Une approche intégrée pour une gestion efficace et efficiente des risques S.I. dans l entreprise



Documents pareils
PRINCIPES ET CONCEPTS GÉNÉRAUX DE L'AUDIT APPLIQUÉS AUX SYSTÈMES D'INFORMATION

Colloque Du contrôle permanent à la maîtrise globale des SI. Jean-Louis Bleicher Banque Fédérale des Banques Populaires

AUDIT CONSEIL CERT FORMATION

Atelier A N 13. Titre : Gestion des risques, audit interne et contrôle interne

Club ISO Juin 2009

Votre partenaire pour les meilleures pratiques. La Gouvernance au service de la Performance & de la Compliance

Vector Security Consulting S.A

Optimisation de la gestion des risques opérationnels. EIFR 10 février 2015

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet JSSI INSA

«Audit Informatique»

Panorama général des normes et outils d audit. François VERGEZ AFAI

IT BUSINESS FOUNDATION (ITBF) Analyse du concept ITBF à l origine de la gouvernance des systèmes d information

L ASSURANCE QUALITÉ ET SÉCURITÉ DE VOTRE SYSTÈME D INFORMATION

Table des matières. Partie I CobiT et la gouvernance TI

Aligner le SI sur la stratégie de l entreprise

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

CobiT. Implémentation ISO 270. Pour une meilleure gouvernance des systèmes d'information. 2 e édition D O M I N I Q U E M O I S A N D

GTAG Documents de référence. Présentation des guides GTAG pouvant être utilisés par un auditeur interne lors de mandats d audit TI

Les Rencontres de Performances

DÉPARTEMENT FORMATIONS 2015 FORMATION-RECRUTEMENT CATALOGUE. CONTACTS (+226)

Comment assurer la conformité des systèmes informatiques avec les référentiels et normes en vigueur

Cahier des charges pour la réalisation d un audit externe du programme GUS / OFS

Orientation. Management des Systèmes d information (MSI),

PARTENARIAT DE L OBSERVATOIRE TECHNOLOGIQUE

Introduction Fabrice Pesin, Secrétaire général adjoint de l ACP

«Audit Informatique»

Catalogue de services standard Référence : CAT-SERVICES-2010-A

D ITIL à D ISO 20000, une démarche complémentaire

INSTALLATION DE LA NOUVELLE AUTORITÉ DE CONTRÔLE PRUDENTIEL

Intelligence Economique : risques ou opportunités? AMRAE - L exploitation et la reproduction de ce document sont strictement interdites

La sécurité applicative

Les rendez-vous Risk Advisory La lettre des professionnels du risque et de la finance

Rational Software Rational Portfolio Manager

fondé par Jeudi 15 février 2007 de 14 h à 18h

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

Risques d accès non autorisés : les atouts d une solution IAM

Enquête ITIL et la performance en entreprise 2007 CONNECTING BUSINESS & TECHNOLOGY

Gouvernance IT et Normalisation

Atelier A7. Audit de la gestion globale des risques : efficacité ou conformité?

CobiT une expérience pratique

Recommandations sur les mutualisations ISO ISO & ISO ITIL

Master Comptabilité, Contrôle, Audit. Situation générale des diplômés 2007/2008 au 1er mars 2010

2012 / Excellence. Technicité. Sagesse

Le partenaire des directions financières

Une véritable aventure humaine avant tout! Un projet ITIL est une couche fonctionnelle ajoutée au sein d une organisation informatique.

ITIL, une approche qualité pour la gestion des services(*) informatiques. Pourquoi et comment introduire ITIL dans son organisation

Information Technology Services - Learning & Certification

Rsa Corporate Finance. Visitez notre site web

CYBERSÉCURITÉ. Des capacités globales de cybersécurité pour une transformation numérique en toute confiance. Delivering Transformation. Together.

Des capacités de cybersécurité et de confiance numérique pour accélérer votre transformation digitale

GÉNÉRATEUR DE PERFORMANCE CONSEIL EN SYSTÈMES D INFORMATION

Piloter le contrôle permanent

Calendrier crim.ca/formation

Cette première partie pose les enjeux de la BI 2.0 et son intégration dans le SI de l entreprise. De manière progressive, notre approche situera le

Actuellement, de nombreux outils techniques et technologiques sont disponibles pour assurer la sécurité d un système d information.

THEORIE ET CAS PRATIQUES

Approche Méthodologique de la Gestion des vulnérabilités. Jean-Paul JOANANY - RSSI

Stratégie IT : au cœur des enjeux de l entreprise

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Pourquoi se protéger? Croissance exponentielle des incidents Hades Security - Hadès Sécurité

DSCG : UE5 - Management des Systèmes d'information

La gestion des risques IT et l audit

Créer un tableau de bord SSI

IT Advisory. Notre offre de services. kpmg.fr

LIVRE BLANC. Dix étapes essentielles pour une conformité continue : une stratégie complète de conformité

Déjeuner EIM Enterprise Information Management. Mardi 16 novembre 2010 Restaurant l Amourette Montreuil Thomas Dechilly CTO Sollan

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

IAM et habilitations, l'approche par les accès ou la réconciliation globale

GOUVERNANCE DES SERVICES

Le management des risques de l entreprise Cadre de Référence. Synthèse

Jean- Louis CABROLIER

Catalogue de Formations

Introduction à ITIL V3. et au cycle de vie des services

exemple d examen ITMP.FR

L innovation technologique au quotidien dans nos bibliothèques

04. Transformez vos collaborateurs en talent. 06. Pourquoi Kavaa Learning Services? 08. Management, systèmes d information et organisation

Yphise optimise en Coût Valeur Risque l informatique d entreprise

Gestion des autorisations / habilitations dans le SI:

Charte de contrôle interne

ISO/IEC TR Première édition Numéro de référence ISO/IEC TR 90006:2013(F) ISO/IEC 2013

Sécurité des Systèmes d Information

Rapport du Président du Conseil de Surveillance sur les conditions de préparation et d organisation des travaux du Conseil de Surveillance ainsi que

Surabondance d information

Etude des métiers du contrôle dans la banque

Plan de maîtrise des risques de la branche Retraite Présentation générale

Organismes mutualistes Activités d assurance Relevons ensemble vos défis. kpmg.fr

Management des systèmes d information. Gouvernance des SI ESIEA Jour & 12 Octobre 2007

Baromètre du Risk Management 2006

2 nde édition Octobre 2008 LIVRE BLANC. ISO Le nouveau nirvana de la sécurité?

Catalogue de formations 2015

Université d été. Les rôles du Système d Information août 2006 Dijon Bernard QUINIO Université Paris XIII GSI

Historique des normes et des règlements encadrant les contrôles internes

Sommaire. d Information & Référentiels. de Bonnes Pratiques. DEBBAGH, PhD. Février 2008

Gestion des vulnérabilités «Back to basic» ou nouvelle tactique face à l évolution des attaques?

Risk Assurance & Advisory Services Pour un management des risques performant et «résilient»

ITIL V3 : QU EST CE QUE ÇA VA CHANGER POUR VOUS? LIVRES BLANCS SÉRIE RÉFÉRENCE EXPERT INTRODUCTION LES QUATRE APPORTS MAJEURS D ITIL V3

CDROM. L amélioration continue de la gestion des risques. René FELL Ingénieur HES en informatique Administrateur chez CDROM

SOMMAIRE. Introduction. Outils de gouvernance du système d information. Conclusion. I. Présentation de la gouvernance du système d information

Transcription:

Une approche intégrée pour une gestion efficace et efficiente des risques S.I. dans l entreprise Jean-Louis Bleicher Jean-Yves Oberlé 16 juin 2009

Avertissement Cette présentation reflète uniquement l opinion des auteurs et n engage aucunement les organisations pour lesquelles ils travaillent 2

Constat 1 : les pertes attribuables aux risques opérationnels augmentent Dans les établissements financiers et entreprises d investissement, les pertes liées aux risques opérationnels ne cessent d augmenter depuis quelques années L année 2008 est à cet égard significative Janvier : affaire JK, banque française (perte 4,9 Md ) Octobre : affaire BPN, banque française (perte 750 Mn ) Décembre : affaire BM, entreprise d investissement américaine (perte 50 Md $ - 4 banques françaises touchées à hauteur de quelques centaines de Mn ) L origine des pertes est due à un défaut de contrôle interne et externe 3

Constat 2 : dans le même temps les réglementations et les acteurs en charge du contrôle augmentent Dans le secteur financier ce ne sont pas les réglementations sur le contrôle interne qui font défaut SOX LSF Bâle 2 CRBF 97-02 Ni les nombreux acteurs et structures internes ou externes en charge du contrôle ou de la réduction des risques SEC CB AMF Expertise comptable et commissariat aux comptes Organe délibérant et exécutif Comité d audit Responsables du contrôle permanent (dont les responsables de la sécurité) et du contrôle périodique 4

Constat 3 : de même que les moyens consacrés à la maîtrise des risques Des effectifs dédiés à la gestion des risques en croissance régulière Dans les banques françaises AFB 1,9% des effectifs exerçaient une fonction d inspecteur, auditeur, déontologue et 3% un emploi d analyste risque (fin décembre 2007) Des investissements en SI conséquents Les banques ont investi des centaines de millions d euros pour mettre en place des systèmes d information de gestion des risques afin de se mettre en conformité avec les exigences réglementaires Alors, pourquoi une gestion des risques aussi coûteuse pour un résultat aussi piètre? 5

Cause 1 : de nombreux experts d un niveau de compétence hétérogène et travaillant trop souvent en silo A l origine étaient les experts de la sécurité Appréciation Risques Conformité Sécurité Audit Assurances Communication reporting identification évaluation/ mesure Risques Conformité Sécurité Assurances suivi / contrôle réduction/ acceptation Surveillance Risques Conformité Sécurité Assurances Audit Traitement Sécurité Continuité d Activité Assurances Risques Conformité 6

Cause 2 : sur des bases différentes et en utilisant des référentiels spécifiques Les intervenants n ont pas toujours la même appréhension de l entreprise Découpage en processus vs découpage organisationnel Les modèles de gestion des risques peuvent différer Principes et règles d appréciation, de traitement, de surveillance et de communication Les dispositifs de contrôle s agrègent mais ne s articulent pas Audit interne, contrôles permanents, contrôles informatiques, etc. Les référentiels de travail sont différents Quels sont les points communs entre le référentiel d appréciation du risque informatique du responsable risques opérationnels, du responsable conformité informatique, du RSSI, du responsable des assurances informatiques, de l auditeur informatique? Peut-on améliorer cette situation? 7

Voie d amélioration 1 : une gouvernance efficace et efficiente de la gestion des risques Une politique de gestion des risques validée par le CA Des instances de pilotage et de coordination Un processus de gestion des risques unique et partagé intégrant la gestion de l inattendu Une gestion pragmatique des risques s appuyant sur la sécurité, la continuité d activité, le contrôle interne Appréciation Communication Processus de gestion des Risques Traitement Surveillance 8

Voie d amélioration 2 : des référentiels mis en cohérence et utilisés judicieusement, des acteurs compétents Les référentiels et les méthodes sont pléthores mais n expliquent jamais le comment faire RiskIT ISO 27005 ISO 27002 COBIT ITIL Une formation adaptée et une expérience professionnelle des acteurs de la gestion des risques 9

Voie d amélioration 3 : changer de paradigme Donner un autre sens La réduction des problèmes compliqués à leurs composants élémentaires ne convient plus pour l étude des systèmes économiques et sociaux actuels Considérer la problématique de la maîtrise des risques comme un problème complexe La théorie de la complexité nous amène à considérer l efficience des dispositifs de contrôle dans leurs interactions plus que dans la sophistication de chacune des composantes du contrôle Avoir une vision d urbanisation des dispositifs de contrôle La modélisation d un système de contrôle doit couvrir le champ des processus de l organisation, en faisant interagir les différentes fonctions de contrôle en s appuyant sur un process global 10

Voie d amélioration 4 : des systèmes d information de gestion des risques intégrés L organisation des contrôles est un ensemble d'éléments en interaction, regroupés au sein d'une structure régulée, ayant un système de communication (système d information) pour faciliter la circulation de l'information, dans le but de répondre à des besoins et d atteindre des objectifs déterminés Développer le concept de gouvernance des systèmes d information sécurisés sur l alignement à la gouvernance stratégique de l organisation Il faut toujours prendre le maximum de risques avec le maximum de précautions (Rudyard Kipling) 11

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back