Management

7 règles de gestion des risques essentielles à tout DSI

La gestion des risques doit s’adapter à l’appétence de l’organisation aux risques. Tout le reste - stratégie, innovation, sélection des technologies - s'alignant sur cette boussole. (Photo : Loïc Leray / Unsplash)

Une gestion efficace des risques est une priorité absolue pour tout DSI. Le respect de quelques règles fondamentales permet de s'assurer que la stratégie IT s'aligne bien sur la tolérance aux risques de l'organisation.

PublicitéLe risque est partout et protéiforme. Regardez autour de vous et vous verrez des obstacles technologiques, économiques et concurrentiels que les DSI doivent non seulement gérer, mais aussi dépasser. Selon une enquête mondiale de PwC, 75 % des responsables des risques affirment que les pressions financières limitent leur capacité à investir dans les technologies de pointe nécessaires à l'évaluation et au contrôle des risques. Pourtant, ne pas s'attaquer à ce sujet clef avec un programme efficace revient à courir à la catastrophe. Votre organisation fait-elle tout ce qui est en son pouvoir pour se protéger des menaces internes et externes ? Les sept règles de base suivantes peuvent vous aider à vous assurer d'être sur la bonne voie.

Règle n° 1. Définissez le niveau de risque acceptable

Une fois que le DSI a compris la propension au risque de son organisation, tout le reste - stratégie, innovation, sélection des technologies - peut s'aligner sans problème, explique Paola Saibene, consultante principale au sein de la société de conseil aux entreprises Resultant. Mais établir cette appétence au risque, c'est-à-dire le niveau de risque acceptable dans une situation spécifique, est un défi, car de nombreuses organisations comprennent intuitivement le sujet, sans le définir explicitement ou sans communiquer sur le sujet de manière structurée, note Paola Saibene.

« En fait, les DSI confondent souvent la gestion des risques avec la conformité ou la cybersécurité, alors que le risque est une notion beaucoup plus large », dit-elle, conseillant aux responsables informatiques de désigner un responsable des risques au niveau de l'entreprise. Ce dernier peut alors devenir le meilleur allié du DSI, en l'aidant à naviguer dans les risques, à accélérer les initiatives stratégiques et à fournir des conseils sur les domaines où la prudence est nécessaire par rapport à ceux où la rapidité doit primer.

La gestion des risques est l'un des aspects les plus mal compris et pourtant les plus précieux en matière de leadership, selon Paola Saibene. Lorsque les DSI adoptent des cadres formels de gestion des risques, ils peuvent identifier de manière proactive les risques liés aux technologies de l'information, proposer des stratégies d'atténuation et collaborer efficacement avec les responsables des risques. « Cela permet non seulement de renforcer l'adhésion de la direction, mais aussi d'accélérer les progrès », explique-t-elle.

Règle 2. Inventoriez les applications

La plus importante règle de gestion des risques pour tout DSI consiste à maintenir un inventaire complet et constamment mis à jour de l'ensemble du portefeuille d'applications de l'organisation, afin d'identifier et d'atténuer de manière proactive les risques de sécurité avant qu'ils ne se matérialisent, conseille Howard Grimes, PDG du Cybersecurity Manufacturing Innovation Institute, un réseau d'instituts de recherche américains qui se concentrent sur le développement de technologies de fabrication par le biais de partenariats public-privé.

PublicitéCela peut sembler simple, mais de nombreux DSI ne respectent pas cette discipline fondamentale, selon Howard Grimes. « Les risques apparaissent souvent lorsqu'une organisation néglige une gestion rigoureuse de son portefeuille d'applications, en particulier avec l'adoption rapide de nouveaux outils pilotés par l'IA qui, s'ils ne sont pas contrôlés, peuvent exposer par inadvertance la propriété intellectuelle de l'entreprise. »

En l'absence d'un examen et d'une rationalisation structurés des applications, les organisations deviennent vulnérables aux inefficacités opérationnelles, aux manquements à la conformité et à l'augmentation exponentielle des risques cyber, prévient le dirigeant de l'institut. « Les DSI devraient adopter une approche proactive et préventive - gérer les applications d'entreprise de manière holistique pour prévenir les failles de sécurité avant qu'elles n'apparaissent », dit-il.

Actuellement, une préoccupation majeure provient de l'adoption rapide d'outils alimentés par l'IA qui, tout en favorisant l'efficacité, présentent également des risques pour la propriété intellectuelle de l'entreprise, selon Howard Grimes. « Les organisations doivent déployer des mécanismes pour protéger leur propriété intellectuelle et empêcher les données sensibles d'être introduites dans les moteurs d'IA publics, dit-il. Dans de nombreux cas, les entreprises devraient opter pour des modèles d'IA fermés et propriétaires qui ne sont pas connectés à Internet, garantissant ainsi que les données critiques restent sécurisées au sein de l'entreprise. »

Et d'ajouter : « les DSI doivent rationaliser chaque application, ressource et actif au sein de leur entreprise, en s'assurant que les outils redondants ou inutiles sont éliminés, que les failles de sécurité sont traitées de manière proactive et que les employés n'introduisent pas d'applications non autorisées dans l'écosystème. » L'extension de l'utilisation d'une application au-delà de son objectif initial doit également être évaluée avec soin, conseille-t-il, car elle peut entraîner de nouveaux risques de sécurité, qui ont échappé à l'analyse initiale. « En outre, sans une rationalisation fréquente et proactive du portefeuille, le 'monstre applicatif' peut conduire à des inefficacités, à un risque cybern accru et à des charges inutiles pour les équipes de support informatique », ajoute-t-il.

Règle n° 3. Soyez proactif

Chaque DSI doit adopter une approche proactive de la cybersécurité, recommande Jonathan Selby, responsable de la pratique technologique au sein de la société de conseil en gestion des risques Founder Shield. Il suggère de créer une culture de la sécurité par la formation des employés, la mise à jour des systèmes et la mise en oeuvre de mesures de sécurité complètes, y compris un plan de réponse à incident.

Selon lui, la cybersécurité est désormais une guerre qui se mène sur plusieurs fronts. « Nous n'avons plus le luxe d'anticiper les attaques qui nous atteignent de plein fouet », dit-il. Les dirigeants doivent reconnaître l'interdépendance entre les différents volets d'un plan de gestion des risques. « Ce n'est pas seulement la politique cyber qui fait le gros du travail, ni même une formation poussée des employés qui constituent votre armure, c'est un tout. » La première façon de minimiser les risques est de commencer par le haut, conseille Jonathan Selby.

Règle 4. Formalisez la gestion des risques à l'échelle de l'entreprise

Les DSI et leurs services gèrent déjà les risques au quotidien, alors pourquoi ne pas formaliser ce processus et l'intégrer au reste de l'entreprise, souligne Will Klotz, consultant en sécurité chez GuidePoint Security, une société de services spécialisée sur ces sujets. « Il est préférable d'intégrer délibérément le management des risques dans la gestion, les décisions et les opérations quotidiennes », suggère-t-il.

En exprimant les risques en termes compréhensibles par l'ensemble de l'entreprise, vous pouvez assurer une priorisation correcte des projets et des discussions plus significatives avec les parties prenantes moins techniques, tout en renforçant la confiance dans l'ensemble de l'organisation, explique Will Klotz.

Règle n° 5. Restez réaliste

De nombreuses organisations ont des stratégies de management des risques irréalistes qui ne tiennent pas compte des risques réels ou de la façon ils se matérialisent, explique Brian Soby, directeur technique et cofondateur du fournisseur de services de sécurité SaaS AppOmni. Celui-ci recommande de tester le programme actuel de gestion des risques de l'entreprise par rapport à des incidents réels. « Tous les mois, voire toutes les semaines, nous entendons parler de brèches de sécurité dans la presse, observe-t-il. Pour chacun de ces incidents, prenez les circonstances de la violation ou de l'attaque et appliquez-les à votre entreprise, conseille Brian Soby. « Et demandez-vous si votre entreprise aurait fait les gros titres », dit-il.

Le CTO estime qu'il existe un décalage flagrant entre les types de menaces et de risques que les entreprises pensent devoir atténuer et les risques auxquels elles sont réellement confrontées. « Les entreprises doivent évaluer leurs programmes de gestion des risques par rapport à la réalité, et le moyen le plus simple d'y parvenir est de comparer ce programme à des incidents réels pour évaluer quel aurait été le résultat », souligne Brian Soby. Et de conseiller un examen des approches adoptées par d'autres entreprises pour atténuer les risques en recourant à des formations et à des contrôles techniques.

Règle 6. Recherchez la résilience

Selon Greg Sullivan, associé fondateur de CIOSO Global, société spécialisée dans la cybersécurité et la gestion des risques, et ancien DSI de Carnival Corp, l'entreprise doit se concentrer sur la résilience et la mise en place de systèmes capables de se remettre rapidement d'une perturbation. « Les systèmes résilients s'attaquent simultanément à de multiples vecteurs de menace tout en s'alignant sur les priorités de l'entreprise, résume-t-il. Cette approche crée également un cadre formel avec des mesures de RTO (objectif de temps de récupération) et de RPO (objectif de point de récupération). »

Selon Greg Sullivan, les DSI commettent souvent l'erreur de surinvestir dans des mesures défensives et préventives tout en négligeant la résilience et les capacités de récupération. « Cela crée un déséquilibre et un faux sentiment de sécurité, prévient-il. Il est primordial que toutes les parties prenantes participent aux efforts de récupération et suivent des procédures de reprise bien rodées et bien communiquées. »

Chaque entreprise a besoin d'un plan actualisé de reprise après sinistre et de continuité des activités, selon lui. « Ces plans permettent de renforcer la résilience tout en se concentrant sur la restauration des systèmes et sur une stratégie opérationnelle visant à maintenir les fonctions critiques de l'entreprise, explique Greg Sullivan. Plus important encore, ce plan doit être testé et mis à jour régulièrement. »

Règle n° 7. Alignez risques IT et objectifs de l'entreprise

L'informatique n'existe jamais de manière isolée - elle doit soutenir directement les objectifs de l'entreprise tout en la protégeant contre les menaces technologiques pertinentes, souligne John Bruce, RSSI de la société de cybersécurité Quorum Cyber. Un alignement solide entre l'IT et les métiers garantit que les investissements informatiques apporteront une valeur ajoutée à l'entreprise plutôt que de simples capacités techniques. « Lorsque les objectifs informatiques et métiers sont synchronisés, les organisations prennent des décisions plus judicieuses en matière de risques, allouent les ressources de manière plus efficace et obtiennent l'adhésion de la direction », explique John Bruce.

Le RSSI recommande d'établir une structure formelle de gouvernance des risques, sous le parrainage de la direction. « En développant des registres de risques qui relient les risques technologiques aux impacts métiers, et en utilisant des KPI axés sur l'activité que les dirigeants peuvent comprendre, le DSI peut mettre en place un comité cross-fonctionnel des risques avec les différentes parties prenantes de l'organisation afin de mener des analyses régulières », explique John Bruce.