Comment Unilever cartographie ses risques IT

Le numéro deux mondial des produits de grande consommation a engagé un énorme chantier de gestion de risques. Le projet Carisma, qui sera opérationnel en 2009, se déroule en trois phases : audit, analyse de risques et alignement sur les processus métiers.

Unilever, numéro deux mondial des produits de grande consommation présent dans cent pays avec 174 000 collaborateurs et 40 milliards d’euros de chiffres d’affaires, est à mi-chemin de son projet ambitieux de gestion des risques, baptisé Carisma (Criticality And RIsk Management Assessment).

Lors d’une conférence organisée par Forrester Research, le directeur sécurité du groupe, Andrew Strong, a détaillé les principales étapes. Les challenges principaux étaient doubles. Andrew Strong explique : « D’une part, la sécurité informatique était vue comme un problème IT et très peu abordée au niveau du comité de direction et, d’autre part, nous avons un périmètre très large et hétérogène caractérisé par des petaoctets de données, des changements organisationnels réguliers qui entraînent des évolutions dans les priorités, ainsi qu’un contexte d’infogérance, qui présente à la fois des risques et des opportunités. »

Résultat : une communauté sécurité fragmentée. Le préalable pour améliorer la sécurité consiste à définir le risque dans le discours. « Il s’agit de parler le même langage à travers le groupe et d’insérer les concepts de sécurité dans les processus d’innovation », précise Andrew Strong.

Cette approche s’accompagne d’une mise à niveau, conformément aux principes ISO et d’une adaptation des standards, avec, notamment, une plus fine granularité. « Nous avons besoin de mieux comprendre les risques liés à l’information, donc de rétablir le dialogue avec les sponsors clés pour déterminer le niveau de risque acceptable et définir des programmes stratégiques en matière de sécurité », souligne Andrew Strong. En d’autres termes, il s’agit d’expliquer les vulnérabilités en langage business et non technique.

Le sponsor au plus haut niveau est indispensable : « C’est fondamental pour le succès, en particulier pour que la sécurité figure de façon permanente parmi les priorités », assure Andrew Strong. La première étape consiste à auditer les systèmes critiques et à s’assurer que les nouveaux projets prennent correctement en compte la dimension sécurité.

Le groupe Unilever utilise pour cela une table de référence de vulnérabilités (proposée par l’outil Citicus), qui sert à évaluer les conséquences des dommages sur l’entreprise. « Les risques informationnels doivent être gérés et réduits avec un cadre adapté », conseille Andrew Strong.

Une telle ambition passe par des programmes de formation. Un programme global est décliné par grandes régions géographiques et des actions spécifiques sont organisées pour des populations ciblées, par exemple la finance, les équipes informatiques, l’audit interne…

La stratégie se déroule en trois phases. La première, sur l’année 2007, a consisté à analyser l’existant, selon les zones géographiques, les fonctions et les types de plates-formes. Le groupe Unilever a ainsi procédé à 2 300 analyses. La deuxième phase, jusqu’à la fin du troisième trimestre 2008, permet d’analyser les risques pour les applications critiques (55 systèmes ont ainsi été identifiés comme critiques) et la phase 3, qui s’étendra jusqu’au premier trimestre 2009, sera basée sur l’alignement Itil.

« Le principe général retenu pour tous les projets est le suivant : secure by design, safe in operation », précise Andrew Strong : à chaque stade (de l’idée à son lan­ce­­ment en passant par l’étude de faisabilité), la sécurité doit être prise en compte, « sinon, le projet n’est pas lancé ». Du côté opérationnel, l’évaluation des risques est régulière, pas uniquement juste après le lancement.

La phase d’alignement va consister, selon Andrew Strong à « encapsuler les processus Carisma dans les processus business. Cela passe par une intégration plus forte des processus IT, notamment par une redéfinition de l’approche en matière de plan de continuité et de secours, par une déclinaison des tables de références des dommages par régions et par l’application de nouvelles procédures en matière de protection de l’information et de sécurité physique. »

Et Andrew Strong distingue trois facteurs clés de succès : un sponsoring au plus haut niveau, l’analyse de risques dans les processus business par les managers concernés et des outils de mesure pertinents et partagés.

Un exemple de table de référence des vulnérabilités
Niveau de vulnérabilité
A B C D E
Critique Important Significatif Marginal Faible
Pertes financières

Dégradation des performances

Impact financier  > 10 M euros 1 à10 M  euros  100 000 à 1 M euros  10 000 à 100 000 euros 0 à 10 000 euros
Non-atteinte des objectifs  > 10 %  5 à 10 %  1 à 5 %  Moins de 1 %  Pas d’impact
Nombre d’heures perdues  > 100 000  1 000 à 100 000  500 à 1000  100 à 500  0 à 100
Perte de contrôle du management

Atteinte à l’image

Dossiers et projets retardés  Plus d’un mois pour toute l’entreprise 1 à 4 semaines pour beaucoup d’entités  Quelques jours pour quelques entités  Quelques heures  Peu d’impact
Impact sur les clients  > 10 % des ventes  5 à 10 % des ventes  1 à 5 % des ventes  Moins de 1 % des ventes Pas d’impact
Contre- publicité  Impact majeur  Impact significatif  Peu d’impact  Pas d’impact  Pas d’impact
Risque réglementaire  Sanctions élevées  Sanctions mineures  Non-respect de la réglementation  Pas d’impact  Pas d’impact
Risque juridique  Procès prolongé  Procès court  Procès mineur  Pas d’impact  Pas d’impact
 Impact stratégique Initiatives stratégiques retardées Arrêt  Retard de plusieurs mois  Retard de plusieurs semaines  Pas d’impact Pas d’impact
Source : Citicus. Pour des raisons de confidentialité, les éléments de ce tableau ne sont pas ceux utilisés par le groupe Unilever.

Les best practices d’Andrew Strong, directeur sécurité d’Unilever

  • Intégrez la sécurité le plus en amont possible, dès la naissance des idées et l’étude de faisabilité.
  • Convertissez les analyses de vulnérabilités en langage business.
  • Construisez un sponsoring fort de la direction générale et des directions métiers.
  • Intégrez le plus possible les mécanismes de sécurité dans les processus business.
  • Dialoguez avec les directions métiers en créant des nouveaux canaux de communication.
  • Établissez un programme global de formation, décliné au niveau géographique et adapté aux niveaux fonctionnels.
  • Créez un glossaire sécurité partagé.
  • Ciblez d’abord les systèmes critiques.
  • Auditez les prestataires d’infogérance.
  • Appuyez-vous sur des indicateurs compris et partagés par tous.