Cet ouvrage est le résultat des travaux de la commission Systèmes d’Information de l’Amrae (Association pour le management des risques et des assurances de l’entreprise) et de l’expérience des consultants de CGI Business Consulting, l’entité conseil de CGI. L’approche est basée sur la qualité du dialogue entre les risks managers et les professionnels des systèmes d’information.
Pour les auteurs, « la maîtrise des risques ne se limite pas à des procédures et à la mise en œuvre de technologies, elle est également l’affaire d’une prise de conscience de tous au sein de l’entreprise. Le dialogue vise ici à permettre, d’une part, au risk manager de comprendre les risques numériques auxquels est exposée l’entreprise, de savoir si ceux-ci sont correctement appréhendés et traités par ceux qui en ont la charge et, d’autre part, au DSI comme au RSSI, de bénéficier du support, tant méthodologique que d’expertise, du risk manager. »
La première partie de l’ouvrage porte sur les méthodes de gestion du risque numérique dans l’entreprise. Comment identifier le risque numérique, l’évaluer ? Quels impacts pour l’organisation, quels coûts ? Quelles sont les obligations en la matière, les références, les acteurs ? Quelles solutions de traitement du risque numérique existent à l’heure actuelle (contractuelles, assurantielles …), quelles évolutions envisager ? Qu’apporte à cette méthodologie chacun des acteurs, notamment les experts SI de l’entreprise et le risk manager, et quels sont les leviers de réussite de ce dialogue ?
La gestion du risque numérique dans l’entreprise, Amrae, CGI Business Consulting, 2014, 151 pages.
Des risques multiples et diffus
La seconde partie illustre la mise en œuvre de ces méthodologies à partir de cinq thèmes de risques numériques majeurs : cybercriminalité, externalisation, mobilité numérique et BYOD, cloud computing et réseaux sociaux. En matière de cybercriminalité, les risques sont multiples et protéiformes, qu’il s’agisse de détournements de fonds, de déni de service, de sabotage, de vols de données (R&D, stratégiques, personnelles…), d’activisme ou d’espionnage. Dans le domaine de l’externalisation, les risques concernent essentiellement le risque-pays (mouvements sociaux, fiscalité, taux de change…), le risque juridique (non-conformité, risque pénal, contractuel…), le risque technologique (brevets, failles de sécurité, indisponibilité, perte de confidentialité…), organisationnel (différences culturelles, problèmes de communication…), financier (coûts cachés) et le risque humain (démotivation, accidents, atteinte à l’image de l’entreprise…).
Dans le domaine de la mobilité numérique et du BYOD, les risques sont à la fois juridiques (confidentialité, compromission des informations…), technologiques (failles de sécurité, indisponibilité…), organisationnels (prise en compte de nouveaux usages), financiers (surcoûts) et liés aux ressources humaines (non-respect de la vie privée). Pour le cloud computing, les auteurs identifient trois sources de risques : ceux qui sont introduits par une nouvelle organisation (perte de maîtrise des environnements, risque fournisseur…), ceux qui sont créés par de nouveaux usages (confusion vie privée-environnement professionnel, connexions à toute heure depuis n’importe où…), et ceux qui sont générés par les technologies mises en œuvre (interfaces, services, environnements mutualisés, gestion des ressources…). Enfin, dans l’univers des réseaux sociaux, les entreprises sont confrontées aux risques de divulgation non-maîtrisée de données, d’usurpation d’identité, de e-réputation ou de diffusion de contenus illicites. Pour chacun de ces risques, l’ouvrage propose de bonnes pratiques à mettre en œuvre.
Pour les auteurs, il convient d’associer les DSI au modèle de gestion globale des risques (ERM : Enterprise Risk Management), « au même titre que toutes les autres fonctions de l’entreprise, le RSSI devant, quant à lui, apporter son expertise sur le risque SI et sur les moyens de sécurité associés. »
Les quatre options de traitement du risque numérique
- Réduire le risque, avec une politique appropriée, des formations, des campagnes de sensibilisation, l’amélioration continue, la prévention, l’utilisation de standards et de guides de bonnes pratiques…
- Conserver ou accepter le risque, sans prendre de mesures particulières.
- Contourner le risque, par exemple en suspendant un projet, en modifiant des implantations géographiques…
- Transférer le risque, vers le marché de l’assurance pour atténuer les pertes potentielles.