sécurité ISO Systèmes de management de la sécurité de l'information - Vue d'ensemble et vocabulaire ISO Systèmes de management de la sécurité de l'information - Exigences CRAMM 2005 EBIOS 2010 ISO Code de bonne pratique pour le management de la sécurité de l'information MEHARI 2010 ISO Gestion des risques en sécurité de l'information OCTAVE 2007 Mise en place d un cadre de management par les risques : les atouts de Risk IT 11

12 Modèle Risk IT Gouvernance des risques Intégrer au management des risques de l entreprise Etablir et maintenir une vision commune des risques Prendre en compte le risque dans les décisions affaire/métier 3 domaines 9 processus 47 activités Gérer les risques Objectifs affaire/ métier Analyser les risques Exprimer les risques Réagir aux événements Communication Collecter les données Maintenir le profil de risque Traitement des risques Evaluation des risques Mise en place d un cadre de management par les risques : les atouts de Risk IT 12

13 Référentiel Risk IT Contenu de Risk IT Description du modèle (domaines, processus, activités) Modèles de maturité, tableaux RACI, objectifs et métriques, éléments d entrée/sortie Guide Utilisateur Risk IT Guide pratique de mise en place du management des risques informatiques dont Scénarios génériques et traitement des risques à l aide de COBIT et Val IT Aide à l évaluation des risques en termes affaires/métiers Comparaison de Risk IT avec COSO ERM, ISO et ISO Outils complémentaires du Guide Utilisateur 7 documents Word d aide à la mise en œuvre Mise en place d un cadre de management par les risques : les atouts de Risk IT 13

14 Atouts de Risk IT Constitue un modèle complet (du pilotage à l action) Couvre l ensemble des risques liés à l informatique Contient une aide au déploiement et à l amélioration continue Propose une approche réaliste d appréciation des risques affaires/métiers liés à l informatique Aide au choix des options de traitement des risques Enrichit le contrôle interne de l informatique en s appuyant sur les bonnes pratiques de COBIT et Val IT S intègre et intègre facilement d autres normes et pratiques de management des risques Mise en place d un cadre de management par les risques : les atouts de Risk IT 14

15 Risk IT : un modèle d intégration COBIT Val IT ISO COSO ERM RISK IT CMMI PMBOK ITIL ISO CRAMM EBIOS MEHARI OCTAVE Mise en place d un cadre de management par les risques : les atouts de Risk IT 15

16 Le management par les risques informatiques: des principes à la pratique Les formations et certifications au management par les risques informatiques Camille Rosenthal-Sabroux Professeur à l Université Paris Dauphine Jean-Luc Austin Délégué Général de l AFAI 19 janvier 2012

17 Formation Université Paris Dauphine Master Systèmes d Information de l Entreprise Étendue : Audit et Conseil Créé en 2001 avec l appui de l AFAI et de ses partenaires (CIGREF, IFACI, Ordre des Experts Comptables, Compagnie Nationale des Commissaires aux Comptes) Formation continue des professionnels confirmés, initiale et en apprentissage des futurs professionnels, aux techniques et méthodes de l audit et du conseil dans le domaine des systèmes d information de l entreprise étendue Régulièrement aux premières places des classements (SMBG, Management) Orientation maîtrise des risques liés aux SI de l entreprise étendue Les formations et certifications au management par les risques informatiques 17

18 Paris Dauphine Master 2 SIEE : Audit et Conseil Le Master 2 comprend 885 heures réparties comme suit : Cours à l'université 444 heures sur 11 mois (de septembre à fin décembre et de début avril à juillet) dont Séminaire résidentiel «Projet de vie, projet professionnel» Semaine internationale à l Université de Trento Mission en entreprise : 441 heures (13 semaines) sans enseignement, de janvier à fin mars Les formations et certifications au management par les risques informatiques 18

19 Paris Dauphine Master 2 SIEE : Audit et Conseil MODULE 1 - Éléments fondamentaux de l audit et du conseil 01 : Principes et concepts fondamentaux de l audit et du conseil 02 : Les grands outils de base de l audit et du conseil MODULE 2 - Les audits fondamentaux 03 : Audit des grands projets 04 : Audit de la sécurité 05 : Audit de la fonction informatique 06 : Audit des applications 07 : Cas d application MODULE 3 - Connaissances nécessaires à l auditeur 08 : Gouvernance des systèmes d information 09 : Analyse et conception de systèmes d information 10 : Introduction au Knowledge Management 11 : Ouverture Internationale MODULE 4 Mission en entreprise 12 : Pratique professionnelle - Mission en entreprise Les formations et certifications au management par les risques informatiques 19

20 Formations AFAI au management par les risques L essentiel du management des risques (1 jour) Connaître les concepts et principes du management des risques Découvrir les principales normes et les référentiels majeurs de management des risques informatiques Connaître les principes, processus et activités de management des risques informatiques Appréhender les points clés du management des risques informatiques Référentiel et Guide utilisateur Risk IT : contenu et mise en œuvre (2 jours) Appréhender de manière exhaustive le référentiel et le guide utilisateur Risk IT Aider à la mise en œuvre de Risk IT Les formations et certifications au management par les risques informatiques 20

21 Formations AFAI préparatoires aux certifications Certification ISACA CRISC : Certified in Risk and Information Systems Control (3 jours) Analyser les différents domaines du programme sur lequel porte l examen Assimiler le vocabulaire et les idées directrices de l examen S entraîner au déroulement de l épreuve et acquérir les stratégies de réponse au questionnaire Certification ISO ISO : Information Security Risk Manager (2 jours) Acquérir la capacité d apprécier les risques sur la sécurité de l information, de les gérer et de les contrôler Présenter et comparer les différentes méthodes d analyse de risques compatibles avec la norme ISO Les formations et certifications au management par les risques informatiques 21

22 Le management par les risques informatiques: des principes à la pratique Le management des risques informatiques en pratique Stéphanie Benzaquine Senior Manager, Mazars 19 janvier 2012

23 2 exemples d interventions pour une meilleure gestion des risques IT L entreprise doit identifier ses zones de risques en matière financière et informatique, évaluer la façon qu elle a de les maîtriser, afin d atteindre un niveau d exigences conforme à toute forme d audit : audit réglementaire, audit interne, audit externe. Cet objectif peut se décliner dans 2 contextes différents, en proposant des réponses adaptées à chaque situation : Réaliser des diagnostics sur les processus métiers et informatiques déjà en place, par exemple dans le cadre d une pré-certification réglementaire, d un audit de due diligence,.. sécuriser les processus métiers et informatiques de l entreprise préparer les organisations aux audits externes tels que les commissaires aux comptes, la Cour des comptes, un acheteur, ou tout autre organisme de contrôle Accompagner l entreprise en phase de projet, afin de réduire au maximum ses risques dès la conception des systèmes sécuriser les projets informatiques implémenter une démarche de gestion des risques IT Le management des risques informatiques en pratique 23

24 Diagnostics sur les processus métiers et informatiques déjà opérants Diagnostiquer les processus métier et IT de l entreprise Observation et optimisation des contrôles embarqués dans les applications métier Mise en œuvre d un système de contrôle en continu Mise en place de contrôles compensatoires métier afin de couvrir les risques non couverts par le SI Préparer les organisations et les systèmes d information aux audits externes Réaliser des diagnostics de sécurité ou d évaluation du niveau de contrôle interne des processus Proposer des plans d actions opérationnels visant à couvrir des zones de risques identifiées Préparer les dossiers de preuves à l attention des auditeurs Le management des risques informatiques en pratique 24

25 Accompagner l entreprise en mode projet Sécuriser les projets informatiques Concevoir un système d information au regard des exigences d auditabilité et de traçabilité S assurer que le futur SI est conçu de telle manière à pouvoir démontrer une piste d audit permanente Mettre en œuvre les paramètres généraux de sécurité et d outils de gestion des habilitations au regard des bonnes pratiques Implémenter une démarche de gestion des risques IT Définir l organisation cible et les principes de fonctionnement de la fonction «contrôle interne IT» Définition du référentiel de «contrôle interne IT» Diagnostic sur les différents processus informatiques et mise en œuvre des plans d actions au regard des bonnes pratiques Le management des risques informatiques en pratique 25

26 Exemples de missions réalisées pour l Opérateur National de Paye, en mode projet depuis 2008 Préparer et assister en qualité d expert, aux ateliers de conception générale et de conception générale applicative relatifs aux thèmes suivants: Auditabilité et traçabilité Mise en œuvre de la piste d audit (des SIRH des ministères au système comptable et financier de l État Chorus) Définition du référentiel de Contrôle interne, mise en œuvre de l outil de gestion des risques et de suivi du contrôle interne RVR Définir l organisation cible et les principes de fonctionnement de la fonction «contrôle interne» de l ONP Assister les MOA et MOE dans l identification des risques métier à gérer dans le cadre de la conception du SI Paye Apporter de l expertise dans le cadre de l instruction des points métiers et techniques relevant du domaine contrôle interne / qualité comptable, par exemple : gestion des rejets, intégrité des référentiels, habilitations et règles d authentification, préparation des phases de reprise sous l angle de la qualité comptable... Le management des risques informatiques en pratique 26

27 Le management par les risques informatiques: des principes à la pratique Témoignage sur le management par les risques informatiques (secteur public) Christian Morfouace Chargé de Mission à l Inspection Générale de l Agence de Service et de Paiement 19 janvier 2012

28 AGENDA 1 Le contexte du secteur public 2 Deux exemples 3 L approche en tenaille 4 Les mesures immédiates 5 Conclusion pour l avenir 6 Questions / Documentations Témoignage sur le management par les risques informatiques (secteur public) 28

29 1 Le contexte du secteur public Historiquement pour le secteur public : l Etat est son propre assureur, l intendance suivra et l administration ne se pose pas des problèmes pour l avenir Récemment, création de la DISIC : une des missions est le pilotage des grands projets SI par les risques Domaines des aides communautaires agricoles : l approche par les risques est prise en compte depuis 20 ans Témoignage sur le management par les risques informatiques (secteur public) 29

30 1 Le contexte du secteur public Les marché publics : risques sur la réactivité, la flexibilité, les délais Les sponsors : capacité à piloter dans la durée, risques multiples, en particulier budgétaires La gestion des RH : 3 risques liés à l absence de motivation/récompense, à la gestion des carrières, à la mobilité professionnelle et géographique Les organisations syndicales : leur posture et leur poids face aux transformations et au changement peut entraîner un risque de blocage du projet Le ROI : difficulté d obtenir le ROI attendu, dans les délais, par la récupération effective des gains de productivité métier Témoignage sur le management par les risques informatiques (secteur public) 30

31 1 Le contexte du secteur public Mise en place dès 1992 d un SIGC : Système Intégré de Gestion et de Contrôles à base d un SI informatisé Obligations, règlements : ISO, COBIT, Pénalisations financières dissuasives et audits de la commission européenne! Analyses de risques pour les dossiers à contrôler (sur place, télédétection) Témoignage sur le management par les risques informatiques (secteur public) 31

32 2 - Deux exemples - N 1 Dans d autres domaines la gestion des risques n est pas sous une forme si élaborée, exhaustive et automatique Un petit exemple : extrait d EOF Témoignage sur le management par les risques informatiques (secteur public) 32

33 2 Deux exemples A minima, ce qu il fallait mettre en risques à statuer : des besoins fonctionnels structurants nécessitent impérativement des développements spécifiques, compte tenu du logiciel existant, les risques sont très importants car le délai de mise en service impose de ne réaliser aucun développement spécifique. Témoignage sur le management par les risques informatiques (secteur public) 33

34 2 Deux exemples - N 2 Sur un très gros projet : infaisabilité dans les délais et la qualité requise, le prestataire le garantissant néanmoins! Traçabilité quasi notariale, dossier contentieux a priori et solution alternative en parallèle Résultat : pas de soucis majeurs non prévus et «remboursement» de la structure de pilotage SI (15 à 20 ETP) par les travaux en sus réalisés à la charge du prestataire Témoignage sur le management par les risques informatiques (secteur public) 34

35 3 L approche en tenaille En amont : exposés dans le cadre de la veille technologique de sujets plus sérieux (Lean, risques projets, référentiels, etc.) En aval dans le cadre de missions d audits ou d inspections générales : mise en évidence de carences dans les bonnes pratiques, etc. Comme pour la qualité et la sécurité, la pédagogie est à base de répétition! Un exemple... Témoignage sur le management par les risques informatiques (secteur public) 35

36 3 L approche en tenaille Analyse selon les 4 chapitres en 34 points du référentiel COBIT : Exemple 7+, 13 x et 14 Détermination des zones de risques maximales et recommandations : plutôt les études, les projets ou les domaines applicatifs et pas tellement la production ou la sécurité Prévention des 3 risques majeurs pour ce cas : financier, humain, rejet utilisateur Témoignage sur le management par les risques informatiques (secteur public) 36

37 4 Les mesures immédiates Prise en compte des risques hors sécurité SI de façon plus formelle dans le comité mensuel de gouvernance des SI Création d un groupe de travail sur la gestion des risques : examen des pratiques, propositions, puis utilisation dans certains projets ou domaines applicatifs Généralisation après validation en comité de gouvernance des SI Témoignage sur le management par les risques informatiques (secteur public) 37

38 5 Conclusion pour l avenir Recherche et mise en place d un référentiel de gestion des risques Intégration d une comparaison des projets et/ou activités pour objectiver le sujet des risques en amont Systématiser cette approche dans la gestion courante des SI - mais pas seulement : via l audit et le contrôle interne pour les processus métier Témoignage sur le management par les risques informatiques (secteur public) 38

39 6 Questions / Documentations Merci de votre attention Présentation de Patrick DAILHE lors de la conférence du 07/12/2010 CIO / LE MONDE INFORMATIQUE sur la transformation des SI dans le secteur public On n exécute pas tout ce qui se propose Et le chemin est long du projet à la chose Molière, Le Tartuffe, 1664 Témoignage sur le management par les risques informatiques (secteur public) 39