La parole aux métiers

Le patrimoine informationnel sous la menace de risques à maîtriser

Retrouvez cet article dans le CIO FOCUS n°126 !

Data Protection - Sécuriser, stocker, sauvegarder les données

CIO a organisé une matinée stratégique sur le thème « Data Protection - Sécuriser, stocker, sauvegarder les données » le 11 octobre 2016. Experts et témoins se sont succédé pour présenter les meilleures pratiques pour protéger, stocker et gérer le patrimoine informationnel des entreprises.

Découvrir

---

François Beaume, président de la commission SI de l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise), est intervenu sur la Matinée Stratégique CIO « Data protection » du 11 octobre 2016.

PublicitéLa commission SI de l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise) réunit des gestionnaires de risques dans de grandes entreprises autour des sujets relatifs aux risques portant sur les systèmes d'informations ainsi que les outils IT dont les gestionnaires de risques peuvent avoir besoin pour remplir leurs missions, les SIGR (Systèmes d'information de Gestion des Risques). Son président, François Beaume, est intervenu sur la Matinée Stratégique CIO « Data protection » du 11 octobre 2016 à Paris : il a présenté à cette occasion l'approche méthodologique des risques concernant le patrimoine informationnel. L'AMRAE, association de référence du domaine, compte un millier de membres de 750 grandes organisations publiques et privées.
« De quoi parle-t-on lorsque l'on évoque le patrimoine informationnel ? » s'est interrogé pour commencer François Beaume. Avant d'étudier les risques portant sur quelque chose, il faut en effet préciser exactement de quoi on parle. Ce patrimoine informationnel correspond à « l'ensemble des données, protégées ou non, valorisables ou historiques, d'une personne physique ou morale ». Partie du patrimoine immatériel des entreprises, ce patrimoine informationnel a une valeur qui s'accroît. On y inclut par exemple les données clients, les brevets, les logiciels, les bases de données diverses... François Beaume a insisté : il faut « identifier précisément le patrimoine en question dans une entreprise donnée sera un préalable à une démarche de protection. »

Appréhender les risques avec méthode

En fonction des conditions de stockage et d'hébergement des données incluses dans ce patrimoine, les risques susceptibles d'en affecter l'intégrité jusqu'à, éventuellement, la destruction varient. Les mesures à prendre sont du coup différentes selon les situations. « Il faut mener des campagnes d'études pour identifier, évaluer et définir les moyens de gérer les risques » a décrit François Beaume.
Si toutes les entreprises ne disposent pas en interne de gestionnaires de risques (risks managers), cela ne fait pas obstacle à une approche par gestion des risques. François Beaume a en effet spécifié : « cela reste une démarche qui peut être mise en oeuvre par la seule volonté de la direction générale ou du management. C'est avant tout une question de méthode. »

Quatre étapes dans une méthodologie claire

Cette méthode repose sur quatre étapes principales. La première, bien entendu, est de poser un diagnostic des risques : quel patrimoine, quels risques, etc. Une fois cette première étape achevée, la deuxième peut alors être lancée : la maîtrise et la réduction des risques. A partir de là, le niveau de risques est diminué, avec une fréquence de survenue de leur réalisation minimisée. « C'est avec ce niveau de risques que l'entreprise va devoir vivre quotidiennement et c'est donc ce niveau de risques qu'elle va devoir financer » a constaté François Beaume.
Le financement des risques constitue la troisième étape de la méthode. Le risque est une probabilité de survenue d'un événement. Si cet événement se réalise, il va avoir des conséquences dommageables pour l'entreprise. Ce sont ces conséquences qui vont devoir être financièrement couvertes. François Beaume a alors posé la question majeure : « est-ce que l'entreprise est en mesure d'assumer seule sur ses fonds propres ces conséquences ou doit-elle partager ou transférer ce risque ? » Le partage-transfert de risque repose sur les assurances, dont les contrats doivent être étudiés et les couvertures rapprochées des risques identifiés, ce qui est en général confié au risk manager. Enfin, la dernière étape repose sur le constat que rien n'est statique, que tout évolue sans cesse « en particulier dans le domaine d'activité des DSI » comme l'a relevé François Beaume. Par conséquent, il sera nécessaire de réaliser régulièrement un suivi et un audit des risques et de leur couverture. De ce fait, la démarche est une boucle itérative. François Beaume a asséné : « ce que l'on vise dans cette démarche, c'est bien que l'entreprise soit résiliente et demeure performante pour atteindre les objectifs qu'elle s'est fixée. »

PublicitéDes actions concrètes à mener en partenariat

Chaque étape, présentée ci-avant de manière très théorique, se décline bien entendu au travers d'une série d'actions concrètes. Par exemple, la phase de diagnostic repose sur une cartographie ou une analyse des risques au niveau d'un groupe, d'une entité, d'une activité ou même d'un projet. Cette démarche aboutit à un « panier de risques » et à un certain nombre de mesures possibles à prendre. La réduction des risques pourra s'effectuer soit en agissant sur la fréquence de survenance (prévention) soit en veillant à réduire l'impact lors de la réalisation d'un des risques (protection).
« Ce n'est pas nécessairement le risk manager qui dispose de l'expertise nécessaire pour définir précisément chaque risque, ni les gérer au quotidien, mais, par contre, il va animer le dialogue avec chaque métier impliqué » a admis François Beaume. Il va s'assurer que les bonnes méthodes sont mises en oeuvre, grâce à un dialogue très riche avec tous les métiers, notamment la DSI, la direction juridique et la DRH. Ensuite, c'est lui qui va devoir mener l'arbitrage entre autofinancement et transfert à l'assurance ou bien gérer concrètement la crise liée à un sinistre, avec PCA, et l'analyse de ce qui s'est passé, comment l'incident a été géré et avec quels résultats. « Heureusement tous les sinistres ne donnent pas lieu à des crises mais tous sont intéressants pour nourrir l'expérience et donc la boucle d'interaction pour mieux gérer les risques » a expliqué François Beaume.

Briser les silos par le dialogue et la méthode

La transformation numérique des entreprises amène une modification substantielle de la structure des risques. Et elle amène les risks managers à intensifier le dialogue avec la DSI ou la Direction du Digital. Et chaque métier doit contribuer à l'analyse des risques en fonction des évolutions constatées dans sa pratique. Pour François Beaume, « le risk manager doit briser les silos dans l'entreprise en amenant un consensus sur une vision des risques et des actions à entreprendre via de la méthode et l'animation d'un dialogue. »
La méthode comporte évidemment des métriques qui vont être partagées et adaptées en fonction des évolutions constatées. Enfin, le risk manager doit amener chacun à une nouvelle culture d'entreprise où les risques sont pris en compte dès les phases amont. François Beaume a jugé : « il vaut mieux consacrer un peu de temps en amont d'une activité pour estimer ce qui peut se passer et bien le gérer. C'est l'équivalent du fait de regarder à droite et à gauche avant de traverser une rue. »
Et un point ne doit pas être négligé : bien gérer les risques -le cas échéant à l'aide d'assurances-, c'est aussi s'occuper de la responsabilité juridique des dirigeants, responsabilité qui pourrait être recherchée en cas de sinistre. « C'est particulièrement le cas en matière de données personnelles » a rappelé François Beaume. Et il s'est réjoui pour terminer : « bien gérer les risques, par son dialogue entre les fonctions et le décloisonnement qui en résulte, est aussi une source d'opportunités. »

Article rédigé par

Bertrand Lemaire, Rédacteur en chef de CIO

Partager cet article