SlideShare une entreprise Scribd logo
1  sur  20
Télécharger pour lire hors ligne
LES SYNTHÈSES SOLUCOM
Management des risques :
plaidoyer pour une vision unifiée
Observatoire du management des systèmes d’information
no
42
Le Sourcing des études
2• Les Synthèses © Solucom - Mars 2012
Management des risques :
plaidoyer pour une vision unifiée
Marion Couturier est consultante senior chez Solucom, au sein de la practice Sécurité & risk
management depuis 2007.
Diplômée de Telecom École de Management, elle intervient auprès de nos clients dans la
mise en place de leur gouvernance sécurité, la réalisation de cartographies des risques et
l’animation de campagnes de sensibilisation.
marion.couturier@solucom.fr
Etienne Bouet est manager chez Solucom, au sein de la practice Sécurité & risk management
depuis 2008.
Diplômé de l’Institut des Sciences de l’Ingénieur de Montpellier, il a débuté sa carrière dans un
cabinet d’audit. Chez Solucom, il accompagne nos clients dans l’évaluation et l’amélioration
de l’organisation de leurs filières risques et sécurité. Il anime des démarches transverses de
gestion des risques.
etienne.bouet@solucom.fr
Gérôme Billois est manager chez Solucom, au sein de la practice Sécurité & risk manage-
ment depuis 2004.
Diplômé de l’INSA Lyon, il accompagne depuis plus de 10 ans les DSI et RSSI dans l’évalua-
tion et la mise en place de leur gouvernance sécurité et dans leurs projets de sécurisation
de l’information.
gerome.billois@solucom.fr
Solucom remercie Patrick Peretti-Watel, docteur en sociologie du risque à l’INSERM, pour son intervention lors de
notre Atelier du 22 septembre 2011, ainsi que tous les participants de l’Atelier.
Mars 2012 - Les Synthèses © Solucom 3•
ÉDITO
La gestion des risques : un des piliers de la gouvernance SI
Dans tous les bons manuels de management et de gouvernance, la gestion des risques
est bien considérée comme l’un des processus clés à mettre en place. Et ce constat se
vérifie aussi dans le domaine des systèmes d’information. Ainsi l’IT Governance Institute
évalue le niveau de maturité de la gouvernance SI à travers 5 grands domaines : l’ali-
gnement business / SI, l’apport de valeur ajoutée, la gestion des ressources, la mesure
de la performance et enfin, la gestion des risques.
Pourtant, les DSI ne l’ont pas encore intégrée dans leurs pratiques de pilotage courantes.
Entre la sécurité des systèmes d’information d’un côté, essentielle mais qui ne couvre
que très partiellement le sujet, et la gestion des risques opérationnels de l’autre, souvent
trop lointaine, la gestion des risques SI reste très mal couverte.
Peut-être est-ce tout simplement un symptôme de la faible maturité générale de la
gouvernance SI ? Nous sommes en effet tout juste en train de sortir de l’ère des DSI
« exécutantes », gérant au mieux la demande en silos des métiers, pour passer à l’ère
des DSI pilotes de leur stratégie, échangeant d’égal à égal avec les métiers pour faire
évoluer le SI comme un ensemble cohérent, au service de la stratégie de l’entreprise.
Dans ce mouvement de montée en maturité de la gouvernance SI, la gestion des
risques est bien une composante essentielle. Elle fait partie intégrante du dispositif
de pilotage et d’aide à la décision du DSI. Et elle doit s’articuler avec la gestion des
risques de l’entreprise, à la hauteur du poids critique que représente maintenant le SI.
Que recouvre la gestion des risques SI ? Comment l’articuler avec les filières organisa-
tionnelles existantes ? Comment la mettre en place ? Autant de questions auxquelles
nous vous proposons de répondre à travers cette nouvelle Synthèse de notre observatoire
du management des systèmes d’information.
Bonne lecture à tous.
Laurent Bellefin,
Directeur associé
Directeur de la publication
«  Il y a bien des
manières de ne pas
réussir, mais la plus
sûre est de ne jamais
prendre de risques. »
Benjamin Franklin
Le Sourcing des études
4• Les Synthèses © Solucom - Mars 2012
Management des risques :
plaidoyer pour une vision unifiée
Quelle perception du risque dans la société ?
Avant de plonger dans la gestion du risque en entreprise, prenons un peu de
recul pour nous intéresser à la gestion du risque dans notre monde moderne.
Agrégé en sciences sociales, Patrick
Peretti-Watel est docteur en sociolo-
gie du risque et statisticien. Il a écrit
de nombreux ouvrages sur le risque
dans la société et a présenté, lors de
l’Atelier Solucom, son point de vue
sur cette thématique au cœur de nos
préoccupations.
Un monde paradoxalement moins
dangereux mais plus risqué…
Alors que notre monde est de moins
en moins dangereux, comme l’atteste
notamment l’allongement considé-
rable de notre espérance de vie depuis
un siècle, nous avons aujourd’hui le
sentiment de vivre dans un monde
de plus en plus risqué. Risques ali-
mentaires, écologiques, technolo-
giques, financiers, métiers à risques,
populations à risques… le risque est
omniprésent et sans cesse mis sur le
devant de la scène médiatique.
Pour paraphraser le philosophe
François Ewald, rien n’est en soi un
risque, mais tout peut en devenir un.
Le risque est plus une façon d’appré-
hender le réel, associée à une volonté
de maîtriser l’avenir. Cette « mise en
risque » progressive du monde est
justement ce qui caractérise l’histoire
du 20ème
siècle. C’est dans ce sens
que l’on parle parfois de la « société
du risque », ou de la « civilisation
du risque ». Dans une certaine
mesure, plus nous « fabriquons »
des risques, plus nous gagnons en
sécurité : c’est pour cela que nous
vivons dans un monde qui est para-
doxalement de plus en plus risqué
et de moins en moins dangereux.
Quelcomportementfaceaurisque?
Erving Goffman, sociologue améri-
cain, remarquait que les hommes,
comme les animaux, oscillent en
permanence entre deux états d’acti-
vité, la veille et l’alarme, passant de
l’un à l’autre lorsqu’un signal attire
leur attention sur un danger dans leur
environnement. Pour lui, certains
individus sont plus sensibles que
d’autres à ces signaux et plus prompts
à réagir : « À considérer la tendance
des individus à être tantôt tranquilles
et tantôt sur leurs gardes, il est facile
de voir que certains ressemblent à la
biche, toujours prête à s’effrayer, alors
que d’autres ressemblent à la vache,
lente à se mobiliser ». Pour prolon-
ger cette analogie, dans la mesure où,
aujourd’hui, notre capacité à identi-
fier des risques croît beaucoup plus
vite que notre capacité à les gérer, on
pourrait dire que l’homme moderne
possède les aptitudes perceptives
d’une biche, mais la réactivité d’une
vache. Évidemment, ce décalage est
anxiogène !
L’incongruité du risque zéro
La « mise en risque » progressive du
monde a été au 20ème
siècle corrélative
d’une nouvelle utopie : celle du risque
zéro. L’expansion continue du risque
est portée par un espoir qui peut sem-
bler rétrospectivement un peu naïf :
on a longtemps pensé que la science,
grâce aux techniques du risque, allait
parvenir à éradiquer certains dangers
pour nous garantir une sécurité totale.
Mais dans de nombreux domaines,
les experts ont dû admettre que le
risque nul n’existe pas, que certains
risques sont rémanents, que d’autres
sont concurrents, et que la réduction
des uns peut renforcer les autres. Par
exemple, certains médicaments qui
servent à réduire le risque de rechute
après un type de cancer ne sont pas
prescrits trop longtemps, car ils aug-
mentent les risques d’autres cancers.
L’échec de l’utopie du risque zéro
s’explique de différentes façons.
L’une d’entre elles est l’intrusion du
facteur humain. C’est ce qu’illustre
par exemple la théorie du risque
homéostatique. Selon cette théorie,
les individus ne recherchent pas for-
cément le risque zéro, ils sont même
prêts à s’exposer à un certain niveau
de risque qu’ils jugent « accep-
table », pour en retirer un bénéfice.
Par exemple, lorsque l’on a équipé
des taxis allemands de systèmes qui
réduisent la distance de freinage,
dans un premier temps cela a réduit
leur risque d’accident… Mais les
chauffeurs se sont adaptés en en
profitant pour conduire plus vite et
en freinant plus tardivement, de sorte
qu’au final, le nombre d’accidents
est resté identique. L’ajustement du
comportement de ces chauffeurs a
ainsi rendu inopérante la mesure de
réduction du risque d’accident.
Plus généralement, les experts de la
sécurité ont souvent tendance à se
focaliser sur le risque qu’ils ont à
gérer, et peinent à se rendre compte
que les individus qui sont exposés
à ce risque peuvent très bien avoir
d’autres contraintes, d’autres risques.
« L’hommemodernepos-
sèdelesaptitudespercep-
tives d’une biche, mais
la réactivité d’une vache.
Évidemment,cedécalage
est anxiogène ! »
Mars 2012 - Les Synthèses © Solucom 5•
Par exemple, lorsqu’a été envisagé le
fait d’enfouir des déchets radioactifs
à Marcoule, la commission mise en
place pour évaluer les risques s’est
rendue compte qu’elle n’avait pas du
tout envisagé le risque qui préoccu-
pait le plus les viticulteurs locaux : un
risque commercial fort, étant donné
que ces viticulteurs exportaient beau-
coup de leur vin vers le Japon…
Un déni du risque redoutable
Dans les années 80, l’anthropologue
Françoise Zonabend a travaillé sur
l’usine de retraitement des déchets
radioactifs, située à La Hague. Dans
cette usine, les ouvriers de La Hague
étaient enclins à ce que l’on appelle
le déni du risque. Autrement dit,
face aux experts qui leur parlaient du
risque de contamination radioactive
auquel ils étaient exposés, ils avaient
tendance à se trouver de bonnes
raisons pour juger qu’eux-mêmes
n’étaient pas ou peu exposés à ce
risque, même si d’autres l’étaient.
Les jeunes recrues pensaient
que le risque toucherait les plus
expérimentés, moins bien formés
qu’eux. Les plus anciens étaient au
contraire convaincus que seuls les
jeunes, moins expérimentés qu’eux,
étaient en danger.
Le déni du risque s’appuie souvent
sur une stratégie de « bouc émis-
saire », qui consiste à mettre un
risque à distance en estimant que
ce risque ne concerne qu’une caté-
gorie d’individus bien particulière,
à laquelle on n’appartient pas soi-
même. Beaucoup de gens continuent
à croire, aujourd’hui encore que le
virus du VIH ne peut toucher que les
homosexuels ou les toxicomanes. Ils
ne se sentent donc pas concernés par
les campagnes de prévention.
Un principe de précaution qui
devient principe d’abstention
Ces dernières décennies ont également
été marquées par ce que l’on appelle le
principe de précaution qui, dans une
certaine mesure, marque une forme de
retour à l’utopie du risque zéro. Selon
la loi Barnier de 1995, le principe
de précaution implique que « l’ab-
sence de certitudes, compte tenu des
connaissances scientifiques et tech-
niques du moment, ne doit pas retar-
der l’adoption de mesures effectives
et proportionnées visant à prévenir un
risque de dommages graves et irré-
versibles à l’environnement à un coût
économiquement acceptable ». Nous
avons largement pu expérimenter ce
principe de précaution : ce dernier
est très souvent invoqué pour récla-
mer ou justifier des mesures préven-
tives en l’absence de certitudes sur le
risque encouru : cas de la vache folle,
des OGM, des champs électromagné-
tiques… En vertu de ce principe, le
politique ou l’industriel a un devoir
d’anticipation, il doit tenir compte
des incertitudes scientifiques à long
terme.
Mais aujourd’hui, est fait un usage
galvaudé de ce principe de précau-
tion, ce dernier se transformant en
principe d’abstention. Il est invoqué
à tort et à travers, passe outre les
garde-fous posés par la loi, fait seu-
lement mention des risques « graves
et irréversibles » et n’envisage que
des mesures « proportionnées », à
un coût « économiquement accep-
table ». Sans ces restrictions de bon
sens, ce principe conduit à toujours
envisager le pire, et à payer très cher
pour viser un « risque zéro » hors
d’atteinte. Au nom de ce principe,
vous pouvez défendre la vaccination
de masse : il était théoriquement
possible que la grippe H1N1 fasse
des millions de victimes en France,
il fallait donc vacciner tout le monde.
Mais inversement, le nouveau vac-
cin préparé dans l’urgence avait une
probabilité non nulle d’engendrer des
effets secondaires très graves : ainsi,
au nom du même principe de précau-
tion, la population pouvait tout aussi
bien refuser de se faire vacciner.
Deux dimensions du risque,
technique et humaine
Aujourd’hui, la gestion d’un risque,
dans la société comme au sein
d’une entreprise, implique au moins
deux dimensions interdépendantes.
D’abord une dimension technique,
qui doit déterminer les coûts et
les bénéfices attendus, ainsi que
le degré d’acceptabilité du risque.
Ensuite une dimension humaine,
qui implique un dialogue avec les
personnes concernées, et en particu-
lier, au sein d’une entreprise, avec les
salariés, avec les métiers, pour que
leurs points de vues, leurs besoins
et leurs objectifs propres soient pris
en compte.
Le Sourcing des études
6• Les Synthèses © Solucom - Mars 2012
Management des risques :
plaidoyer pour une vision unifiée
Un enjeu : savoir prendre des risques !
Une gestion des risques à mettre au service
des métiers et de l’innovation
Tout comme la société, l’entreprise évolue dans un environnement de risques
qui sont de natures très différentes et touchent toutes les facettes de l’entre-
prise : sa stratégie, son business, son système d’information...
Lesmenacesquipèsentsurl’entreprise
peuvent être dues à son environnement
ou être liées à ses mutations :
•	 Exigencescroissantesdesclients,
partenaires et utilisateurs… ;
•	 Durcissement des réglementa-
tions ;
•	 Fusions, repositionnements, res-
tructurations ;
•	 Émergence de la responsabilité
sociétale ;
•	 Prise de conscience aigüe des
risques technologiques et envi-
ronnementaux,misenlumièrepar
des incidents de grande ampleur
comme Fukushima en 2011.
Une gestion au service de
l’atteinte des objectifs de
l’entreprise
La perception de plus en plus nette
des menaces pousse les entreprises
à mettre en œuvre des démarches de
gestiondesrisques.Malheureusement,
cesdémarchesrestentencoretropsou-
vent perçues comme des contraintes
venant brider les métiers créateurs
d’initiatives et de valeur.
Les démarches de gestion des risques
peuvent donner l’impression de sur-
traiter le risque, voire de le refuser
systématiquement. En se focalisant
sur les pertes potentielles, les filières
de gestion des risques oublient par-
fois les gains potentiels d’une prise
de risque. Se développer sur un nou-
veau marché, adapter son offre com-
merciale, acquérir une société… sont
autant de démarches « risquées » qui
se révèlent aussi sources potentielles
de profits pour l’entreprise et bien sou-
vent nécessaires à son évolution. Pour
chaque risque, c’est ce difficile exer-
cice d’équilibre entre gains et pertes
potentiellesquidoitpermettredemodi-
fier la perception que les métiers ont
des démarches de gestion des risques.
Cibler une prise de risque
alignée avec les enjeux métiers
Une gestion des risques efficace doit
apporter une aide à la décision et une
réponse assumée et proportionnée aux
menaces pesant sur l’entreprise. Cela
ne peut être atteint qu’en collaboration
avec les directions métiers qui sont les
seules à même d’évaluer les impacts
sur leurs activités.
« En se focalisant sur les pertes potentielles, les filières de gestion des risques
oublient parfois les gains potentiels d’une prise de risque. »
Mars 2012 - Les Synthèses © Solucom 7•
Des risques très divers à gérerUn pré-requis : formaliser les
objectifs de l’entreprise…
Les risques créent une incertitude sur
l’atteinte des objectifs de l’entreprise
(définition de l’ISO 31000). Pour
identifier, évaluer et gérer les risques,
il est donc essentiel pour l’entreprise
de bien identifier et formaliser ses
objectifs. Cette définition permettra
d’anticiper les menaces et d’empê-
cher leur concrétisation.
L’environnement et le contexte interne
sont également des éléments clés à
intégrer dans sa gestion des risques :
enjeux réglementaires, organisation
interne, partenaires, forces et fai-
blesses, etc.
… pour identifier les risques et
leurs porteurs
Les risques touchent tous les niveaux
de l’entreprise et sont portés en consé-
quence par des acteurs multiples.
La Direction générale gère les risques
stratégiques. Elle s’intéresse au travers
de ces risques aux défaillances de la
stratégie de l’entreprise qui pourraient
avoir un impact sur son existence
même. Il s’agit par exemple des risques
relatifs aux fusions / acquisitions, etc.
Les risques métiers sont portés par les
directions en charge de ces fonctions,
car ils affectent directement le cœur
de métier. Ainsi, la Direction commer-
ciale s’intéressera aux risques relatifs
aux ventes et aux clients, la Direction
de la logistique aux risques relatifs à
l’approvisionnement.. Ces risques dif-
fèrent d’une organisation à l’autre : ils
peuvent être particuliers à un secteur,
comme par exemple le risque de mar-
ché pour les banques.
Modélisation du risque
Les scénarios de risques sont caractérisés par :
•	 les menaces et leur vraisemblance dans le contexte
de l’organisation ;
•	 les vulnérabilités, c’est-à-dire les faiblesses intrinsèques
de l’entreprise, qu’elles soient organisationnelles,
humaines ou techniques ;
•	 les objectifs qui pourraient être remis en cause...
•	 … et les impacts occasionnés.
On peut illustrer le « risque » à travers une situation très concrète : la menace serait un cambriolage, la vulnérabilité
associée au manque de système d’alarme, l’objectif étant la sécurisation des objets de valeur dans la maison. L’impact
est ici clairement identifié à travers la perte de biens de valeur et autres dommages occasionnés.
Enfin, les risques opérationnels sont
similaires dans toutes les entreprises.
Ils recouvrent les risques relatifs aux
processus, aux personnes et aux sys-
tèmes de l’entreprise. Il s’agit notam-
ment des risques SI, sécurité, conti-
nuité, RH, fraude, etc. Ces dernières
années, les risques opérationnels ont
fait l’objet d’une attention de plus en
plus importante du fait du renforce-
ment des réglementations, plus parti-
culièrement dans le secteur financier.
Le Sourcing des études
8• Les Synthèses © Solucom - Mars 2012
Management des risques :
plaidoyer pour une vision unifiée
Le SI, colonne vertébrale de l’entreprise,
est au cœur de la gestion des risques
Parmi les risques opérationnels, les
risques liés aux systèmes d’infor-
mation ont évolué particulièrement
rapidement ces dernières années et
doivent faire l’objet d’une gestion
de risques à part entière. Autour de
l’information s’articulent en effet
différents domaines de risques très
dépendants les uns des autres.
Tout d’abord, les risques du système
d’information sont des risques trans-
verses à l’entreprise, qui intègrent
l’ensemble des risques métiers et
opérationnels ayant une composante
SI. Il peut s’agir par exemple de la
non-adéquation d’une application à
un besoin métier, de la non-atteinte
des niveaux de service ou encore
d’une gestion de projet défaillante.
Les risques sécurité de l’information
recouvrent pour partie les risques du
système d’information. En effet, ils
comportent une large composante
SI, mais n’y sont pas limités. Ainsi,
la sécurité de l’information couvre
également les dimensions orales et
papier de l’information. Bien ancrés
dans les pratiques de gestion de
risques des entreprises, ils font sou-
vent l’objet d’une filière dédiée.
Il en va de même pour les risques
de continuité d’activité. Ils regroupent
des risques SI sur les aspects conti-
nuité informatique, mais débordent
largement sur les risques opération-
nels en traitant le secours utilisateur
et les aspects logistiques, RH, juri-
diques, etc.
Les référentiels de gestion des risques
Il existe des référentiels et des normes pour gérer la plupart des types de risques. S’ils convergent sur un certain nombre de concepts
fondamentaux, leurs modalités de mise en oeuvre divergent en revanche : méthodologies variées, différences de vocabulaire, etc.
Il manque ainsi un cadre commun de gestion du risque, applicable à l’ensemble de l’entreprise. L’ISO 31000 est dans ce
domaine la norme aujourd’hui la plus globale qui, bien que récente, se généralise peu à peu. Elle définit les grands principes
de gestion des risques en entreprise, en s’appuyant sur des processus et un modèle d’amélioration continue.
Les domaines de risques autour du SI
Principaux référentiels utilisés pour gérer les risques
« Autour de l’information
s’articulent différents
domaines de risques très
dépendants. »
Mars 2012 - Les Synthèses © Solucom 9•
De multiples acteurs pour gérer les risques
liés au SI
Solucom a analysé les pratiques d’un
panelde50grandesorganisationsfran-
çaises. Collectées fin 2011, ces infor-
mations permettent d’identifier quatre
acteurs principaux intervenant dans
la gestion des risques SI liés au SI :
•	 Le Directeur des risques. Il assure la
gestion des risques opérationnels
et l’animation de la filière risques.
Il rapporte généralement directe-
ment à la Direction générale ;
•	 L’IT risk manager (IT RM). Il gère
les risques SI, en lien avec la
DSI et les métiers ;
•	 Le Responsable de la sécurité
du SI (RSSI). Il a en charge les
risques de sécurité du SI et le
plus souvent de la sécurité de
l’information au sens large ;
•	 Le Responsable plan de continuité
d’activité (RPCA). Il gère les
risques d’interruption de l’acti-
vité : perte d’un bâtiment, d’un
site informatique, etc.
Le degré d’adoption de ces diffé-
rentes fonctions est variable en
fonction de la maturité de la filière
concernée (voir schéma ci-dessous).
Dans certains contextes, une même per-
sonne peut cumuler plusieurs fonctions.
Un Directeur des risques qui ne
gère pas toujours les risques SI
Plus de la moitié des entreprises
dispose d’un Directeur des risques
ou Responsable des risques
opérationnels, et près de 90%
des Banques  /  Assurances. Si
le Responsable des risques
opérationnels s’intéresse à un
périmètre englobant ces risques,
il n’est pas systématiquement
positionné en coordinateur
des filières SSI, PCA et SI. Ce
positionnement est notamment lié
au fait que les filières SSI et PCA
ne sont pas toujours rattachées à la
Direction des risques.
Un rôle d’IT risk manager en
émergence
Une nouvelle fonction est en train
d’émerger pour la gestion des risques
SI : l’IT risk manager. À la croisée
des risques touchant le SI, 20% des
entreprises se sont désormais dotées
d’un poste dédié d’IT risk manager.
Ces chiffres sont encore supérieurs
dans le secteur Banque / Assurance,
avec 36% d’IT risk manager nommés.
Pour l’instant largement rattaché à la
DSI (55%), le poste se déporte petit
à petit vers la Direction des risques
(32%), positionnement qui contribuera
à rapprocher l’IT risk manager de la
vision métier des risques.
Une fonction RSSI démocratisée
La fonction de RSSI est largement
installée dans les entreprises, et
son périmètre d’activité ne se limite
plus aux risques de sécurité de l’in-
formation. Son rattachement reste
fortement lié à la DSI, de laquelle
il dépend dans deux tiers des cas,
même s’il est de plus en plus proche
de la Direction des risques. Cette ten-
dance est nettement marquée dans
le secteur de la Banque / Assurance.
Le RSSI assure dans 43% des cas le
rôle d’IT risk manager émergent et
dans 42% des cas le rôle de RPCA.
Un RPCA en lien fort avec le RSSI
et le Directeur des risques
Le rôle de RPCA est largement
répandu, même s’il ne fait pas tou-
jours l’objet d’une filière dédiée et
qu’il reste dans 42% des cas endossé
par le RSSI.
Quand le poste existe, il est dans
plus de la moitié des cas rattaché à
la Direction des risques, voire jusqu’à
70% dans le secteur de la Banque /
Assurance.
Acteurs mobilisés pour gérer les risques liés au SI
À qui est rattaché à l’IT risk
manager ?
À qui est rattaché le RSSI ?
À qui est rattaché le RPCA ?
Panel de 50 grands comptes français tous secteurs confondus
Le Sourcing des études
10• Les Synthèses © Solucom - Mars 2012
Management des risques :
plaidoyer pour une vision unifiée
Casser les silos...
Une vision d’ensemble difficile
à obtenir
Les multiples acteurs qui composent
les filières de gestion des risques SI
agissent le plus souvent indépen-
damment les uns des autres. Chaque
responsable traite ses risques avec sa
propre méthode, sa propre échelle,
son propre référentiel... tout en ayant
peu voire même aucun échange avec
les autres acteurs.
L’existence de filières de gestion
des risques dédiées démontre une
certaine maturité : elles apportent
des réponses expertes aux risques
qu’elles prennent en charge.
Mais ce fonctionnement en silos
n’optimise ni l’identification, ni l’éva-
luation et le traitement des risques.
Les différents acteurs (DSI, RSSI,
RPCA…) vont être, chacun indépen-
damment, amenés à apporter des
réponses. Ces silos pénalisent l’entre-
prise dans son processus de prise de
décision car ils ne permettent pas de
répondre aux questions essentielles
qu’elle se pose :
•	 Quelle est globalement mon
exposition aux risques ?
•	 Ai-je bien mis les priorités aux
bons endroits ?
Dès lors, il ne peut y avoir de réponse
globale. Or c’est bien au niveau
« entreprise » que la gestion des
risques prend tout son sens.
…et d’inévitables redondances
L’approche en silos a un second
inconvénient : elle génère natu-
rellement une sur-sollicitation des
métiers : souvent autant de sollici-
tations que de filières ! Or s’il est
nécessaire que les acteurs de la
gestion des risques SI collaborent
avec les directions métiers, notam-
ment pour évaluer les impacts des
risques, il ne faut pas que cette
implication devienne excessive et
donc contre-productive.
La solution réside donc dans l’or-
chestration d’une collaboration entre
les différents acteurs de la gestion
des risques SI. Il ne s’agit pas de
fusionner complètement les silos,
mais de les transformer et de les faire
collaborer pour assurer une gestion
efficace des risques SI au niveau
entreprise.
Comment les entreprises évaluent-elles leur gestion des risques ?
Dans l’étude menée, plus de la moitié des entreprises du panel jugent leur démarche de gestion des risques « assez effi-
cace ». Pour 95% des entreprises, il y a une marge de progrès à franchir pour renforcer leur maturité et assurer une ges-
tion optimale des risques. Cette marge de progrès réside principalement dans l’organisation et les méthodes de travail.
La prise de risque n’est pas mesurée dans 24% des cas : n’est-ce pas cela le risque majeur ?
Une gestion de risques en silos
Comment jugez-vous l’efficacité de la démarche risque ? Comment jugez-vous la prise de risque ?
Réponse risque SI
Réponse risque SSI
Réponse risque continuité
DSI
RSSI
RPCA
Risk
manager
ClientsConcurrence
PartenairesRégulateurs
Mars 2012 - Les Synthèses © Solucom 11•
…en articulant les filières de gestion des risques
traitant du SI
Voici quelques organisations « types » rencontrées dans les entreprises permet-
tant, avec un niveau d’efficacité graduel, de répondre aux enjeux de la gestion
des risques liés au SI. Ces principes pourraient être appliqués ensuite aux
autres domaines de risques de l’entreprise.
La tour de Babel, des langages
différents
L’organisation « tour de Babel » maté-
rialise une situation où chacun parle
des langages différents. Dans ce cas
de figure, majoritaire aujourd’hui, les
constats sont évidents :
•	 Il n’y a pas de liens entre les
filières. Chacune traite de son
périmètre en appliquant sa
propre méthode ;
•	 Chaque filière s’adresse aux
métiers indépendamment et
sans concertation avec les
autres acteurs de la gestion des
risques, entraînant de multiples
sollicitations ;
•	 Chaque filière remonte ses
propres risques à la Direction
générale.
Dans cette configuration, la consolida-
tion de l’ensemble des risques iden-
tifiés indépendamment les uns des
autres n’est pas faite. Aboutir à une
vision « entreprise » des risques est
dès lors tout simplement impossible.
La tour de Pise, une situation
déséquilibrée
L’organisation « tour de Pise » sym-
bolise une situation déséquilibrée.
Ce déséquilibre s’explique par une
ébauche de consolidation verticale
des risques vers la Direction des
risques. Chaque cartographie des
risques est intégrée à la cartogra-
phie du niveau « supérieur » (par
exemple : risques de continuité inté-
grés aux risques sécurité).
Néanmoins, dans ce type d’organisa-
tion, l’information redescend généra-
lement peu vers les métiers qui restent
sollicités de manière indépendante et
souvent incohérente par l’ensemble
des acteurs du risque. Les métiers ont
en conséquence du mal à identifier
l’intérêt de la démarche risques.
Dans cette organisation, les décisions
sont prises sur des bases peu solides.
Comment s’assurer de la pertinence
des risques qui « remontent » jusqu’à
la Direction générale ? Sont-ils vrai-
ment les risques les plus importants
de l’entreprise ? Sans concertation
de l’ensemble des acteurs de la
« filière » risque, il reste délicat de
répondre à ces deux questions clés.
En conséquence, si cette organisa-
tion est plus opérante que la « tour
de Babel », elle n’est néanmoins pas
encore idéale.
La tour de contrôle, l’organisation
intégrée cible
L’organisation la plus optimale est la
« tour de contrôle », symbole d’une
vision d’ensemble ainsi que d’une
information partagée et consolidée.
Dans cette situation, tous les acteurs
de la gestion du risque SI partagent
la même démarche. Ils se concertent
sur la méthode, utilisent les mêmes
échelles d’évaluation des risques et
centralisent les résultats. Ce rappro-
chement favorise ainsi la consolida-
tion d’une information validée par
tous et la construction d’une vision
cohérente de l’ensemble des risques
de l’entreprise. L’approche « tour de
contrôle » favorise par ailleurs l’opti-
misation budgétaire dans la mesure
où elle permet de se concentrer sur
les plans de réduction des risques
jugés prioritaires.
Attention, rapprochement des filières
ne veut néanmoins pas dire fusion
des filières. Chacune a recours à des
compétences, des expertises et des
normes spécifiques.
La « tour de contrôle » est l’orga-
nisation optimale mais il n’est pas
évident de l’implémenter immédia-
tement. Sa mise en place progressive
est, de ce fait, préférable si elle pose
les bases d’une approche des risques
partagée et permet un changement
de culture.
Le Sourcing des études
12• Les Synthèses © Solucom - Mars 2012
Management des risques :
plaidoyer pour une vision unifiée
Étape 1 - Utiliser une échelle
commune : un pré-requis à la
démarche
L’échelle vise à mesurer de manière
objective les risques. Elle comprend
deux axes : la probabilité et l’impact
qui, combinés, permettent d’évaluer
la criticité du risque.
Disposer d’une échelle commune au
sein de l’entreprise semble une évi-
dence. Pourtant, il est rare que cette
bonne pratique soit en place, ce qui
complexifie la collaboration entre les
filières. Cette lacune rend impossible
une lecture d’ensemble des cartogra-
phies des risques élaborées. La pre-
mière étape pour intégrer les filières
de gestion des risques est donc de
définir des échelles communes. La
collecte des échelles en vigueur, leur
analyse et la rencontre des porteurs
des filières doivent permettre d’iden-
tifier les points de dépendance clés.
Quels sont les critères communs à
l’ensemble des filières ? Quelles sont
les spécificités de chacune ?
Cette phase d’analyse passée, il s’agit
ensuite de construire les échelles
cibles, en trouvant un compromis entre
les visions des différents acteurs. Les
métiers doivent en effet se reconnaître
dans les types et les niveaux d’impacts
définis. L’atteinte d’un consensus n’est
pas toujours aisé, mais il est nécessaire
de rester ferme sur l’utilisation d’une
échelle commune pour permettre la
suite de la démarche.
Exemple d’échelle
d’impact financier
Les 1ères
étapes de l’intégration des filières
en pratique
La mise en place de l’organisation « tour de contrôle » peut être réalisée selon
les étapes suivantes : utilisation d’une échelle commune, définition d’un porte-
feuille de risques, optimisation du travail avec les métiers et mise en commun
des plans d’actions.
Facteurs clés de succès
Dans cet exercice, quelques clés permettent de garantir le caractère opéra-
tionnel des échelles définies :
•	 L’impact financier suffit rarement à qualifier de manière représentative
les impacts d’un risque, sans compter qu’il est parfois difficile pour les
métiers de le quantifier. Il est donc judicieux d’intégrer les impacts opé-
rationnels, juridiques ou encore d’image. Cette adaptation est à faire au
regard des enjeux propres au secteur d’activité de l’entreprise.
•	 Les événements déjà survenus dans l’organisation ou son environnement
permettent de calibrer de manière appropriée l’échelle.
•	 Enfin, la définition d’une échelle commune à l’entreprise doit permettre
une certaine latitude et permettre des évolutions futures. Ainsi, il est
préférable de fixer quatre voire cinq niveaux dans l’échelle, quitte à ce
que certaines filières ou entités n’en utilisent qu’un sous-ensemble adapté
à leur situation. Si l’échelle entreprise ne prévoit pas suffisamment de
niveaux, les résultats finaux peuvent manquer de finesse et certains
risques peuvent être « noyés » dans la masse, nuisant à l’analyse et la
capacité de décision.
« Il est nécessaire de rester ferme sur l’utilisation
d’une échelle commune pour permettre la suite de
la démarche. »
Mars 2012 - Les Synthèses © Solucom 13•
Exemple de recouvrement de risques liés au SI
Étape 2 - Construire un portefeuille
de risques : un référentiel de
pilotage unique
Une fois les échelles définies, il
s’agit de construire le portefeuille de
risques. La démarche de fédération et
d’intégration du travail de plusieurs
filières de gestion des risques doit
effectivement passer par une étape
de mise en commun des risques. Cela
permet de définir la structure d’un
portefeuille de risques. Ce référentiel
centralisera le résultat du travail de
chacun et sera la base du reporting.
La constitution d’un portefeuille de
risques commence par l’analyse de
l’existant : quels sont les objectifs de
chacun ? Quels types de risques sont
traités ? Cette première étape permet
de structurer les types de risques
gérés au sein de grands domaines
constituant le portefeuille, dans une
logique de « catalogue » de risques
génériques.
Il convient ensuite d’identifier les
zones de recouvrement. En effet, il
est bien souvent impossible de posi-
tionner un risque dans une unique
filière. Voici quelques exemples illus-
trant ces zones d’adhérence pour les
filières SI, SSI et continuité :
•	 La perte d’un datacenter est
traitée à la fois par la filière
continuité, dont le plan de conti-
nuité informatique est l’un des
axes de travail et par la filière
SI, qui s’intéresse aux possibles
défaillances de la production ;
•	 L’usurpation d’identité et l’abus
de droits sont des risques trai-
tés par le RSSI, mais qui inté-
ressent aussi la filière SI sous
l’angle applicatif ;
•	 La non-conformité réglemen-
taire, enfin, est abordée par
l’ensemble des trois filières.
Identifier les zones d’adhérence est
un élément clé de la constitution du
portefeuille de risques. Une fois ces
recouvrements identifiés, il est alors
possible de formaliser les responsa-
bilités sur ces risques pour éviter,
dans le meilleur des cas, un travail
redondant, et dans le pire des cas des
démarches contradictoires.
Le Sourcing des études
14• Les Synthèses © Solucom - Mars 2012
Management des risques :
plaidoyer pour une vision unifiée
Pour chacun des domaines de risques
définis, des responsables doivent être
identifiés. Il s’agit souvent naturel-
lement des acteurs des différentes
filières risques en place, avec un
travail plus fin au niveau des zones
d’adhérence permettant de coordon-
ner l’analyse sur ces périmètres. Des
modèles de responsabilités de types
RACI* permettent une formalisation
claire et précise des responsabilités.
Étape 3 - Transformer la relation
avec les métiers
Les métiers souffrent des nombreuses
sollicitations des filières risques qui
créent une lassitude et leur rejet. La
coordination et l’optimisation de la
relation avec les métiers est donc
un enjeu majeur, l’objectif étant de
repositionner les filières risques en
conseillers et non en demandeurs.
Plusieurs leviers d’optimisation sont
à mettre en œuvre. Tout d’abord, le
travail sur les zones d’adhérence des
risques, effectué lors de la constitu-
tion du portefeuille de risques, doit
être remis à profit pour anticiper les
redondances et les contourner au tra-
vers d’entretiens ou de questionnaires
communs sur ces périmètres.
Ensuite, l’échange des informations
collectées auprès des métiers est un
levier pour enrichir les démarches res-
pectives des filières. Ce nouvel angle
de vue doit permettre d’enrichir la
réflexion et de garantir une sollicitation
efficace des métiers.
Pour mettre en œuvre de manière
opérationnelle ces deux leviers, un
calendrier partagé doit être défini. Il
permettra de cadencer dans l’année
les rendez-vous avec les métiers, et de
les placer dans l’ordre le plus adapté.
Attention, si optimiser la relation per-
met la réduction des sollicitations, cela
ne veut pas dire pour autant qu’un seul
point de rencontre sera suffisant !
Enfin, la mutualisation de la restitu-
tion et du reporting doit permettre la
mise en perspective des risques et les
éventuels arbitrages lors de la valida-
tion des risques.
Cette restitution peut être portée
par l’un des acteurs à définir par le
Directeur des risques, par exemple au
cours d’un rendez-vous annuel.
Étape 4 : partager les plans
d’actions
L’étape suivante de l’intégration des
filières s’appuie naturellement sur le
partage et la coordination des plans
d’actions.
Historiquement chaque filière gérait
son plan d’actions et les budgets
associés. En partageant la vision des
risques, la définition des plans d’ac-
tions est plus simple à optimiser. Les
actions identifiées par chaque filière
Quelles sont les attentes
envers la gestion des risques
liés au SI ?
Interrogées sur leurs attentes vis-
à-vis de la gestion des risques liés
au SI, les entreprises se prononcent
majoritairement pour l’aide au pilo-
tage et l’orientation des décisions
de la DSI. La réduction des coûts,
via l’optimisation des budgets, et la
conformité viennent ensuite.
Facteurs clés de succès
La réussite de la mise en place d’un
portefeuille de risques réside souvent
dans une définition progressive :
•	 La démarche peut être initiée
avec les domaines de risques
correspondant aux filières
les plus mûres, qui pourront
ainsi alimenter le référentiel
avec plus de facilité, dans une
logique de « pilote » ;
•	 La couverture des risques peut
ensuite être élargie progressi-
vement, en s’appuyant sur de
premiers retours d’expérience
positifs.
sont partagées, et des synergies peu-
vent être dégagées :
•	 Les actions de réduction des
risques sur les zones d’adhé-
rence peuvent ainsi être défi-
nies collégialement, chaque
filière traitant d’une compo-
sante du risque ;
•	 Les actions redondantes, voire
contradictoires, peuvent être
identifiées et arbitrées.
Exemple de répartition des responsabilités par domaine
de risques
Domaine
ITrisk
manager
RSSI
RPCA
Achats
DSI
DSI
Risk
manager
Métier
Continuité I C R I I A
Sécurité I R C I I A
Conformité R C C I I A
Production R I I A
Sourcing R I I A
...
•	R : responsible
•	C : consulted
•	A : accountable
•	I : informed
*cf lexique page 18
Mars 2012 - Les Synthèses © Solucom 15•
Les bases d’un reporting commun
Une instance de pilotage
stratégique commune
Une instance commune doit être
mise en place pour assurer le pilotage
de la gestion intégrée des risques : il
s’agit souvent du comité des risques,
ou comité des risques SI selon le péri-
mètre visé. Il regroupe les représen-
tants des différentes filières et des
métiers, ainsi que la DSI.
Ce comité doit a minima se réunir
pour les étapes clés de la démarche
de gestion des risques :
•	 Lors de son initialisation, pour
valider les échelles, porte-
feuille, dispositions méthodo-
logiques, planning, etc.
•	 Après la constitution des car-
tographies des risques qui
alimentent le portefeuille de
risques pour valider le niveau
de risque ainsi que les actions
de traitement et leur répartition
dans les filières ;
•	 De manière régulière (trimes-
trielle a minima) pour assurer
le suivi du plan d’actions conso-
lidé et la réévaluation du niveau
de risque en conséquence.
Des comités peuvent également être
mis en place pour le suivi opération-
nel plus régulier.
Un autre bénéfice non négligeable du
partage des plans d’actions est bien sûr
l’optimisation des budgets. Les coûts
globaux de traitement des risques sont
ainsi consolidés et l’allocation des
budgets gérée de manière plus per-
tinente sur l’ensemble du périmètre.
Par ailleurs, des actions mineures qui,
prises indépendamment dans chaque
filière n’auraient pas été retenues, peu-
vent être finalement engagées si elles
sont identifiées par plusieurs filières.
Une fois le plan d’actions défini et
les budgets alloués, chaque filière
dispose de sa feuille de route projet,
dont elle porte la mise en œuvre et/ou
le suivi selon les cas. Un suivi régu-
lier et commun doit alors être mis en
place, afin de mesurer l’évolution du
niveau de risque en intégrant l’en-
semble des composantes des plans
de traitement.
Le Sourcing des études
16• Les Synthèses © Solucom - Mars 2012
Management des risques :
plaidoyer pour une vision unifiée
« La démarche de gestion des risques
SI se doit d’être transverse : c’est
en avançant ensemble vers une
organisation intégrée et en se dotant
d’outils partagés que la maîtrise glo-
bale des risques pourra s’améliorer. »
Mars 2012 - Les Synthèses © Solucom 17•
La gestion des risques s’est développée au fil des années dans les entreprises, en constituant peu à peu des silos
dédiés à chacun des types de risques, et ceci en particulier sur la filière SI. Cette réponse ne permet aujourd’hui
plus aux responsables des risques de jouer pleinement leur rôle d’aide à la décision. Il apparaît donc nécessaire
de décloisonner ces démarches et de faire travailler les filières main dans la main pour atteindre un objectif
commun : permettre une vision globale au niveau du SI et de l’entreprise.
La démarche de gestion des risques SI se doit donc d’être transverse : c’est seulement en avançant ensemble
vers une organisation intégrée de type « tour de contrôle », et en se dotant d’outils partagés que la maîtrise
globale des risques pourra s’améliorer. La transformation des filières nécessitera une mise en œuvre progressive
en s’appuyant sur les périmètres les plus mûrs pour amorcer la dynamique et ensuite étendre la démarche
à d’autres domaines de risques. Comme tous les changements d’organisation associés, elle nécessitera un
accompagnement par une conduite du changement.
Un acteur est tout désigné pour piloter cette démarche : l’IT risk manager, une nouvelle fonction à la croisée
des filières traitant des risques autour de l’information. Quand l’IT risk manager n’est pas encore identifié, le
RSSI est un bon candidat pour endosser cette mission comme le montrent les premières tendances. Habitué à
travailler à la fois avec les métiers et la DSI, il allie compétences techniques et méthodologiques ainsi qu’une
transversalité précieuse : il s’agit d’ailleurs sûrement là d’une évolution naturelle de la fonction de RSSI du
management des risques sécurité au management des risques SI !
En conclusion
Le Sourcing des études
18• Les Synthèses © Solucom - Mars 2012
Management des risques :
plaidoyer pour une vision unifiée
Lexique
Cartographie des risques
Représentation des risques identifiés
au sein de l’entreprise et de leur cri-
ticité relative
COBIT
Référentiel d’objectifs de contrôle
de l’information et des technologies
associées
COSO
Cadre de référence de la gestion des
risques en entreprise
Criticité
Combinaison de la probabilité et de
l’impact d’un risque (peut être éga-
lement appelée gravité)
Échelle
Outil de mesure des risques, permet-
tant de retranscrire les probabilités et
l’impact des risques dans un langage
simple
Filière
Ensemble des acteurs intervenant sur
un sujet donné, par exemple la ges-
tion des risques pour la filière risque
ISO 27001
Norme internationale définissant les
exigences pour la mise en place d’un
système de management de la sécu-
rité de l’information
ISO 27005
Norme internationale définissant les
principes de gestion des risques de la
sécurité des systèmes d’information
ISO 31000
Norme internationale définissant les
principes et lignes directrices pour le
management du risque
ITGI
IT Governance Institute
IT RM
Information technology risk manager.
Personne en charge de la gestion des
risques SI, en lien avec le DSI et les
métiers
Portefeuille de risques
Référentiel de centralisation des
risques de l’entreprise
RACI
Modèle anglo-saxon de représen-
tation des responsabilités basé sur
quatre rôles : responsible (fait l’ac-
tion), accountable (valide l’action),
consulted (donne son avis), informed
(est informé)
RPCA
Responsable du plan de continuité
d’activité. Il gère les risques d’in-
terruption de l’activité : perte d’un
bâtiment, d’un site informatique, etc
RSSI
Responsable de la sécurité du sys-
tème d’information. Il a en charge les
risques de sécurité de l’information
Mars 2012 - Les Synthèses © Solucom 19•
À propos de Solucom
Solucom est un cabinet indépendant
de conseil en management et
système d’information.
Ses clients sont dans le top 200
des grandes entreprises et
administrations. Pour eux, le cabinet
est capable de mobiliser et de
conjuguer les compétences de près
de 1000 collaborateurs.
Sa mission ? Porter l’innovation au
cœur des métiers, cibler et piloter les
transformations créatrices de valeur,
faire du système d’information
un véritable actif au service de la
stratégie de l’entreprise.
Solucom est coté sur NYSE Euronext
et a obtenu la qualification entreprise
innovante décernée par OSEO
Innovation.
Pour en savoir plus, www.solucom.fr
L’Atelier Solucom
Acteur indépendant du marché du conseil, Solucom est témoin des mutations en profondeur de l’organisation des
DSI. Fort de ses retours d’expérience en matière de gouvernance SI, le cabinet apporte sa vision sur des problé-
matiques actuelles et émergentes.
Imaginé sous forme de club, l’Atelier Solucom, porté par des directeurs associés de Solucom, est un lieu d’échange
où nos clients abonnés sont invités à partager et échanger sur le présent et le futur du management des systèmes
d’information. L’objectif ? Accompagner nos clients dans leurs réflexions stratégiques et prospectives, formaliser
les meilleures pratiques, pour identifier et se préparer ensemble aux challenges IT de demain.
Pour connaître les thèmes et les dates des prochains ateliers, ateliersolucom@solucom.fr
Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 8
92042 Paris La Défense Cedex
Tél. : 01 49 03 25 00 Fax. : 01 49 03 25 01
www.solucom.fr
CopyrightSolucom-ISBN978-2-918872-11-5EAN9782918872115-Responsabledelapublication :LaurentBellefin

Contenu connexe

Tendances

La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risquesMariem SELLAMI
 
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillon
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de PapillonManagement des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillon
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillonibtissam el hassani
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif ibtissam el hassani
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographieibtissam el hassani
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesOlivier Pinette
 
Management des risques
Management des risques Management des risques
Management des risques Pasteur_Tunis
 
GP Chapitre 4 : La planification de production
GP Chapitre 4 : La planification de production GP Chapitre 4 : La planification de production
GP Chapitre 4 : La planification de production ibtissam el hassani
 
Evaluation financière des projets
Evaluation financière des projetsEvaluation financière des projets
Evaluation financière des projetsFINALIANCE
 
Fiche 4 management des risques
Fiche  4    management des risquesFiche  4    management des risques
Fiche 4 management des risquesHalim ARROUDJ
 
Management des risques 6 : HAZOP, HAZard and OPerability
Management des risques 6 :  HAZOP, HAZard and OPerabilityManagement des risques 6 :  HAZOP, HAZard and OPerability
Management des risques 6 : HAZOP, HAZard and OPerabilityibtissam el hassani
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarcheRémi Bachelet
 
Méthode d'analyse de risques (MADS MOSAR)
Méthode d'analyse de risques (MADS MOSAR)Méthode d'analyse de risques (MADS MOSAR)
Méthode d'analyse de risques (MADS MOSAR)Gwendoline Papegaey
 
Achats Internationaux
Achats InternationauxAchats Internationaux
Achats InternationauxAli Lotfi
 
Les poissons.
Les poissons.Les poissons.
Les poissons.hanane
 
Webinaire : prévention des risques liés au plomb dans le secteur du BTP
Webinaire : prévention des risques liés au plomb dans le secteur du BTPWebinaire : prévention des risques liés au plomb dans le secteur du BTP
Webinaire : prévention des risques liés au plomb dans le secteur du BTPCRAMIF
 

Tendances (20)

La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risques
 
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillon
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de PapillonManagement des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillon
Management des risques 8 : Arbre de défaillances/ d’Evénements; Nœud de Papillon
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
 
Marque employeur - introduction
Marque employeur - introductionMarque employeur - introduction
Marque employeur - introduction
 
Management des risques
Management des risques Management des risques
Management des risques
 
GP Chapitre 4 : La planification de production
GP Chapitre 4 : La planification de production GP Chapitre 4 : La planification de production
GP Chapitre 4 : La planification de production
 
Evaluation financière des projets
Evaluation financière des projetsEvaluation financière des projets
Evaluation financière des projets
 
37730578 gestion-de-la-production
37730578 gestion-de-la-production37730578 gestion-de-la-production
37730578 gestion-de-la-production
 
Atelier maîtrise des risques
Atelier maîtrise des risquesAtelier maîtrise des risques
Atelier maîtrise des risques
 
Fiche 4 management des risques
Fiche  4    management des risquesFiche  4    management des risques
Fiche 4 management des risques
 
Management des risques 6 : HAZOP, HAZard and OPerability
Management des risques 6 :  HAZOP, HAZard and OPerabilityManagement des risques 6 :  HAZOP, HAZard and OPerability
Management des risques 6 : HAZOP, HAZard and OPerability
 
Stratisen
StratisenStratisen
Stratisen
 
Log 2 2-slidshare
Log 2 2-slidshareLog 2 2-slidshare
Log 2 2-slidshare
 
cours de Gestion des risques - demarche
cours de Gestion des risques - demarchecours de Gestion des risques - demarche
cours de Gestion des risques - demarche
 
Méthode d'analyse de risques (MADS MOSAR)
Méthode d'analyse de risques (MADS MOSAR)Méthode d'analyse de risques (MADS MOSAR)
Méthode d'analyse de risques (MADS MOSAR)
 
Achats Internationaux
Achats InternationauxAchats Internationaux
Achats Internationaux
 
Les poissons.
Les poissons.Les poissons.
Les poissons.
 
Webinaire : prévention des risques liés au plomb dans le secteur du BTP
Webinaire : prévention des risques liés au plomb dans le secteur du BTPWebinaire : prévention des risques liés au plomb dans le secteur du BTP
Webinaire : prévention des risques liés au plomb dans le secteur du BTP
 

En vedette

Gestion des risques_demarche
Gestion des risques_demarcheGestion des risques_demarche
Gestion des risques_demarcheRémi Bachelet
 
Brief presentation of the PMI Cameroon Chapter
Brief presentation of the PMI Cameroon ChapterBrief presentation of the PMI Cameroon Chapter
Brief presentation of the PMI Cameroon ChapterPMI Cameroon Chapter
 
Mesure du risque de marché d’un portefeuille d’actions (MASI)
Mesure du risque de marché d’un portefeuille d’actions (MASI)Mesure du risque de marché d’un portefeuille d’actions (MASI)
Mesure du risque de marché d’un portefeuille d’actions (MASI)Fouad Hamdouni
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risquesmoussadiom
 
Le risque de change
Le risque de changeLe risque de change
Le risque de changeand-one
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet Es-sahli bilal
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques   ibtissam el hassani-chapitre1-2Management des risques   ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2ibtissam el hassani
 
Comprendre la planification de projets
Comprendre la planification de projetsComprendre la planification de projets
Comprendre la planification de projetsMichel Estève
 
Management des risques_ww_w.vosbooks.net__0
Management des risques_ww_w.vosbooks.net__0Management des risques_ww_w.vosbooks.net__0
Management des risques_ww_w.vosbooks.net__0rahma amine
 
Poser du grillage
Poser du grillagePoser du grillage
Poser du grillageGENICIMO
 
Peindre au pistolet
Peindre au pistoletPeindre au pistolet
Peindre au pistoletGENICIMO
 
proyecto etapa 2 REA OPERACIONES BÁSICas
proyecto etapa 2 REA OPERACIONES BÁSICasproyecto etapa 2 REA OPERACIONES BÁSICas
proyecto etapa 2 REA OPERACIONES BÁSICasoriginalfourier
 
Infographie - Fédération Française des Métiers de l'#Exposition et de l'#Evén...
Infographie - Fédération Française des Métiers de l'#Exposition et de l'#Evén...Infographie - Fédération Française des Métiers de l'#Exposition et de l'#Evén...
Infographie - Fédération Française des Métiers de l'#Exposition et de l'#Evén...FFM2E
 
Evaluation question One
Evaluation question OneEvaluation question One
Evaluation question Onelucymcdonnell5
 

En vedette (20)

Gestion des risques_demarche
Gestion des risques_demarcheGestion des risques_demarche
Gestion des risques_demarche
 
Brief presentation of the PMI Cameroon Chapter
Brief presentation of the PMI Cameroon ChapterBrief presentation of the PMI Cameroon Chapter
Brief presentation of the PMI Cameroon Chapter
 
Mesure du risque de marché d’un portefeuille d’actions (MASI)
Mesure du risque de marché d’un portefeuille d’actions (MASI)Mesure du risque de marché d’un portefeuille d’actions (MASI)
Mesure du risque de marché d’un portefeuille d’actions (MASI)
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Le risque de change
Le risque de changeLe risque de change
Le risque de change
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet
 
Management des risques ibtissam el hassani-chapitre1-2
Management des risques   ibtissam el hassani-chapitre1-2Management des risques   ibtissam el hassani-chapitre1-2
Management des risques ibtissam el hassani-chapitre1-2
 
Comprendre la planification de projets
Comprendre la planification de projetsComprendre la planification de projets
Comprendre la planification de projets
 
Management des risques_ww_w.vosbooks.net__0
Management des risques_ww_w.vosbooks.net__0Management des risques_ww_w.vosbooks.net__0
Management des risques_ww_w.vosbooks.net__0
 
Poser du grillage
Poser du grillagePoser du grillage
Poser du grillage
 
Peindre au pistolet
Peindre au pistoletPeindre au pistolet
Peindre au pistolet
 
proyecto etapa 2 REA OPERACIONES BÁSICas
proyecto etapa 2 REA OPERACIONES BÁSICasproyecto etapa 2 REA OPERACIONES BÁSICas
proyecto etapa 2 REA OPERACIONES BÁSICas
 
Infographie - Fédération Française des Métiers de l'#Exposition et de l'#Evén...
Infographie - Fédération Française des Métiers de l'#Exposition et de l'#Evén...Infographie - Fédération Française des Métiers de l'#Exposition et de l'#Evén...
Infographie - Fédération Française des Métiers de l'#Exposition et de l'#Evén...
 
Evaluation question One
Evaluation question OneEvaluation question One
Evaluation question One
 
00. programa typpv2012
00. programa typpv201200. programa typpv2012
00. programa typpv2012
 
Achoura
AchouraAchoura
Achoura
 
CFL
CFLCFL
CFL
 
Charolles
CharollesCharolles
Charolles
 
Info risk
Info riskInfo risk
Info risk
 

Similaire à Management des risques : plaidoyer pour une vision unifiée

Dr haluk f gursel la nouvelle profession anti fraude v3 (1) 2009
Dr haluk f gursel  la nouvelle profession anti fraude   v3 (1) 2009Dr haluk f gursel  la nouvelle profession anti fraude   v3 (1) 2009
Dr haluk f gursel la nouvelle profession anti fraude v3 (1) 2009Haluk Ferden Gursel
 
Facteurs humains en securite industrielle
Facteurs humains en securite industrielle Facteurs humains en securite industrielle
Facteurs humains en securite industrielle Fernand-Jacques GUILLOU
 
F Ewald -- Assurance, prévention, prédiction ... dans l'univers du Big Data -...
F Ewald -- Assurance, prévention, prédiction ... dans l'univers du Big Data -...F Ewald -- Assurance, prévention, prédiction ... dans l'univers du Big Data -...
F Ewald -- Assurance, prévention, prédiction ... dans l'univers du Big Data -...Kezhan SHI
 
Informations syndicales - Présentation du décret “Déclaration des EIG aux ARS”
Informations syndicales - Présentation du décret “Déclaration des EIG aux ARS”Informations syndicales - Présentation du décret “Déclaration des EIG aux ARS”
Informations syndicales - Présentation du décret “Déclaration des EIG aux ARS”Réseau Pro Santé
 
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...yossracherkaoui
 
Le principe de précaution
Le principe de précautionLe principe de précaution
Le principe de précautionPierre Moscovici
 
Cogeo news 29 juin 2012
Cogeo news 29 juin 2012Cogeo news 29 juin 2012
Cogeo news 29 juin 2012Philippe Porta
 
Chronique04
Chronique04Chronique04
Chronique04EXCEO
 
Somnolence au volant actes colloque 220611
Somnolence au volant   actes colloque 220611Somnolence au volant   actes colloque 220611
Somnolence au volant actes colloque 220611Vanessa Levy
 
Somnolence au volant actes colloque 220611
Somnolence au volant  actes colloque 220611Somnolence au volant  actes colloque 220611
Somnolence au volant actes colloque 220611Vanessa Levy
 
Penser une culture du risque : l’approche des cindyniques
Penser une culture du risque : l’approche des cindyniquesPenser une culture du risque : l’approche des cindyniques
Penser une culture du risque : l’approche des cindyniquesJan-Cedric Hansen
 
#CoRIIN2018 : Comment ne pas communiquer en temps de crise
#CoRIIN2018 : Comment ne pas communiquer en temps de crise#CoRIIN2018 : Comment ne pas communiquer en temps de crise
#CoRIIN2018 : Comment ne pas communiquer en temps de criseRayna Stamboliyska
 
Cogeo news 18 mai 2012
Cogeo news 18 mai 2012Cogeo news 18 mai 2012
Cogeo news 18 mai 2012Philippe Porta
 
Expertise scientifique et décision politique
Expertise scientifique et décision politiqueExpertise scientifique et décision politique
Expertise scientifique et décision politiqueDaniel Dufourt
 
stress-et-risques-psychosociaux-au-travail.pdf
stress-et-risques-psychosociaux-au-travail.pdfstress-et-risques-psychosociaux-au-travail.pdf
stress-et-risques-psychosociaux-au-travail.pdfIZOF
 

Similaire à Management des risques : plaidoyer pour une vision unifiée (20)

Dr haluk f gursel la nouvelle profession anti fraude v3 (1) 2009
Dr haluk f gursel  la nouvelle profession anti fraude   v3 (1) 2009Dr haluk f gursel  la nouvelle profession anti fraude   v3 (1) 2009
Dr haluk f gursel la nouvelle profession anti fraude v3 (1) 2009
 
HUMAN and ORGANIZATION FACTORS
HUMAN and ORGANIZATION FACTORSHUMAN and ORGANIZATION FACTORS
HUMAN and ORGANIZATION FACTORS
 
Facteurs humains en securite industrielle
Facteurs humains en securite industrielle Facteurs humains en securite industrielle
Facteurs humains en securite industrielle
 
HUMAN ERRORS MANAGEMENT
HUMAN ERRORS MANAGEMENT HUMAN ERRORS MANAGEMENT
HUMAN ERRORS MANAGEMENT
 
F Ewald -- Assurance, prévention, prédiction ... dans l'univers du Big Data -...
F Ewald -- Assurance, prévention, prédiction ... dans l'univers du Big Data -...F Ewald -- Assurance, prévention, prédiction ... dans l'univers du Big Data -...
F Ewald -- Assurance, prévention, prédiction ... dans l'univers du Big Data -...
 
Informations syndicales - Présentation du décret “Déclaration des EIG aux ARS”
Informations syndicales - Présentation du décret “Déclaration des EIG aux ARS”Informations syndicales - Présentation du décret “Déclaration des EIG aux ARS”
Informations syndicales - Présentation du décret “Déclaration des EIG aux ARS”
 
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
Pr. Badre Eddine CHEGRI & Pr. NAJI SAIDA Seminaire Gestion des risques des Et...
 
Le principe de précaution
Le principe de précautionLe principe de précaution
Le principe de précaution
 
Cogeo news 29 juin 2012
Cogeo news 29 juin 2012Cogeo news 29 juin 2012
Cogeo news 29 juin 2012
 
Chronique04
Chronique04Chronique04
Chronique04
 
Le principe de précaution
Le principe de précautionLe principe de précaution
Le principe de précaution
 
RiskAssur-hebdo_article-6
RiskAssur-hebdo_article-6RiskAssur-hebdo_article-6
RiskAssur-hebdo_article-6
 
Rendez vous Expert: La gestion du risque
Rendez vous Expert: La gestion du risqueRendez vous Expert: La gestion du risque
Rendez vous Expert: La gestion du risque
 
Somnolence au volant actes colloque 220611
Somnolence au volant   actes colloque 220611Somnolence au volant   actes colloque 220611
Somnolence au volant actes colloque 220611
 
Somnolence au volant actes colloque 220611
Somnolence au volant  actes colloque 220611Somnolence au volant  actes colloque 220611
Somnolence au volant actes colloque 220611
 
Penser une culture du risque : l’approche des cindyniques
Penser une culture du risque : l’approche des cindyniquesPenser une culture du risque : l’approche des cindyniques
Penser une culture du risque : l’approche des cindyniques
 
#CoRIIN2018 : Comment ne pas communiquer en temps de crise
#CoRIIN2018 : Comment ne pas communiquer en temps de crise#CoRIIN2018 : Comment ne pas communiquer en temps de crise
#CoRIIN2018 : Comment ne pas communiquer en temps de crise
 
Cogeo news 18 mai 2012
Cogeo news 18 mai 2012Cogeo news 18 mai 2012
Cogeo news 18 mai 2012
 
Expertise scientifique et décision politique
Expertise scientifique et décision politiqueExpertise scientifique et décision politique
Expertise scientifique et décision politique
 
stress-et-risques-psychosociaux-au-travail.pdf
stress-et-risques-psychosociaux-au-travail.pdfstress-et-risques-psychosociaux-au-travail.pdf
stress-et-risques-psychosociaux-au-travail.pdf
 

Plus de Wavestone

Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Wavestone
 
Bank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeBank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeWavestone
 
Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Wavestone
 
Bank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeBank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeWavestone
 
Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Wavestone
 
Solucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseSolucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseWavestone
 
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Wavestone
 
Physical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or diePhysical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or dieWavestone
 
Bank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientBank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientWavestone
 
BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101Wavestone
 
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceSynthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceWavestone
 
The Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesThe Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesWavestone
 
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Wavestone
 
Réseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirRéseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirWavestone
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Wavestone
 
Carrefour des organisations n°77
Carrefour des organisations n°77Carrefour des organisations n°77
Carrefour des organisations n°77Wavestone
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Wavestone
 
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Wavestone
 
Solucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerSolucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerWavestone
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webWavestone
 

Plus de Wavestone (20)

Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
Le double défi de la gestion de crise en 2016 : (ré)émergence de nouveaux ris...
 
Bank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnéeBank insight n°7 - La valorisation de la donnée
Bank insight n°7 - La valorisation de la donnée
 
Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !Digitalisation des parcours client : client first !
Digitalisation des parcours client : client first !
 
Bank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeBank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigme
 
Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”Solucom offices receive a breath of fresh “Air”
Solucom offices receive a breath of fresh “Air”
 
Solucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presseSolucom réinvente ses locaux avec "Air" - Dossier de presse
Solucom réinvente ses locaux avec "Air" - Dossier de presse
 
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
Bank Insight n°2 - MIF2 : contrainte ou opportunité ?
 
Physical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or diePhysical sales networks in the digital era : change or die
Physical sales networks in the digital era : change or die
 
Bank Insight - Piloter la relation client
Bank Insight - Piloter la relation clientBank Insight - Piloter la relation client
Bank Insight - Piloter la relation client
 
BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101BruCON 2015 - Pentesting ICS 101
BruCON 2015 - Pentesting ICS 101
 
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'AssuranceSynthèse Solucom - Big data : une mine d'or pour l'Assurance
Synthèse Solucom - Big data : une mine d'or pour l'Assurance
 
The Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devicesThe Internet of Things: the 4 security dimensions of smart devices
The Internet of Things: the 4 security dimensions of smart devices
 
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
Résultats annuels 2014/15 et plan stratégique Up 2020 – Diaporama (SFAF du 03...
 
Réseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourirRéseaux physiques à l'ère du digital : se transformer ou mourir
Réseaux physiques à l'ère du digital : se transformer ou mourir
 
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
Solucom - Présentation GS DAYS 2015 - CARA, les 4 dimensions de la sécurité d...
 
Carrefour des organisations n°77
Carrefour des organisations n°77Carrefour des organisations n°77
Carrefour des organisations n°77
 
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
Synthèse n°52 : Et si les DSI tiraient enfin parti de leur capital humain ?
 
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
Synthèse Solucom - Energéticiens et monde digital : une relation en mode combat?
 
Solucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance SpeakerSolucom - Les Cahiers d'Insurance Speaker
Solucom - Les Cahiers d'Insurance Speaker
 
Solucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201webSolucom lettre sécurité 36 janvier 2015 1201web
Solucom lettre sécurité 36 janvier 2015 1201web
 

Management des risques : plaidoyer pour une vision unifiée

  • 1. LES SYNTHÈSES SOLUCOM Management des risques : plaidoyer pour une vision unifiée Observatoire du management des systèmes d’information no 42
  • 2. Le Sourcing des études 2• Les Synthèses © Solucom - Mars 2012 Management des risques : plaidoyer pour une vision unifiée Marion Couturier est consultante senior chez Solucom, au sein de la practice Sécurité & risk management depuis 2007. Diplômée de Telecom École de Management, elle intervient auprès de nos clients dans la mise en place de leur gouvernance sécurité, la réalisation de cartographies des risques et l’animation de campagnes de sensibilisation. marion.couturier@solucom.fr Etienne Bouet est manager chez Solucom, au sein de la practice Sécurité & risk management depuis 2008. Diplômé de l’Institut des Sciences de l’Ingénieur de Montpellier, il a débuté sa carrière dans un cabinet d’audit. Chez Solucom, il accompagne nos clients dans l’évaluation et l’amélioration de l’organisation de leurs filières risques et sécurité. Il anime des démarches transverses de gestion des risques. etienne.bouet@solucom.fr Gérôme Billois est manager chez Solucom, au sein de la practice Sécurité & risk manage- ment depuis 2004. Diplômé de l’INSA Lyon, il accompagne depuis plus de 10 ans les DSI et RSSI dans l’évalua- tion et la mise en place de leur gouvernance sécurité et dans leurs projets de sécurisation de l’information. gerome.billois@solucom.fr Solucom remercie Patrick Peretti-Watel, docteur en sociologie du risque à l’INSERM, pour son intervention lors de notre Atelier du 22 septembre 2011, ainsi que tous les participants de l’Atelier.
  • 3. Mars 2012 - Les Synthèses © Solucom 3• ÉDITO La gestion des risques : un des piliers de la gouvernance SI Dans tous les bons manuels de management et de gouvernance, la gestion des risques est bien considérée comme l’un des processus clés à mettre en place. Et ce constat se vérifie aussi dans le domaine des systèmes d’information. Ainsi l’IT Governance Institute évalue le niveau de maturité de la gouvernance SI à travers 5 grands domaines : l’ali- gnement business / SI, l’apport de valeur ajoutée, la gestion des ressources, la mesure de la performance et enfin, la gestion des risques. Pourtant, les DSI ne l’ont pas encore intégrée dans leurs pratiques de pilotage courantes. Entre la sécurité des systèmes d’information d’un côté, essentielle mais qui ne couvre que très partiellement le sujet, et la gestion des risques opérationnels de l’autre, souvent trop lointaine, la gestion des risques SI reste très mal couverte. Peut-être est-ce tout simplement un symptôme de la faible maturité générale de la gouvernance SI ? Nous sommes en effet tout juste en train de sortir de l’ère des DSI « exécutantes », gérant au mieux la demande en silos des métiers, pour passer à l’ère des DSI pilotes de leur stratégie, échangeant d’égal à égal avec les métiers pour faire évoluer le SI comme un ensemble cohérent, au service de la stratégie de l’entreprise. Dans ce mouvement de montée en maturité de la gouvernance SI, la gestion des risques est bien une composante essentielle. Elle fait partie intégrante du dispositif de pilotage et d’aide à la décision du DSI. Et elle doit s’articuler avec la gestion des risques de l’entreprise, à la hauteur du poids critique que représente maintenant le SI. Que recouvre la gestion des risques SI ? Comment l’articuler avec les filières organisa- tionnelles existantes ? Comment la mettre en place ? Autant de questions auxquelles nous vous proposons de répondre à travers cette nouvelle Synthèse de notre observatoire du management des systèmes d’information. Bonne lecture à tous. Laurent Bellefin, Directeur associé Directeur de la publication «  Il y a bien des manières de ne pas réussir, mais la plus sûre est de ne jamais prendre de risques. » Benjamin Franklin
  • 4. Le Sourcing des études 4• Les Synthèses © Solucom - Mars 2012 Management des risques : plaidoyer pour une vision unifiée Quelle perception du risque dans la société ? Avant de plonger dans la gestion du risque en entreprise, prenons un peu de recul pour nous intéresser à la gestion du risque dans notre monde moderne. Agrégé en sciences sociales, Patrick Peretti-Watel est docteur en sociolo- gie du risque et statisticien. Il a écrit de nombreux ouvrages sur le risque dans la société et a présenté, lors de l’Atelier Solucom, son point de vue sur cette thématique au cœur de nos préoccupations. Un monde paradoxalement moins dangereux mais plus risqué… Alors que notre monde est de moins en moins dangereux, comme l’atteste notamment l’allongement considé- rable de notre espérance de vie depuis un siècle, nous avons aujourd’hui le sentiment de vivre dans un monde de plus en plus risqué. Risques ali- mentaires, écologiques, technolo- giques, financiers, métiers à risques, populations à risques… le risque est omniprésent et sans cesse mis sur le devant de la scène médiatique. Pour paraphraser le philosophe François Ewald, rien n’est en soi un risque, mais tout peut en devenir un. Le risque est plus une façon d’appré- hender le réel, associée à une volonté de maîtriser l’avenir. Cette « mise en risque » progressive du monde est justement ce qui caractérise l’histoire du 20ème siècle. C’est dans ce sens que l’on parle parfois de la « société du risque », ou de la « civilisation du risque ». Dans une certaine mesure, plus nous « fabriquons » des risques, plus nous gagnons en sécurité : c’est pour cela que nous vivons dans un monde qui est para- doxalement de plus en plus risqué et de moins en moins dangereux. Quelcomportementfaceaurisque? Erving Goffman, sociologue améri- cain, remarquait que les hommes, comme les animaux, oscillent en permanence entre deux états d’acti- vité, la veille et l’alarme, passant de l’un à l’autre lorsqu’un signal attire leur attention sur un danger dans leur environnement. Pour lui, certains individus sont plus sensibles que d’autres à ces signaux et plus prompts à réagir : « À considérer la tendance des individus à être tantôt tranquilles et tantôt sur leurs gardes, il est facile de voir que certains ressemblent à la biche, toujours prête à s’effrayer, alors que d’autres ressemblent à la vache, lente à se mobiliser ». Pour prolon- ger cette analogie, dans la mesure où, aujourd’hui, notre capacité à identi- fier des risques croît beaucoup plus vite que notre capacité à les gérer, on pourrait dire que l’homme moderne possède les aptitudes perceptives d’une biche, mais la réactivité d’une vache. Évidemment, ce décalage est anxiogène ! L’incongruité du risque zéro La « mise en risque » progressive du monde a été au 20ème siècle corrélative d’une nouvelle utopie : celle du risque zéro. L’expansion continue du risque est portée par un espoir qui peut sem- bler rétrospectivement un peu naïf : on a longtemps pensé que la science, grâce aux techniques du risque, allait parvenir à éradiquer certains dangers pour nous garantir une sécurité totale. Mais dans de nombreux domaines, les experts ont dû admettre que le risque nul n’existe pas, que certains risques sont rémanents, que d’autres sont concurrents, et que la réduction des uns peut renforcer les autres. Par exemple, certains médicaments qui servent à réduire le risque de rechute après un type de cancer ne sont pas prescrits trop longtemps, car ils aug- mentent les risques d’autres cancers. L’échec de l’utopie du risque zéro s’explique de différentes façons. L’une d’entre elles est l’intrusion du facteur humain. C’est ce qu’illustre par exemple la théorie du risque homéostatique. Selon cette théorie, les individus ne recherchent pas for- cément le risque zéro, ils sont même prêts à s’exposer à un certain niveau de risque qu’ils jugent « accep- table », pour en retirer un bénéfice. Par exemple, lorsque l’on a équipé des taxis allemands de systèmes qui réduisent la distance de freinage, dans un premier temps cela a réduit leur risque d’accident… Mais les chauffeurs se sont adaptés en en profitant pour conduire plus vite et en freinant plus tardivement, de sorte qu’au final, le nombre d’accidents est resté identique. L’ajustement du comportement de ces chauffeurs a ainsi rendu inopérante la mesure de réduction du risque d’accident. Plus généralement, les experts de la sécurité ont souvent tendance à se focaliser sur le risque qu’ils ont à gérer, et peinent à se rendre compte que les individus qui sont exposés à ce risque peuvent très bien avoir d’autres contraintes, d’autres risques. « L’hommemodernepos- sèdelesaptitudespercep- tives d’une biche, mais la réactivité d’une vache. Évidemment,cedécalage est anxiogène ! »
  • 5. Mars 2012 - Les Synthèses © Solucom 5• Par exemple, lorsqu’a été envisagé le fait d’enfouir des déchets radioactifs à Marcoule, la commission mise en place pour évaluer les risques s’est rendue compte qu’elle n’avait pas du tout envisagé le risque qui préoccu- pait le plus les viticulteurs locaux : un risque commercial fort, étant donné que ces viticulteurs exportaient beau- coup de leur vin vers le Japon… Un déni du risque redoutable Dans les années 80, l’anthropologue Françoise Zonabend a travaillé sur l’usine de retraitement des déchets radioactifs, située à La Hague. Dans cette usine, les ouvriers de La Hague étaient enclins à ce que l’on appelle le déni du risque. Autrement dit, face aux experts qui leur parlaient du risque de contamination radioactive auquel ils étaient exposés, ils avaient tendance à se trouver de bonnes raisons pour juger qu’eux-mêmes n’étaient pas ou peu exposés à ce risque, même si d’autres l’étaient. Les jeunes recrues pensaient que le risque toucherait les plus expérimentés, moins bien formés qu’eux. Les plus anciens étaient au contraire convaincus que seuls les jeunes, moins expérimentés qu’eux, étaient en danger. Le déni du risque s’appuie souvent sur une stratégie de « bouc émis- saire », qui consiste à mettre un risque à distance en estimant que ce risque ne concerne qu’une caté- gorie d’individus bien particulière, à laquelle on n’appartient pas soi- même. Beaucoup de gens continuent à croire, aujourd’hui encore que le virus du VIH ne peut toucher que les homosexuels ou les toxicomanes. Ils ne se sentent donc pas concernés par les campagnes de prévention. Un principe de précaution qui devient principe d’abstention Ces dernières décennies ont également été marquées par ce que l’on appelle le principe de précaution qui, dans une certaine mesure, marque une forme de retour à l’utopie du risque zéro. Selon la loi Barnier de 1995, le principe de précaution implique que « l’ab- sence de certitudes, compte tenu des connaissances scientifiques et tech- niques du moment, ne doit pas retar- der l’adoption de mesures effectives et proportionnées visant à prévenir un risque de dommages graves et irré- versibles à l’environnement à un coût économiquement acceptable ». Nous avons largement pu expérimenter ce principe de précaution : ce dernier est très souvent invoqué pour récla- mer ou justifier des mesures préven- tives en l’absence de certitudes sur le risque encouru : cas de la vache folle, des OGM, des champs électromagné- tiques… En vertu de ce principe, le politique ou l’industriel a un devoir d’anticipation, il doit tenir compte des incertitudes scientifiques à long terme. Mais aujourd’hui, est fait un usage galvaudé de ce principe de précau- tion, ce dernier se transformant en principe d’abstention. Il est invoqué à tort et à travers, passe outre les garde-fous posés par la loi, fait seu- lement mention des risques « graves et irréversibles » et n’envisage que des mesures « proportionnées », à un coût « économiquement accep- table ». Sans ces restrictions de bon sens, ce principe conduit à toujours envisager le pire, et à payer très cher pour viser un « risque zéro » hors d’atteinte. Au nom de ce principe, vous pouvez défendre la vaccination de masse : il était théoriquement possible que la grippe H1N1 fasse des millions de victimes en France, il fallait donc vacciner tout le monde. Mais inversement, le nouveau vac- cin préparé dans l’urgence avait une probabilité non nulle d’engendrer des effets secondaires très graves : ainsi, au nom du même principe de précau- tion, la population pouvait tout aussi bien refuser de se faire vacciner. Deux dimensions du risque, technique et humaine Aujourd’hui, la gestion d’un risque, dans la société comme au sein d’une entreprise, implique au moins deux dimensions interdépendantes. D’abord une dimension technique, qui doit déterminer les coûts et les bénéfices attendus, ainsi que le degré d’acceptabilité du risque. Ensuite une dimension humaine, qui implique un dialogue avec les personnes concernées, et en particu- lier, au sein d’une entreprise, avec les salariés, avec les métiers, pour que leurs points de vues, leurs besoins et leurs objectifs propres soient pris en compte.
  • 6. Le Sourcing des études 6• Les Synthèses © Solucom - Mars 2012 Management des risques : plaidoyer pour une vision unifiée Un enjeu : savoir prendre des risques ! Une gestion des risques à mettre au service des métiers et de l’innovation Tout comme la société, l’entreprise évolue dans un environnement de risques qui sont de natures très différentes et touchent toutes les facettes de l’entre- prise : sa stratégie, son business, son système d’information... Lesmenacesquipèsentsurl’entreprise peuvent être dues à son environnement ou être liées à ses mutations : • Exigencescroissantesdesclients, partenaires et utilisateurs… ; • Durcissement des réglementa- tions ; • Fusions, repositionnements, res- tructurations ; • Émergence de la responsabilité sociétale ; • Prise de conscience aigüe des risques technologiques et envi- ronnementaux,misenlumièrepar des incidents de grande ampleur comme Fukushima en 2011. Une gestion au service de l’atteinte des objectifs de l’entreprise La perception de plus en plus nette des menaces pousse les entreprises à mettre en œuvre des démarches de gestiondesrisques.Malheureusement, cesdémarchesrestentencoretropsou- vent perçues comme des contraintes venant brider les métiers créateurs d’initiatives et de valeur. Les démarches de gestion des risques peuvent donner l’impression de sur- traiter le risque, voire de le refuser systématiquement. En se focalisant sur les pertes potentielles, les filières de gestion des risques oublient par- fois les gains potentiels d’une prise de risque. Se développer sur un nou- veau marché, adapter son offre com- merciale, acquérir une société… sont autant de démarches « risquées » qui se révèlent aussi sources potentielles de profits pour l’entreprise et bien sou- vent nécessaires à son évolution. Pour chaque risque, c’est ce difficile exer- cice d’équilibre entre gains et pertes potentiellesquidoitpermettredemodi- fier la perception que les métiers ont des démarches de gestion des risques. Cibler une prise de risque alignée avec les enjeux métiers Une gestion des risques efficace doit apporter une aide à la décision et une réponse assumée et proportionnée aux menaces pesant sur l’entreprise. Cela ne peut être atteint qu’en collaboration avec les directions métiers qui sont les seules à même d’évaluer les impacts sur leurs activités. « En se focalisant sur les pertes potentielles, les filières de gestion des risques oublient parfois les gains potentiels d’une prise de risque. »
  • 7. Mars 2012 - Les Synthèses © Solucom 7• Des risques très divers à gérerUn pré-requis : formaliser les objectifs de l’entreprise… Les risques créent une incertitude sur l’atteinte des objectifs de l’entreprise (définition de l’ISO 31000). Pour identifier, évaluer et gérer les risques, il est donc essentiel pour l’entreprise de bien identifier et formaliser ses objectifs. Cette définition permettra d’anticiper les menaces et d’empê- cher leur concrétisation. L’environnement et le contexte interne sont également des éléments clés à intégrer dans sa gestion des risques : enjeux réglementaires, organisation interne, partenaires, forces et fai- blesses, etc. … pour identifier les risques et leurs porteurs Les risques touchent tous les niveaux de l’entreprise et sont portés en consé- quence par des acteurs multiples. La Direction générale gère les risques stratégiques. Elle s’intéresse au travers de ces risques aux défaillances de la stratégie de l’entreprise qui pourraient avoir un impact sur son existence même. Il s’agit par exemple des risques relatifs aux fusions / acquisitions, etc. Les risques métiers sont portés par les directions en charge de ces fonctions, car ils affectent directement le cœur de métier. Ainsi, la Direction commer- ciale s’intéressera aux risques relatifs aux ventes et aux clients, la Direction de la logistique aux risques relatifs à l’approvisionnement.. Ces risques dif- fèrent d’une organisation à l’autre : ils peuvent être particuliers à un secteur, comme par exemple le risque de mar- ché pour les banques. Modélisation du risque Les scénarios de risques sont caractérisés par : • les menaces et leur vraisemblance dans le contexte de l’organisation ; • les vulnérabilités, c’est-à-dire les faiblesses intrinsèques de l’entreprise, qu’elles soient organisationnelles, humaines ou techniques ; • les objectifs qui pourraient être remis en cause... • … et les impacts occasionnés. On peut illustrer le « risque » à travers une situation très concrète : la menace serait un cambriolage, la vulnérabilité associée au manque de système d’alarme, l’objectif étant la sécurisation des objets de valeur dans la maison. L’impact est ici clairement identifié à travers la perte de biens de valeur et autres dommages occasionnés. Enfin, les risques opérationnels sont similaires dans toutes les entreprises. Ils recouvrent les risques relatifs aux processus, aux personnes et aux sys- tèmes de l’entreprise. Il s’agit notam- ment des risques SI, sécurité, conti- nuité, RH, fraude, etc. Ces dernières années, les risques opérationnels ont fait l’objet d’une attention de plus en plus importante du fait du renforce- ment des réglementations, plus parti- culièrement dans le secteur financier.
  • 8. Le Sourcing des études 8• Les Synthèses © Solucom - Mars 2012 Management des risques : plaidoyer pour une vision unifiée Le SI, colonne vertébrale de l’entreprise, est au cœur de la gestion des risques Parmi les risques opérationnels, les risques liés aux systèmes d’infor- mation ont évolué particulièrement rapidement ces dernières années et doivent faire l’objet d’une gestion de risques à part entière. Autour de l’information s’articulent en effet différents domaines de risques très dépendants les uns des autres. Tout d’abord, les risques du système d’information sont des risques trans- verses à l’entreprise, qui intègrent l’ensemble des risques métiers et opérationnels ayant une composante SI. Il peut s’agir par exemple de la non-adéquation d’une application à un besoin métier, de la non-atteinte des niveaux de service ou encore d’une gestion de projet défaillante. Les risques sécurité de l’information recouvrent pour partie les risques du système d’information. En effet, ils comportent une large composante SI, mais n’y sont pas limités. Ainsi, la sécurité de l’information couvre également les dimensions orales et papier de l’information. Bien ancrés dans les pratiques de gestion de risques des entreprises, ils font sou- vent l’objet d’une filière dédiée. Il en va de même pour les risques de continuité d’activité. Ils regroupent des risques SI sur les aspects conti- nuité informatique, mais débordent largement sur les risques opération- nels en traitant le secours utilisateur et les aspects logistiques, RH, juri- diques, etc. Les référentiels de gestion des risques Il existe des référentiels et des normes pour gérer la plupart des types de risques. S’ils convergent sur un certain nombre de concepts fondamentaux, leurs modalités de mise en oeuvre divergent en revanche : méthodologies variées, différences de vocabulaire, etc. Il manque ainsi un cadre commun de gestion du risque, applicable à l’ensemble de l’entreprise. L’ISO 31000 est dans ce domaine la norme aujourd’hui la plus globale qui, bien que récente, se généralise peu à peu. Elle définit les grands principes de gestion des risques en entreprise, en s’appuyant sur des processus et un modèle d’amélioration continue. Les domaines de risques autour du SI Principaux référentiels utilisés pour gérer les risques « Autour de l’information s’articulent différents domaines de risques très dépendants. »
  • 9. Mars 2012 - Les Synthèses © Solucom 9• De multiples acteurs pour gérer les risques liés au SI Solucom a analysé les pratiques d’un panelde50grandesorganisationsfran- çaises. Collectées fin 2011, ces infor- mations permettent d’identifier quatre acteurs principaux intervenant dans la gestion des risques SI liés au SI : • Le Directeur des risques. Il assure la gestion des risques opérationnels et l’animation de la filière risques. Il rapporte généralement directe- ment à la Direction générale ; • L’IT risk manager (IT RM). Il gère les risques SI, en lien avec la DSI et les métiers ; • Le Responsable de la sécurité du SI (RSSI). Il a en charge les risques de sécurité du SI et le plus souvent de la sécurité de l’information au sens large ; • Le Responsable plan de continuité d’activité (RPCA). Il gère les risques d’interruption de l’acti- vité : perte d’un bâtiment, d’un site informatique, etc. Le degré d’adoption de ces diffé- rentes fonctions est variable en fonction de la maturité de la filière concernée (voir schéma ci-dessous). Dans certains contextes, une même per- sonne peut cumuler plusieurs fonctions. Un Directeur des risques qui ne gère pas toujours les risques SI Plus de la moitié des entreprises dispose d’un Directeur des risques ou Responsable des risques opérationnels, et près de 90% des Banques  /  Assurances. Si le Responsable des risques opérationnels s’intéresse à un périmètre englobant ces risques, il n’est pas systématiquement positionné en coordinateur des filières SSI, PCA et SI. Ce positionnement est notamment lié au fait que les filières SSI et PCA ne sont pas toujours rattachées à la Direction des risques. Un rôle d’IT risk manager en émergence Une nouvelle fonction est en train d’émerger pour la gestion des risques SI : l’IT risk manager. À la croisée des risques touchant le SI, 20% des entreprises se sont désormais dotées d’un poste dédié d’IT risk manager. Ces chiffres sont encore supérieurs dans le secteur Banque / Assurance, avec 36% d’IT risk manager nommés. Pour l’instant largement rattaché à la DSI (55%), le poste se déporte petit à petit vers la Direction des risques (32%), positionnement qui contribuera à rapprocher l’IT risk manager de la vision métier des risques. Une fonction RSSI démocratisée La fonction de RSSI est largement installée dans les entreprises, et son périmètre d’activité ne se limite plus aux risques de sécurité de l’in- formation. Son rattachement reste fortement lié à la DSI, de laquelle il dépend dans deux tiers des cas, même s’il est de plus en plus proche de la Direction des risques. Cette ten- dance est nettement marquée dans le secteur de la Banque / Assurance. Le RSSI assure dans 43% des cas le rôle d’IT risk manager émergent et dans 42% des cas le rôle de RPCA. Un RPCA en lien fort avec le RSSI et le Directeur des risques Le rôle de RPCA est largement répandu, même s’il ne fait pas tou- jours l’objet d’une filière dédiée et qu’il reste dans 42% des cas endossé par le RSSI. Quand le poste existe, il est dans plus de la moitié des cas rattaché à la Direction des risques, voire jusqu’à 70% dans le secteur de la Banque / Assurance. Acteurs mobilisés pour gérer les risques liés au SI À qui est rattaché à l’IT risk manager ? À qui est rattaché le RSSI ? À qui est rattaché le RPCA ? Panel de 50 grands comptes français tous secteurs confondus
  • 10. Le Sourcing des études 10• Les Synthèses © Solucom - Mars 2012 Management des risques : plaidoyer pour une vision unifiée Casser les silos... Une vision d’ensemble difficile à obtenir Les multiples acteurs qui composent les filières de gestion des risques SI agissent le plus souvent indépen- damment les uns des autres. Chaque responsable traite ses risques avec sa propre méthode, sa propre échelle, son propre référentiel... tout en ayant peu voire même aucun échange avec les autres acteurs. L’existence de filières de gestion des risques dédiées démontre une certaine maturité : elles apportent des réponses expertes aux risques qu’elles prennent en charge. Mais ce fonctionnement en silos n’optimise ni l’identification, ni l’éva- luation et le traitement des risques. Les différents acteurs (DSI, RSSI, RPCA…) vont être, chacun indépen- damment, amenés à apporter des réponses. Ces silos pénalisent l’entre- prise dans son processus de prise de décision car ils ne permettent pas de répondre aux questions essentielles qu’elle se pose : • Quelle est globalement mon exposition aux risques ? • Ai-je bien mis les priorités aux bons endroits ? Dès lors, il ne peut y avoir de réponse globale. Or c’est bien au niveau « entreprise » que la gestion des risques prend tout son sens. …et d’inévitables redondances L’approche en silos a un second inconvénient : elle génère natu- rellement une sur-sollicitation des métiers : souvent autant de sollici- tations que de filières ! Or s’il est nécessaire que les acteurs de la gestion des risques SI collaborent avec les directions métiers, notam- ment pour évaluer les impacts des risques, il ne faut pas que cette implication devienne excessive et donc contre-productive. La solution réside donc dans l’or- chestration d’une collaboration entre les différents acteurs de la gestion des risques SI. Il ne s’agit pas de fusionner complètement les silos, mais de les transformer et de les faire collaborer pour assurer une gestion efficace des risques SI au niveau entreprise. Comment les entreprises évaluent-elles leur gestion des risques ? Dans l’étude menée, plus de la moitié des entreprises du panel jugent leur démarche de gestion des risques « assez effi- cace ». Pour 95% des entreprises, il y a une marge de progrès à franchir pour renforcer leur maturité et assurer une ges- tion optimale des risques. Cette marge de progrès réside principalement dans l’organisation et les méthodes de travail. La prise de risque n’est pas mesurée dans 24% des cas : n’est-ce pas cela le risque majeur ? Une gestion de risques en silos Comment jugez-vous l’efficacité de la démarche risque ? Comment jugez-vous la prise de risque ? Réponse risque SI Réponse risque SSI Réponse risque continuité DSI RSSI RPCA Risk manager ClientsConcurrence PartenairesRégulateurs
  • 11. Mars 2012 - Les Synthèses © Solucom 11• …en articulant les filières de gestion des risques traitant du SI Voici quelques organisations « types » rencontrées dans les entreprises permet- tant, avec un niveau d’efficacité graduel, de répondre aux enjeux de la gestion des risques liés au SI. Ces principes pourraient être appliqués ensuite aux autres domaines de risques de l’entreprise. La tour de Babel, des langages différents L’organisation « tour de Babel » maté- rialise une situation où chacun parle des langages différents. Dans ce cas de figure, majoritaire aujourd’hui, les constats sont évidents : • Il n’y a pas de liens entre les filières. Chacune traite de son périmètre en appliquant sa propre méthode ; • Chaque filière s’adresse aux métiers indépendamment et sans concertation avec les autres acteurs de la gestion des risques, entraînant de multiples sollicitations ; • Chaque filière remonte ses propres risques à la Direction générale. Dans cette configuration, la consolida- tion de l’ensemble des risques iden- tifiés indépendamment les uns des autres n’est pas faite. Aboutir à une vision « entreprise » des risques est dès lors tout simplement impossible. La tour de Pise, une situation déséquilibrée L’organisation « tour de Pise » sym- bolise une situation déséquilibrée. Ce déséquilibre s’explique par une ébauche de consolidation verticale des risques vers la Direction des risques. Chaque cartographie des risques est intégrée à la cartogra- phie du niveau « supérieur » (par exemple : risques de continuité inté- grés aux risques sécurité). Néanmoins, dans ce type d’organisa- tion, l’information redescend généra- lement peu vers les métiers qui restent sollicités de manière indépendante et souvent incohérente par l’ensemble des acteurs du risque. Les métiers ont en conséquence du mal à identifier l’intérêt de la démarche risques. Dans cette organisation, les décisions sont prises sur des bases peu solides. Comment s’assurer de la pertinence des risques qui « remontent » jusqu’à la Direction générale ? Sont-ils vrai- ment les risques les plus importants de l’entreprise ? Sans concertation de l’ensemble des acteurs de la « filière » risque, il reste délicat de répondre à ces deux questions clés. En conséquence, si cette organisa- tion est plus opérante que la « tour de Babel », elle n’est néanmoins pas encore idéale. La tour de contrôle, l’organisation intégrée cible L’organisation la plus optimale est la « tour de contrôle », symbole d’une vision d’ensemble ainsi que d’une information partagée et consolidée. Dans cette situation, tous les acteurs de la gestion du risque SI partagent la même démarche. Ils se concertent sur la méthode, utilisent les mêmes échelles d’évaluation des risques et centralisent les résultats. Ce rappro- chement favorise ainsi la consolida- tion d’une information validée par tous et la construction d’une vision cohérente de l’ensemble des risques de l’entreprise. L’approche « tour de contrôle » favorise par ailleurs l’opti- misation budgétaire dans la mesure où elle permet de se concentrer sur les plans de réduction des risques jugés prioritaires. Attention, rapprochement des filières ne veut néanmoins pas dire fusion des filières. Chacune a recours à des compétences, des expertises et des normes spécifiques. La « tour de contrôle » est l’orga- nisation optimale mais il n’est pas évident de l’implémenter immédia- tement. Sa mise en place progressive est, de ce fait, préférable si elle pose les bases d’une approche des risques partagée et permet un changement de culture.
  • 12. Le Sourcing des études 12• Les Synthèses © Solucom - Mars 2012 Management des risques : plaidoyer pour une vision unifiée Étape 1 - Utiliser une échelle commune : un pré-requis à la démarche L’échelle vise à mesurer de manière objective les risques. Elle comprend deux axes : la probabilité et l’impact qui, combinés, permettent d’évaluer la criticité du risque. Disposer d’une échelle commune au sein de l’entreprise semble une évi- dence. Pourtant, il est rare que cette bonne pratique soit en place, ce qui complexifie la collaboration entre les filières. Cette lacune rend impossible une lecture d’ensemble des cartogra- phies des risques élaborées. La pre- mière étape pour intégrer les filières de gestion des risques est donc de définir des échelles communes. La collecte des échelles en vigueur, leur analyse et la rencontre des porteurs des filières doivent permettre d’iden- tifier les points de dépendance clés. Quels sont les critères communs à l’ensemble des filières ? Quelles sont les spécificités de chacune ? Cette phase d’analyse passée, il s’agit ensuite de construire les échelles cibles, en trouvant un compromis entre les visions des différents acteurs. Les métiers doivent en effet se reconnaître dans les types et les niveaux d’impacts définis. L’atteinte d’un consensus n’est pas toujours aisé, mais il est nécessaire de rester ferme sur l’utilisation d’une échelle commune pour permettre la suite de la démarche. Exemple d’échelle d’impact financier Les 1ères étapes de l’intégration des filières en pratique La mise en place de l’organisation « tour de contrôle » peut être réalisée selon les étapes suivantes : utilisation d’une échelle commune, définition d’un porte- feuille de risques, optimisation du travail avec les métiers et mise en commun des plans d’actions. Facteurs clés de succès Dans cet exercice, quelques clés permettent de garantir le caractère opéra- tionnel des échelles définies : • L’impact financier suffit rarement à qualifier de manière représentative les impacts d’un risque, sans compter qu’il est parfois difficile pour les métiers de le quantifier. Il est donc judicieux d’intégrer les impacts opé- rationnels, juridiques ou encore d’image. Cette adaptation est à faire au regard des enjeux propres au secteur d’activité de l’entreprise. • Les événements déjà survenus dans l’organisation ou son environnement permettent de calibrer de manière appropriée l’échelle. • Enfin, la définition d’une échelle commune à l’entreprise doit permettre une certaine latitude et permettre des évolutions futures. Ainsi, il est préférable de fixer quatre voire cinq niveaux dans l’échelle, quitte à ce que certaines filières ou entités n’en utilisent qu’un sous-ensemble adapté à leur situation. Si l’échelle entreprise ne prévoit pas suffisamment de niveaux, les résultats finaux peuvent manquer de finesse et certains risques peuvent être « noyés » dans la masse, nuisant à l’analyse et la capacité de décision. « Il est nécessaire de rester ferme sur l’utilisation d’une échelle commune pour permettre la suite de la démarche. »
  • 13. Mars 2012 - Les Synthèses © Solucom 13• Exemple de recouvrement de risques liés au SI Étape 2 - Construire un portefeuille de risques : un référentiel de pilotage unique Une fois les échelles définies, il s’agit de construire le portefeuille de risques. La démarche de fédération et d’intégration du travail de plusieurs filières de gestion des risques doit effectivement passer par une étape de mise en commun des risques. Cela permet de définir la structure d’un portefeuille de risques. Ce référentiel centralisera le résultat du travail de chacun et sera la base du reporting. La constitution d’un portefeuille de risques commence par l’analyse de l’existant : quels sont les objectifs de chacun ? Quels types de risques sont traités ? Cette première étape permet de structurer les types de risques gérés au sein de grands domaines constituant le portefeuille, dans une logique de « catalogue » de risques génériques. Il convient ensuite d’identifier les zones de recouvrement. En effet, il est bien souvent impossible de posi- tionner un risque dans une unique filière. Voici quelques exemples illus- trant ces zones d’adhérence pour les filières SI, SSI et continuité : • La perte d’un datacenter est traitée à la fois par la filière continuité, dont le plan de conti- nuité informatique est l’un des axes de travail et par la filière SI, qui s’intéresse aux possibles défaillances de la production ; • L’usurpation d’identité et l’abus de droits sont des risques trai- tés par le RSSI, mais qui inté- ressent aussi la filière SI sous l’angle applicatif ; • La non-conformité réglemen- taire, enfin, est abordée par l’ensemble des trois filières. Identifier les zones d’adhérence est un élément clé de la constitution du portefeuille de risques. Une fois ces recouvrements identifiés, il est alors possible de formaliser les responsa- bilités sur ces risques pour éviter, dans le meilleur des cas, un travail redondant, et dans le pire des cas des démarches contradictoires.
  • 14. Le Sourcing des études 14• Les Synthèses © Solucom - Mars 2012 Management des risques : plaidoyer pour une vision unifiée Pour chacun des domaines de risques définis, des responsables doivent être identifiés. Il s’agit souvent naturel- lement des acteurs des différentes filières risques en place, avec un travail plus fin au niveau des zones d’adhérence permettant de coordon- ner l’analyse sur ces périmètres. Des modèles de responsabilités de types RACI* permettent une formalisation claire et précise des responsabilités. Étape 3 - Transformer la relation avec les métiers Les métiers souffrent des nombreuses sollicitations des filières risques qui créent une lassitude et leur rejet. La coordination et l’optimisation de la relation avec les métiers est donc un enjeu majeur, l’objectif étant de repositionner les filières risques en conseillers et non en demandeurs. Plusieurs leviers d’optimisation sont à mettre en œuvre. Tout d’abord, le travail sur les zones d’adhérence des risques, effectué lors de la constitu- tion du portefeuille de risques, doit être remis à profit pour anticiper les redondances et les contourner au tra- vers d’entretiens ou de questionnaires communs sur ces périmètres. Ensuite, l’échange des informations collectées auprès des métiers est un levier pour enrichir les démarches res- pectives des filières. Ce nouvel angle de vue doit permettre d’enrichir la réflexion et de garantir une sollicitation efficace des métiers. Pour mettre en œuvre de manière opérationnelle ces deux leviers, un calendrier partagé doit être défini. Il permettra de cadencer dans l’année les rendez-vous avec les métiers, et de les placer dans l’ordre le plus adapté. Attention, si optimiser la relation per- met la réduction des sollicitations, cela ne veut pas dire pour autant qu’un seul point de rencontre sera suffisant ! Enfin, la mutualisation de la restitu- tion et du reporting doit permettre la mise en perspective des risques et les éventuels arbitrages lors de la valida- tion des risques. Cette restitution peut être portée par l’un des acteurs à définir par le Directeur des risques, par exemple au cours d’un rendez-vous annuel. Étape 4 : partager les plans d’actions L’étape suivante de l’intégration des filières s’appuie naturellement sur le partage et la coordination des plans d’actions. Historiquement chaque filière gérait son plan d’actions et les budgets associés. En partageant la vision des risques, la définition des plans d’ac- tions est plus simple à optimiser. Les actions identifiées par chaque filière Quelles sont les attentes envers la gestion des risques liés au SI ? Interrogées sur leurs attentes vis- à-vis de la gestion des risques liés au SI, les entreprises se prononcent majoritairement pour l’aide au pilo- tage et l’orientation des décisions de la DSI. La réduction des coûts, via l’optimisation des budgets, et la conformité viennent ensuite. Facteurs clés de succès La réussite de la mise en place d’un portefeuille de risques réside souvent dans une définition progressive : • La démarche peut être initiée avec les domaines de risques correspondant aux filières les plus mûres, qui pourront ainsi alimenter le référentiel avec plus de facilité, dans une logique de « pilote » ; • La couverture des risques peut ensuite être élargie progressi- vement, en s’appuyant sur de premiers retours d’expérience positifs. sont partagées, et des synergies peu- vent être dégagées : • Les actions de réduction des risques sur les zones d’adhé- rence peuvent ainsi être défi- nies collégialement, chaque filière traitant d’une compo- sante du risque ; • Les actions redondantes, voire contradictoires, peuvent être identifiées et arbitrées. Exemple de répartition des responsabilités par domaine de risques Domaine ITrisk manager RSSI RPCA Achats DSI DSI Risk manager Métier Continuité I C R I I A Sécurité I R C I I A Conformité R C C I I A Production R I I A Sourcing R I I A ... • R : responsible • C : consulted • A : accountable • I : informed *cf lexique page 18
  • 15. Mars 2012 - Les Synthèses © Solucom 15• Les bases d’un reporting commun Une instance de pilotage stratégique commune Une instance commune doit être mise en place pour assurer le pilotage de la gestion intégrée des risques : il s’agit souvent du comité des risques, ou comité des risques SI selon le péri- mètre visé. Il regroupe les représen- tants des différentes filières et des métiers, ainsi que la DSI. Ce comité doit a minima se réunir pour les étapes clés de la démarche de gestion des risques : • Lors de son initialisation, pour valider les échelles, porte- feuille, dispositions méthodo- logiques, planning, etc. • Après la constitution des car- tographies des risques qui alimentent le portefeuille de risques pour valider le niveau de risque ainsi que les actions de traitement et leur répartition dans les filières ; • De manière régulière (trimes- trielle a minima) pour assurer le suivi du plan d’actions conso- lidé et la réévaluation du niveau de risque en conséquence. Des comités peuvent également être mis en place pour le suivi opération- nel plus régulier. Un autre bénéfice non négligeable du partage des plans d’actions est bien sûr l’optimisation des budgets. Les coûts globaux de traitement des risques sont ainsi consolidés et l’allocation des budgets gérée de manière plus per- tinente sur l’ensemble du périmètre. Par ailleurs, des actions mineures qui, prises indépendamment dans chaque filière n’auraient pas été retenues, peu- vent être finalement engagées si elles sont identifiées par plusieurs filières. Une fois le plan d’actions défini et les budgets alloués, chaque filière dispose de sa feuille de route projet, dont elle porte la mise en œuvre et/ou le suivi selon les cas. Un suivi régu- lier et commun doit alors être mis en place, afin de mesurer l’évolution du niveau de risque en intégrant l’en- semble des composantes des plans de traitement.
  • 16. Le Sourcing des études 16• Les Synthèses © Solucom - Mars 2012 Management des risques : plaidoyer pour une vision unifiée « La démarche de gestion des risques SI se doit d’être transverse : c’est en avançant ensemble vers une organisation intégrée et en se dotant d’outils partagés que la maîtrise glo- bale des risques pourra s’améliorer. »
  • 17. Mars 2012 - Les Synthèses © Solucom 17• La gestion des risques s’est développée au fil des années dans les entreprises, en constituant peu à peu des silos dédiés à chacun des types de risques, et ceci en particulier sur la filière SI. Cette réponse ne permet aujourd’hui plus aux responsables des risques de jouer pleinement leur rôle d’aide à la décision. Il apparaît donc nécessaire de décloisonner ces démarches et de faire travailler les filières main dans la main pour atteindre un objectif commun : permettre une vision globale au niveau du SI et de l’entreprise. La démarche de gestion des risques SI se doit donc d’être transverse : c’est seulement en avançant ensemble vers une organisation intégrée de type « tour de contrôle », et en se dotant d’outils partagés que la maîtrise globale des risques pourra s’améliorer. La transformation des filières nécessitera une mise en œuvre progressive en s’appuyant sur les périmètres les plus mûrs pour amorcer la dynamique et ensuite étendre la démarche à d’autres domaines de risques. Comme tous les changements d’organisation associés, elle nécessitera un accompagnement par une conduite du changement. Un acteur est tout désigné pour piloter cette démarche : l’IT risk manager, une nouvelle fonction à la croisée des filières traitant des risques autour de l’information. Quand l’IT risk manager n’est pas encore identifié, le RSSI est un bon candidat pour endosser cette mission comme le montrent les premières tendances. Habitué à travailler à la fois avec les métiers et la DSI, il allie compétences techniques et méthodologiques ainsi qu’une transversalité précieuse : il s’agit d’ailleurs sûrement là d’une évolution naturelle de la fonction de RSSI du management des risques sécurité au management des risques SI ! En conclusion
  • 18. Le Sourcing des études 18• Les Synthèses © Solucom - Mars 2012 Management des risques : plaidoyer pour une vision unifiée Lexique Cartographie des risques Représentation des risques identifiés au sein de l’entreprise et de leur cri- ticité relative COBIT Référentiel d’objectifs de contrôle de l’information et des technologies associées COSO Cadre de référence de la gestion des risques en entreprise Criticité Combinaison de la probabilité et de l’impact d’un risque (peut être éga- lement appelée gravité) Échelle Outil de mesure des risques, permet- tant de retranscrire les probabilités et l’impact des risques dans un langage simple Filière Ensemble des acteurs intervenant sur un sujet donné, par exemple la ges- tion des risques pour la filière risque ISO 27001 Norme internationale définissant les exigences pour la mise en place d’un système de management de la sécu- rité de l’information ISO 27005 Norme internationale définissant les principes de gestion des risques de la sécurité des systèmes d’information ISO 31000 Norme internationale définissant les principes et lignes directrices pour le management du risque ITGI IT Governance Institute IT RM Information technology risk manager. Personne en charge de la gestion des risques SI, en lien avec le DSI et les métiers Portefeuille de risques Référentiel de centralisation des risques de l’entreprise RACI Modèle anglo-saxon de représen- tation des responsabilités basé sur quatre rôles : responsible (fait l’ac- tion), accountable (valide l’action), consulted (donne son avis), informed (est informé) RPCA Responsable du plan de continuité d’activité. Il gère les risques d’in- terruption de l’activité : perte d’un bâtiment, d’un site informatique, etc RSSI Responsable de la sécurité du sys- tème d’information. Il a en charge les risques de sécurité de l’information
  • 19. Mars 2012 - Les Synthèses © Solucom 19• À propos de Solucom Solucom est un cabinet indépendant de conseil en management et système d’information. Ses clients sont dans le top 200 des grandes entreprises et administrations. Pour eux, le cabinet est capable de mobiliser et de conjuguer les compétences de près de 1000 collaborateurs. Sa mission ? Porter l’innovation au cœur des métiers, cibler et piloter les transformations créatrices de valeur, faire du système d’information un véritable actif au service de la stratégie de l’entreprise. Solucom est coté sur NYSE Euronext et a obtenu la qualification entreprise innovante décernée par OSEO Innovation. Pour en savoir plus, www.solucom.fr L’Atelier Solucom Acteur indépendant du marché du conseil, Solucom est témoin des mutations en profondeur de l’organisation des DSI. Fort de ses retours d’expérience en matière de gouvernance SI, le cabinet apporte sa vision sur des problé- matiques actuelles et émergentes. Imaginé sous forme de club, l’Atelier Solucom, porté par des directeurs associés de Solucom, est un lieu d’échange où nos clients abonnés sont invités à partager et échanger sur le présent et le futur du management des systèmes d’information. L’objectif ? Accompagner nos clients dans leurs réflexions stratégiques et prospectives, formaliser les meilleures pratiques, pour identifier et se préparer ensemble aux challenges IT de demain. Pour connaître les thèmes et les dates des prochains ateliers, ateliersolucom@solucom.fr
  • 20. Tour Franklin, 100-101 Terrasse Boieldieu, La Défense 8 92042 Paris La Défense Cedex Tél. : 01 49 03 25 00 Fax. : 01 49 03 25 01 www.solucom.fr CopyrightSolucom-ISBN978-2-918872-11-5EAN9782918872115-Responsabledelapublication :LaurentBellefin