L’Association Française de l’Audit et du Conseil Informatiques (AFAI) publie la version française du référentiel RISK IT et un ouvrage sur la cartographie des risques informatiques. « Le développement continu des technologies de l’information (Web, mobilité, réseaux sociaux, cloud computing, etc.), le recours croissant à l’externalisation de fonctionnalités, la gestion de l’entreprise numérique étendue, l’implication croissante des métiers conduisent les entreprises à ajuster régulièrement leur stratégie, leur politique et leur organisation.
Toutes ces évolutions sont autant d’opportunités permettant de créer de la valeur mais leur mauvaise maîtrise accroît le risque pour l’entreprise de ne pas atteindre ses objectifs », précise l’AFAI.
RISK IT est le référentiel de management du système d’information et des technologies par les risques. C’est à la fois un guide de principes directeurs et de bonnes pratiques. Il aide les entreprises à mettre en place une gouvernance ad hoc, à identifier et à gérer efficacement les risques informatiques. Il a été réalisé par une centaine d’experts internationaux de l’ISACA et adapté en langue française par l’AFAI, en coopération étroite avec d’autres associations francophones. Parallèlement, l’AFAI a élaboré un document sur la cartographie des risques informatiques, outil majeur du management des risques, au service du management par les risques.
RISK IT considère le risque informatique comme un risque d’affaire/métier alors qu’il est trop souvent vu comme un risque technique réservé aux experts de l’informatique. Il est conçu pour servir de socle au management par les risques informatiques en traitant à la fois des aspects de gouvernance et des principes de gestion. Il s’appuie sur des normes reconnues comme COSO ERM, ISO 31000 et ISO 27005. Il s’enrichit naturellement par des référentiels, normes ou méthodes plus spécifiques de tel processus ou activité (par exemple EBIOS ou MEHARI pour l’analyse des risques). RISK IT comprend deux documents :
- Le Référentiel RISK IT présente de façon détaillée le modèle de management par les risques informatiques reposant sur 3 domaines (Gouvernance, Évaluation, Traitement), 9 processus et 47 bonnes pratiques.
- Le Guide utilisateur RISK IT aide à mettre en place le modèle. Il fournit de nombreux conseils et outils d’aide à l’évaluation des risques dont une cartographie s’appuyant sur 36 scénarios de risque informatique. Il propose également des bonnes pratiques de contrôle et de management tirées des référentiels COBIT et Val IT pour réduire les risques liés à ces mêmes scénarios.