SlideShare une entreprise Scribd logo
CARTOGRAPHIE DES RISQUES : ENTRE AMELIORATION
DES PERFORMANCES & SECURISATION DES
OPERATIONS
Vendredi 6 juillet 2012, Mazars, Paris -
Newsletter n° - Janvier 2013
            10




SOMMAIRE
 I. Compte-rendu du 11 décembre 2012
II. Revue de presse
III. Agenda
                                                   Mazars, c’est aussi le partenaire des entreprises de taille
                                                   intermédiaire ! Avec la mise en place des Matinales Entreprises
    INTERVENANTS                                   Mazars, à raison de 6 à 7 sessions de petit-déjeuner débat par an,
                                                   Mazars vous propose un espace de rencontres et d'échanges dédié.
    •   Olivier Lenel, Associé Consulting,         Grâce à ces rendez-vous, nous souhaitons :
        Mazars                                     o vous faire bénéficier de notre connaissance des meilleures
                                                       pratiques de grands groupes ;
    •   Philippe Gaudy, Senior manager
                                                   o vous apporter des réponses rapides et sur-mesure grâce à notre
        Consulting, Mazars
                                                       équipe présente à chaque rendez-vous et prête à répondre à
    •   Christine Cantournet, Directrice               chacune de vos interrogations, qu'elles concernent vos projets de
        juridique et des risques, Administrateur       transformation, la maîtrise de vos risques, vos systèmes
        de Société Certifié                            d’information,       l'externalisation d'un département,     votre
                                                       développement à l'international, la transmission de votre activité,
                                                       etc... ou la certification de vos comptes ;
                                                   o vous permettre d'accéder à l'ensemble de nos métiers grâce à
                                                       notre capacité à mobiliser toutes nos compétences en France et
    Réservez dès maintenant la date de la              à l'international ;
    prochaine Matinale Entreprises Mazars :        o vous donner la possibilité de disposer de benchmark de vos
                                                       pratiques avec des sociétés de même taille.
    Le Jeudi 21 mars 2013 sur le thème :
                                                   Une Newsletter vient compléter ces rendez-vous vous permettant
    L’Externalisation de la fonction
                                                   ainsi de vous tenir informé des thèmes abordés, de vous présenter
    comptable : un outil de création de
                                                   quelques points d'actualité en lien avec le sujet présenté et enfin de
    valeur ?
                                                   vous donner la possibilité de réserver dans vos agendas les
                                                   prochaines dates des Matinales Entreprises Mazars.
1
avons fait le choix d'une démarche simple mais
                                                            animée par des profils expérimentés et pertinents au
I.COMPTE-RENDU DU 11                                        plan sectoriel.
DECEMBRE 2012
                                                            L'enjeu pour les ETI est de dépasser très rapidement
Les     éléments     déclencheurs                d’une      l'exercice cartographique et de trouver le bon dispositif
                                                            de       gestion     des      risques     (organisation,
cartographie des risques                                    responsabilisation, processus, ...). C'est un point sur
                                                            lequel notre témoin, Madame Christine Cantournet a
Loin des enjeux de conformité, "cartographier des           insisté. Cet objectif doit impérativement être
risques" est surtout aujourd'hui pour les dirigeants        appréhendé dès le lancement de la cartographie, pour
d'ETI un véritable outil de management. Au-delà de la       en faire un levier durable de performance.
gestion "intuitive" des risques, réaliser une
cartographie des risques, avec la juste mesure et la
progressivité qui s'imposent, c’est :
                                                            Risques liés aux systèmes d’information :
                                                            Pourquoi la confiance ne suffit plus ? Vers
•   une démarche participative, croisant stratégie et       un modèle partenarial entre la DSI et les
    opérations, pour le progrès global de l'entreprise,     métiers
    entre collaborateurs d'un même périmètre (niveau
    managérial, métier, fonction, géographie, ...) ;
                                                            Le système d’information supporte aujourd’hui la plus
•   une clarification des vulnérabilités éventuelles        grande partie des processus métiers et back-office
    pouvant affecter la réalisation des objectifs           d’une entreprise qui évolue dans un environnement :
    stratégiques, et la performance de l'entreprise ;       - qui tend vers une évolution accélérée des
                                                                technologies de l’information ; et
•   un partage de la réalité des pratiques de terrain       - qui expose ainsi l’entreprise et ses actifs à une
    permettant souvent d'identifier certains écarts et          surface de risque de plus en plus large.
    de nuancer l'illusion du contrôle absolu ;
                                                            Or, la nature de ces risques est vaste (fraude,
•   l'anticipation de certaines menaces, pour se            confidentialité, image, non-conformité, …) mais
    donner les moyens d'en faire des opportunités ;         surtout, l’origine de ces risques peut se cacher dans
    et                                                      chaque strate dudit système d’information : processus
                                                            informatisé      manquant    de    contrôle,  données
•   la possibilité de s'interroger sur la correcte          incohérentes, programmes défaillants, bases de
    allocation des moyens de maîtrise de risques            données non sécurisées, gouvernance inadéquate, …
    aux véritables enjeux, mais également sur leur
    optimisation.                                           Face au polymorphisme de ces risques
                                                            informatiques et face aux dommages colatéraux
Internationalisation des ETI, innovation, digitalisation,   causés aux métiers en cas d’incident informatique,
mais aussi accélération et judiciarisation des affaires     nous assistons à une prise de conscience plus ou
exposent forcément nos entreprises à des sujets             moins avancée de l’intérêt pour les métiers à
nouveaux. Le contexte de crise vient également              considérer l’organisation en charge des systèmes
renforcer l'importance de se donner le temps de cette       d’information comme un véritable partenaire.
réflexion sur les risques et notre expérience nous
montre que les entreprises l'ayant fait en ont tiré des     Chez Mazars, nous recommandons la conduite d’une
enseignements réels et se sont données les moyens           véritable analyse des risques informatiques comme
de progresser.                                              point de départ de toute stratégie ou sa déclinaison
                                                            opérationnelle, plaçant la criticité des processus métier
Si les méthodologies à mettre en oeuvre sont                au cœur de la démarche et induisant une réflexion
aujourd'hui plutôt décrites, la qualité de leur mise en     commune entre l’IT et ses « clients » pour atteindre
oeuvre conditionne le résultat et l'intérêt pour            les objectifs de couverture des risques.
l'entreprise. Chez Mazars, nous sommes convaincus           Car s’il n’est pas reprochable au dirigeant d’une ETI de
que la capacité de la démarche à être internalisée          ne pas pallier tous les risques liés à son système
correspond à la cible pour assurer la pérennisation         d’information, il l’est de ne pas les connaître !
du processus de gestion des risques. Aussi, nous
2
Sur cette base, les ETI ne sont pas égales et nous          Risques juridiques : une menace de plus en
observons un niveau de maturité très dispersé :
                                                            plus présente et protéiforme. Comment
- celles qui n’adressent que les sujets fonctionnels
quotidiens ;                                                optimiser leur gestion par un meilleur
- celles qui ont su réfléchir aux problématiques autres     couplage entre opérationnels et juristes ?
que fonctionnelles ;
- celles qui ont su mettre en place l’organisation pour y
répondre de manière pérenne (organigramme,
                                                            Dans la multitude de risques auxquels une entreprise
procédures, …) ; et
                                                            est exposée, un type de risque ressort comme étant
- celles inscrites dans une démarche d’amélioration
                                                            plus complexe à appréhender et à gérer : le risque
continue (auto-évaluation, …).
                                                            juridique. Maîtriser les risques juridiques s’avère être
                                                            un enjeu majeur tant ces derniers peuvent gravement
                                                            nuire à l’entreprise, à ses dirigeants, à ses
                                                            actionnaires, directement ou indirectement, en
Cette maturité est clairement corrélée avec la place
                                                            dégradant ses valeurs, ses actifs et son image.
accordée à l’organisation en charge du système
d’information au sein de l’entreprise, au sein de
chaque étape du cycle de vie du système
                                                            Quelle que soit leur taille, les entreprises évoluent
d’information. Ces grands principes peuvent ainsi
servir d’indicateurs sur le positionnement des ETI :        dans un contexte marqué par une incertitude
                                                            juridique croissante : judiciarisation croissante des
    la conception des services informatiques requiert       relations d’affaires, incertitude face aux évolutions
    une stratégie ;                                         réglementaires (en France et à l’international), inflation
    les principes de gouvernance interne sont à             réglementaire, complexité sans cesse renforcée du
    étendre aux partenaires ;                               Droit, tendance à la pénalisation des fautes commises
    la gestion des projets informatiques mérite une         par les dirigeants d’entreprise… Ces évolutions
    méthodologie définie et suivie ;                        affectent les ETI au même titre que de grands
    le niveau de sécurité intrinsèque des SI est            groupes alors qu’elles n’ont pas toujours les
    perfectible et doit donc être testé ;                   mêmes moyens pour y faire face. Doivent-elles pour
    la gestion du sinistre informatique ne s’improvise      autant se croire désarmées et impuissantes face aux
    pas et doit être préparée et outillée ;                 risques juridiques ?
    la gestion des accès, liée au principe de
    séparation des fonctions, constitue le « chat
    noir » des systèmes d’information et doit faire         Selon notre expérience, le « risque juridique » (parfois
    l’objet d’une réflexion interne et approfondie ;
                                                            libellé risque de non-conformité ou encore risque
    la nécessité de satisfaire une conformité
                                                            réglementaire), figure souvent en bonne place dans
    réglementaire doit être qualifée comme un besoin
                                                            les cartographies générales de risques. S’il est
    et le SI assez agile pour l’intégrer.
                                                            évoqué, il est toutefois rarement précisément défini et
                                                            délimité. La complexité du traitement des risques
                                                            juridiques réside en premier lieu dans la difficulté de
Enfin, le principe d’amélioration continue (plan, do,
                                                            décliner les problématiques juridiques en risques
check, act) doit s’imposer pour atteindre les objectifs
                                                            opérationnels sur lesquels il est raisonnablement
business supportés par le système d’information et
                                                            possible d’agir.
son organisation.




3
Nos convictions en la matière sont les suivantes :            II.REVUE DE PRESSE
a) Le juriste d’entreprise, s'il fixe le cadre à respecter,
   conseille les opérations et se mobilise pour
   sauvegarder les intérêts de l'entreprise et de ses         Risques liés aux systèmes d’information :
   salariés lorsque le risque est avéré ou presque.           Pourquoi la confiance ne suffit plus ? Vers
   Or, il ne peut pas être présent sur chaque acte de         un modèle partenarial entre la DSI et les
   gestion et chaque décision, c'est à dire lors de la
   prise de risque. Il doit donc pouvoir s'appuyer sur
                                                              métiers
   des dispositifs qui permettent un dialogue régulier
   et proactif avec les opérations.
                                                              Le rapport Bocquel, cité en séance et adopté par la
b) Selon notre expérience, les opérationnels                  commission des affaires étrangères, de la défense et
   gagneraient, en parallèle, à se sentir plus                des forces armées du Sénat, dresse un état des lieux
   concernés par les enjeux juridiques majeurs de             de la cyberdéfense, s’inscrivant dans la ligne des
   leurs actes ou prises de position. Il est                  rapports Labordes de 2006 et Romani en 2008.
   important de leur donner à eux aussi, qui ne sont          http://www.senat.fr/rap/r11-681/r11-6811.pdf
   pour la plupart pas des juristes ou qui ne
   connaissent pas les textes dans le détail, les
   moyens de mieux cerner les grands risques
   juridiques et de s'autoévaluer sur leur maîtrise.          En illustration du rapport Bocquel, la récente attaque
                                                              du groupe Anonymous qui a dérobé et diffusé des
c) Nos échanges permanents avec les entreprises               informations personnelles et professionnelles des
   nous montrent aussi toute l'importance de la               banquiers américains.
   culture du risque, et en particulier du risque             http://www.linformaticien.com/actualites/id/27963/les-
   juridique au sein des organisations. Le risque             anonymous-visent-les-banquiers-us.aspx
   juridique est par essence très diffus, et peut
   affecter n'importe quel processus de l'entreprise. Il
   impose, outre les dispositifs classiques, un réel
   développement de cette culture.                            La panne informatique de la banque RBS, citée en
                                                              séance, avait pour origine l’implémentation d’une
d) Certains outils innovants peuvent venir supporter          évolution du logiciel métier.
   et aider les juristes, dans leur dialogue avec les         http://www.reseaux-telecoms.net/actualites/lire-la-
   dirigeants et les opérationnels, qui sont les              panne-informatique-de-la-banque-rbs-coutera-175-
   premiers concernés par le sujet du fait de leurs
                                                              millions-de-livres-25073.html
   actes de gestion. La cartographie des risques
   juridiques vise très précisément cet objectif de
   rapprocher les juristes et les opérations sur des
   enjeux concrets qui exposent les entreprises et
   constituent autant de points d'attention à anticiper,      Tout récemment, la fraude de 14 millions d’Euros chez
   pour mieux maîtriser les risques juridiques.               PBM illustre l’attaque par ingénierie sociale.
                                                              http://www.bfmtv.com/societe/14-millions-deuros-
                                                              soutires-telephone-a-une-societe-dimport-436434.html


                                                              Enfin, l’Agence Nationale de Sécurité des Systèmes
                                                              d’Information (ANSSI) vient de publier un guide de
                                                              bonnes pratiques de sécurité à l’attention des
                                                              entreprises.
                                                              http://www.ssi.gouv.fr/fr/bonnes-
                                                              pratiques/recommandations-et-guides/securite-du-
                                                              poste-de-travail-et-des-serveurs/l-anssi-publie-la-
                                                              version-finalisee-du-guide-d-hygiene-informatique.html


4
III.AGENDA : RESERVEZ D’ORES
ET DEJA LA PROCHAINE DATE
DES MATINALES ENTREPRISES
MAZARS !

Programme 2013                                                    Informations pratiques

                                                                  Lieu
          DATE                            THEME                   Tour Mazars
                                                                  61, rue Henri Regnault
                                                                  92075 La Défense
                               L’Externalisation de la fonction
Jeudi 21 mars 2013             comptable : un outil de
                               création de valeur ?               Horaires
                                                                  8h15 : café d’accueil
                                                                  8h45 – 10h : conférence - débat
                                                                  10h – 10h30 : questions / réponses
Mardi 23 avril 2013            Financement des ETI
                                                                  Contact email : matinales@mazars.fr


                               Comment optimiser votre
Jeudi 6 juin 2013
                               BFR ?


                                                                  Retrouvez toute l’actualité des E.T.I. et restez en contact avec
                               Maîtrise des risques               nos experts en rejoignant le Club des ETI :
Mardi 2 juillet 2013
                               informatiques
                                                                  Club des ETI




    CONTACTS
    Mazars                                                           Mazars
                                                                     61, rue Henri Regnault
                                                                     92075 Paris - La Défense Cedex
    Manuela Baudoin-Revert
                                                                     France
    Associée Audit
                                                                     Phone: +33 (0) 1 49 97 60 00
    +33 (0) 1 49 97 65 28
                                                                     Fax: +33 (0) 1 49 97 00 01
    manuela.baudoin-revert@mazars.fr

    Eric Schwaller
    Associé Audit
    +33 (0) 1 49 97 67 21
    eric.schwaller@mazars.fr

    Olivier Lenel
    Associé Consulting
    +33 (0) 1 49 97 63 83                                                                   Plus de détails disponibles sur
    olivier.lenel@mazars.fr                                                                                 www.mazars.fr

5

Contenu connexe

Tendances

Gestion de-crise-et-s-233-curit-233-233-conomique
Gestion de-crise-et-s-233-curit-233-233-conomiqueGestion de-crise-et-s-233-curit-233-233-conomique
Gestion de-crise-et-s-233-curit-233-233-conomique
Hassan Abo Elhacen
 
Problématique qualité sous solvailité 2
Problématique qualité sous solvailité 2Problématique qualité sous solvailité 2
Problématique qualité sous solvailité 2
Arrow Institute
 
Grant Thornton : La révolution numérique des codir
Grant Thornton :  La révolution numérique des codirGrant Thornton :  La révolution numérique des codir
Grant Thornton : La révolution numérique des codir
Olivier Rihouet
 
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Arrow Institute
 
Article JP MARDUEL Contrôle de Gestion Business Partner
Article JP MARDUEL Contrôle de Gestion Business PartnerArticle JP MARDUEL Contrôle de Gestion Business Partner
Article JP MARDUEL Contrôle de Gestion Business Partner
Jean-Pierre Marduel
 
Etude PwC ORSA (juin 2014)
Etude PwC ORSA (juin 2014)Etude PwC ORSA (juin 2014)
Etude PwC ORSA (juin 2014)
PwC France
 
Bank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeBank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigme
Wavestone
 
Dossier de présentation eva matesanz coach
Dossier de présentation eva matesanz coachDossier de présentation eva matesanz coach
Dossier de présentation eva matesanz coach
Eva Matesanz
 
Piloter les PME au moyen d’un SIRH dédié
Piloter les PME au moyen d’un SIRH dédiéPiloter les PME au moyen d’un SIRH dédié
Piloter les PME au moyen d’un SIRH dédié
Sage france
 

Tendances (10)

Gestion de-crise-et-s-233-curit-233-233-conomique
Gestion de-crise-et-s-233-curit-233-233-conomiqueGestion de-crise-et-s-233-curit-233-233-conomique
Gestion de-crise-et-s-233-curit-233-233-conomique
 
Problématique qualité sous solvailité 2
Problématique qualité sous solvailité 2Problématique qualité sous solvailité 2
Problématique qualité sous solvailité 2
 
Grant Thornton : La révolution numérique des codir
Grant Thornton :  La révolution numérique des codirGrant Thornton :  La révolution numérique des codir
Grant Thornton : La révolution numérique des codir
 
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
Quel Cadre opérationnel cohérent pour la gestion des risques opérationnels?
 
Article JP MARDUEL Contrôle de Gestion Business Partner
Article JP MARDUEL Contrôle de Gestion Business PartnerArticle JP MARDUEL Contrôle de Gestion Business Partner
Article JP MARDUEL Contrôle de Gestion Business Partner
 
Etude PwC ORSA (juin 2014)
Etude PwC ORSA (juin 2014)Etude PwC ORSA (juin 2014)
Etude PwC ORSA (juin 2014)
 
Bank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigmeBank insight n°3 - Agilité : changement de paradigme
Bank insight n°3 - Agilité : changement de paradigme
 
Dossier de présentation eva matesanz coach
Dossier de présentation eva matesanz coachDossier de présentation eva matesanz coach
Dossier de présentation eva matesanz coach
 
Piloter les PME au moyen d’un SIRH dédié
Piloter les PME au moyen d’un SIRH dédiéPiloter les PME au moyen d’un SIRH dédié
Piloter les PME au moyen d’un SIRH dédié
 
Matinée 01 SIRH
Matinée 01 SIRHMatinée 01 SIRH
Matinée 01 SIRH
 

Similaire à Cartographie des risques matinales entreprises mazars

Intelligence economique et ressources humaines : un duo efficace
Intelligence economique et ressources humaines : un duo efficaceIntelligence economique et ressources humaines : un duo efficace
Intelligence economique et ressources humaines : un duo efficace
Anne-laurence CHOBLI
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériques
Antoine Vigneron
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
polenumerique33
 
Les enjeux de la transformation numérique
Les enjeux de la transformation numériqueLes enjeux de la transformation numérique
Les enjeux de la transformation numérique
Antoine Vigneron
 
Fiches des nominés au concours de GouvInfo : IAI awards 2015
Fiches des nominés au concours de GouvInfo : IAI awards 2015Fiches des nominés au concours de GouvInfo : IAI awards 2015
Fiches des nominés au concours de GouvInfo : IAI awards 2015
Perrein Jean-Pascal
 
Les défis commerciaux de la PME en 2013
Les défis commerciaux de la PME en 2013Les défis commerciaux de la PME en 2013
Les défis commerciaux de la PME en 2013
Sage france
 
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entrepriseGuide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Patrick Giry-Deloison
 
DSI, osez la rupture dans vos relations avec les Métiers !
DSI, osez la rupture dans vos relations avec les Métiers !DSI, osez la rupture dans vos relations avec les Métiers !
DSI, osez la rupture dans vos relations avec les Métiers !
Wavestone
 
Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"
Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"
Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"
Alain Chekroun
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
Hapsis
 
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATIONSTRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
Dominique Odyliane
 
Communiqué de presse - Partenariat Crossing Skills & InteropSys
Communiqué de presse - Partenariat Crossing Skills & InteropSysCommuniqué de presse - Partenariat Crossing Skills & InteropSys
Communiqué de presse - Partenariat Crossing Skills & InteropSys
Crossing Skills
 
Le BPM au service de la sécurité des SI
Le BPM au service de la sécurité des SI Le BPM au service de la sécurité des SI
Le BPM au service de la sécurité des SI
Iterop
 
Etude de cas : Lancement d'un nouveau SI pour le secteur B to B
Etude de cas : Lancement d'un nouveau SI pour le secteur B to BEtude de cas : Lancement d'un nouveau SI pour le secteur B to B
Etude de cas : Lancement d'un nouveau SI pour le secteur B to B
Houria2
 
Guide pratique - PME et Knowlegde Management, un compagnonnage vertueux
Guide pratique - PME et Knowlegde Management, un compagnonnage vertueuxGuide pratique - PME et Knowlegde Management, un compagnonnage vertueux
Guide pratique - PME et Knowlegde Management, un compagnonnage vertueux
Ourouk
 
Knowledge management
Knowledge managementKnowledge management
Knowledge management
Nabil Gharib
 
Protéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture InteractiveProtéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture Interactive
Marie_Estager
 
savoir, savoir faire, faire savoir : du bon dosage des technologies
savoir, savoir faire, faire savoir : du bon dosage des technologiessavoir, savoir faire, faire savoir : du bon dosage des technologies
savoir, savoir faire, faire savoir : du bon dosage des technologies
Eric Blot
 

Similaire à Cartographie des risques matinales entreprises mazars (20)

Intelligence economique et ressources humaines : un duo efficace
Intelligence economique et ressources humaines : un duo efficaceIntelligence economique et ressources humaines : un duo efficace
Intelligence economique et ressources humaines : un duo efficace
 
RiskAssur-hebdo_article-6
RiskAssur-hebdo_article-6RiskAssur-hebdo_article-6
RiskAssur-hebdo_article-6
 
L'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériquesL'entreprise face à ses enjeux et risques numériques
L'entreprise face à ses enjeux et risques numériques
 
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
L’ENTREPRISE FACE À SES ENJEUX ET RISQUES NUMÉRIQUES GOUVERNANCE ET ORGANISAT...
 
Les enjeux de la transformation numérique
Les enjeux de la transformation numériqueLes enjeux de la transformation numérique
Les enjeux de la transformation numérique
 
Fiches des nominés au concours de GouvInfo : IAI awards 2015
Fiches des nominés au concours de GouvInfo : IAI awards 2015Fiches des nominés au concours de GouvInfo : IAI awards 2015
Fiches des nominés au concours de GouvInfo : IAI awards 2015
 
Les défis commerciaux de la PME en 2013
Les défis commerciaux de la PME en 2013Les défis commerciaux de la PME en 2013
Les défis commerciaux de la PME en 2013
 
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entrepriseGuide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
Guide du parcours d'auto-disruption (PAD) pour dirigeants d'entreprise
 
DSI, osez la rupture dans vos relations avec les Métiers !
DSI, osez la rupture dans vos relations avec les Métiers !DSI, osez la rupture dans vos relations avec les Métiers !
DSI, osez la rupture dans vos relations avec les Métiers !
 
Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"
Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"
Solutions GED/Dématérialisation - "Gouvernance documentaire" et "Dématique"
 
Hapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la CarteHapsis - La Sécurité Numérique à la Carte
Hapsis - La Sécurité Numérique à la Carte
 
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATIONSTRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
STRATEGIE DE DEVELOPPEMENT ET STRATEGIE DE L'INFORMATION
 
Veille prospective
Veille prospectiveVeille prospective
Veille prospective
 
Communiqué de presse - Partenariat Crossing Skills & InteropSys
Communiqué de presse - Partenariat Crossing Skills & InteropSysCommuniqué de presse - Partenariat Crossing Skills & InteropSys
Communiqué de presse - Partenariat Crossing Skills & InteropSys
 
Le BPM au service de la sécurité des SI
Le BPM au service de la sécurité des SI Le BPM au service de la sécurité des SI
Le BPM au service de la sécurité des SI
 
Etude de cas : Lancement d'un nouveau SI pour le secteur B to B
Etude de cas : Lancement d'un nouveau SI pour le secteur B to BEtude de cas : Lancement d'un nouveau SI pour le secteur B to B
Etude de cas : Lancement d'un nouveau SI pour le secteur B to B
 
Guide pratique - PME et Knowlegde Management, un compagnonnage vertueux
Guide pratique - PME et Knowlegde Management, un compagnonnage vertueuxGuide pratique - PME et Knowlegde Management, un compagnonnage vertueux
Guide pratique - PME et Knowlegde Management, un compagnonnage vertueux
 
Knowledge management
Knowledge managementKnowledge management
Knowledge management
 
Protéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture InteractiveProtéger l'entreprise et créer de la valeur - Accenture Interactive
Protéger l'entreprise et créer de la valeur - Accenture Interactive
 
savoir, savoir faire, faire savoir : du bon dosage des technologies
savoir, savoir faire, faire savoir : du bon dosage des technologiessavoir, savoir faire, faire savoir : du bon dosage des technologies
savoir, savoir faire, faire savoir : du bon dosage des technologies
 

Cartographie des risques matinales entreprises mazars

  • 1. CARTOGRAPHIE DES RISQUES : ENTRE AMELIORATION DES PERFORMANCES & SECURISATION DES OPERATIONS Vendredi 6 juillet 2012, Mazars, Paris - Newsletter n° - Janvier 2013 10 SOMMAIRE I. Compte-rendu du 11 décembre 2012 II. Revue de presse III. Agenda Mazars, c’est aussi le partenaire des entreprises de taille intermédiaire ! Avec la mise en place des Matinales Entreprises INTERVENANTS Mazars, à raison de 6 à 7 sessions de petit-déjeuner débat par an, Mazars vous propose un espace de rencontres et d'échanges dédié. • Olivier Lenel, Associé Consulting, Grâce à ces rendez-vous, nous souhaitons : Mazars o vous faire bénéficier de notre connaissance des meilleures pratiques de grands groupes ; • Philippe Gaudy, Senior manager o vous apporter des réponses rapides et sur-mesure grâce à notre Consulting, Mazars équipe présente à chaque rendez-vous et prête à répondre à • Christine Cantournet, Directrice chacune de vos interrogations, qu'elles concernent vos projets de juridique et des risques, Administrateur transformation, la maîtrise de vos risques, vos systèmes de Société Certifié d’information, l'externalisation d'un département, votre développement à l'international, la transmission de votre activité, etc... ou la certification de vos comptes ; o vous permettre d'accéder à l'ensemble de nos métiers grâce à notre capacité à mobiliser toutes nos compétences en France et Réservez dès maintenant la date de la à l'international ; prochaine Matinale Entreprises Mazars : o vous donner la possibilité de disposer de benchmark de vos pratiques avec des sociétés de même taille. Le Jeudi 21 mars 2013 sur le thème : Une Newsletter vient compléter ces rendez-vous vous permettant L’Externalisation de la fonction ainsi de vous tenir informé des thèmes abordés, de vous présenter comptable : un outil de création de quelques points d'actualité en lien avec le sujet présenté et enfin de valeur ? vous donner la possibilité de réserver dans vos agendas les prochaines dates des Matinales Entreprises Mazars. 1
  • 2. avons fait le choix d'une démarche simple mais animée par des profils expérimentés et pertinents au I.COMPTE-RENDU DU 11 plan sectoriel. DECEMBRE 2012 L'enjeu pour les ETI est de dépasser très rapidement Les éléments déclencheurs d’une l'exercice cartographique et de trouver le bon dispositif de gestion des risques (organisation, cartographie des risques responsabilisation, processus, ...). C'est un point sur lequel notre témoin, Madame Christine Cantournet a Loin des enjeux de conformité, "cartographier des insisté. Cet objectif doit impérativement être risques" est surtout aujourd'hui pour les dirigeants appréhendé dès le lancement de la cartographie, pour d'ETI un véritable outil de management. Au-delà de la en faire un levier durable de performance. gestion "intuitive" des risques, réaliser une cartographie des risques, avec la juste mesure et la progressivité qui s'imposent, c’est : Risques liés aux systèmes d’information : Pourquoi la confiance ne suffit plus ? Vers • une démarche participative, croisant stratégie et un modèle partenarial entre la DSI et les opérations, pour le progrès global de l'entreprise, métiers entre collaborateurs d'un même périmètre (niveau managérial, métier, fonction, géographie, ...) ; Le système d’information supporte aujourd’hui la plus • une clarification des vulnérabilités éventuelles grande partie des processus métiers et back-office pouvant affecter la réalisation des objectifs d’une entreprise qui évolue dans un environnement : stratégiques, et la performance de l'entreprise ; - qui tend vers une évolution accélérée des technologies de l’information ; et • un partage de la réalité des pratiques de terrain - qui expose ainsi l’entreprise et ses actifs à une permettant souvent d'identifier certains écarts et surface de risque de plus en plus large. de nuancer l'illusion du contrôle absolu ; Or, la nature de ces risques est vaste (fraude, • l'anticipation de certaines menaces, pour se confidentialité, image, non-conformité, …) mais donner les moyens d'en faire des opportunités ; surtout, l’origine de ces risques peut se cacher dans et chaque strate dudit système d’information : processus informatisé manquant de contrôle, données • la possibilité de s'interroger sur la correcte incohérentes, programmes défaillants, bases de allocation des moyens de maîtrise de risques données non sécurisées, gouvernance inadéquate, … aux véritables enjeux, mais également sur leur optimisation. Face au polymorphisme de ces risques informatiques et face aux dommages colatéraux Internationalisation des ETI, innovation, digitalisation, causés aux métiers en cas d’incident informatique, mais aussi accélération et judiciarisation des affaires nous assistons à une prise de conscience plus ou exposent forcément nos entreprises à des sujets moins avancée de l’intérêt pour les métiers à nouveaux. Le contexte de crise vient également considérer l’organisation en charge des systèmes renforcer l'importance de se donner le temps de cette d’information comme un véritable partenaire. réflexion sur les risques et notre expérience nous montre que les entreprises l'ayant fait en ont tiré des Chez Mazars, nous recommandons la conduite d’une enseignements réels et se sont données les moyens véritable analyse des risques informatiques comme de progresser. point de départ de toute stratégie ou sa déclinaison opérationnelle, plaçant la criticité des processus métier Si les méthodologies à mettre en oeuvre sont au cœur de la démarche et induisant une réflexion aujourd'hui plutôt décrites, la qualité de leur mise en commune entre l’IT et ses « clients » pour atteindre oeuvre conditionne le résultat et l'intérêt pour les objectifs de couverture des risques. l'entreprise. Chez Mazars, nous sommes convaincus Car s’il n’est pas reprochable au dirigeant d’une ETI de que la capacité de la démarche à être internalisée ne pas pallier tous les risques liés à son système correspond à la cible pour assurer la pérennisation d’information, il l’est de ne pas les connaître ! du processus de gestion des risques. Aussi, nous 2
  • 3. Sur cette base, les ETI ne sont pas égales et nous Risques juridiques : une menace de plus en observons un niveau de maturité très dispersé : plus présente et protéiforme. Comment - celles qui n’adressent que les sujets fonctionnels quotidiens ; optimiser leur gestion par un meilleur - celles qui ont su réfléchir aux problématiques autres couplage entre opérationnels et juristes ? que fonctionnelles ; - celles qui ont su mettre en place l’organisation pour y répondre de manière pérenne (organigramme, Dans la multitude de risques auxquels une entreprise procédures, …) ; et est exposée, un type de risque ressort comme étant - celles inscrites dans une démarche d’amélioration plus complexe à appréhender et à gérer : le risque continue (auto-évaluation, …). juridique. Maîtriser les risques juridiques s’avère être un enjeu majeur tant ces derniers peuvent gravement nuire à l’entreprise, à ses dirigeants, à ses actionnaires, directement ou indirectement, en Cette maturité est clairement corrélée avec la place dégradant ses valeurs, ses actifs et son image. accordée à l’organisation en charge du système d’information au sein de l’entreprise, au sein de chaque étape du cycle de vie du système Quelle que soit leur taille, les entreprises évoluent d’information. Ces grands principes peuvent ainsi servir d’indicateurs sur le positionnement des ETI : dans un contexte marqué par une incertitude juridique croissante : judiciarisation croissante des la conception des services informatiques requiert relations d’affaires, incertitude face aux évolutions une stratégie ; réglementaires (en France et à l’international), inflation les principes de gouvernance interne sont à réglementaire, complexité sans cesse renforcée du étendre aux partenaires ; Droit, tendance à la pénalisation des fautes commises la gestion des projets informatiques mérite une par les dirigeants d’entreprise… Ces évolutions méthodologie définie et suivie ; affectent les ETI au même titre que de grands le niveau de sécurité intrinsèque des SI est groupes alors qu’elles n’ont pas toujours les perfectible et doit donc être testé ; mêmes moyens pour y faire face. Doivent-elles pour la gestion du sinistre informatique ne s’improvise autant se croire désarmées et impuissantes face aux pas et doit être préparée et outillée ; risques juridiques ? la gestion des accès, liée au principe de séparation des fonctions, constitue le « chat noir » des systèmes d’information et doit faire Selon notre expérience, le « risque juridique » (parfois l’objet d’une réflexion interne et approfondie ; libellé risque de non-conformité ou encore risque la nécessité de satisfaire une conformité réglementaire), figure souvent en bonne place dans réglementaire doit être qualifée comme un besoin les cartographies générales de risques. S’il est et le SI assez agile pour l’intégrer. évoqué, il est toutefois rarement précisément défini et délimité. La complexité du traitement des risques juridiques réside en premier lieu dans la difficulté de Enfin, le principe d’amélioration continue (plan, do, décliner les problématiques juridiques en risques check, act) doit s’imposer pour atteindre les objectifs opérationnels sur lesquels il est raisonnablement business supportés par le système d’information et possible d’agir. son organisation. 3
  • 4. Nos convictions en la matière sont les suivantes : II.REVUE DE PRESSE a) Le juriste d’entreprise, s'il fixe le cadre à respecter, conseille les opérations et se mobilise pour sauvegarder les intérêts de l'entreprise et de ses Risques liés aux systèmes d’information : salariés lorsque le risque est avéré ou presque. Pourquoi la confiance ne suffit plus ? Vers Or, il ne peut pas être présent sur chaque acte de un modèle partenarial entre la DSI et les gestion et chaque décision, c'est à dire lors de la prise de risque. Il doit donc pouvoir s'appuyer sur métiers des dispositifs qui permettent un dialogue régulier et proactif avec les opérations. Le rapport Bocquel, cité en séance et adopté par la b) Selon notre expérience, les opérationnels commission des affaires étrangères, de la défense et gagneraient, en parallèle, à se sentir plus des forces armées du Sénat, dresse un état des lieux concernés par les enjeux juridiques majeurs de de la cyberdéfense, s’inscrivant dans la ligne des leurs actes ou prises de position. Il est rapports Labordes de 2006 et Romani en 2008. important de leur donner à eux aussi, qui ne sont http://www.senat.fr/rap/r11-681/r11-6811.pdf pour la plupart pas des juristes ou qui ne connaissent pas les textes dans le détail, les moyens de mieux cerner les grands risques juridiques et de s'autoévaluer sur leur maîtrise. En illustration du rapport Bocquel, la récente attaque du groupe Anonymous qui a dérobé et diffusé des c) Nos échanges permanents avec les entreprises informations personnelles et professionnelles des nous montrent aussi toute l'importance de la banquiers américains. culture du risque, et en particulier du risque http://www.linformaticien.com/actualites/id/27963/les- juridique au sein des organisations. Le risque anonymous-visent-les-banquiers-us.aspx juridique est par essence très diffus, et peut affecter n'importe quel processus de l'entreprise. Il impose, outre les dispositifs classiques, un réel développement de cette culture. La panne informatique de la banque RBS, citée en séance, avait pour origine l’implémentation d’une d) Certains outils innovants peuvent venir supporter évolution du logiciel métier. et aider les juristes, dans leur dialogue avec les http://www.reseaux-telecoms.net/actualites/lire-la- dirigeants et les opérationnels, qui sont les panne-informatique-de-la-banque-rbs-coutera-175- premiers concernés par le sujet du fait de leurs millions-de-livres-25073.html actes de gestion. La cartographie des risques juridiques vise très précisément cet objectif de rapprocher les juristes et les opérations sur des enjeux concrets qui exposent les entreprises et constituent autant de points d'attention à anticiper, Tout récemment, la fraude de 14 millions d’Euros chez pour mieux maîtriser les risques juridiques. PBM illustre l’attaque par ingénierie sociale. http://www.bfmtv.com/societe/14-millions-deuros- soutires-telephone-a-une-societe-dimport-436434.html Enfin, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) vient de publier un guide de bonnes pratiques de sécurité à l’attention des entreprises. http://www.ssi.gouv.fr/fr/bonnes- pratiques/recommandations-et-guides/securite-du- poste-de-travail-et-des-serveurs/l-anssi-publie-la- version-finalisee-du-guide-d-hygiene-informatique.html 4
  • 5. III.AGENDA : RESERVEZ D’ORES ET DEJA LA PROCHAINE DATE DES MATINALES ENTREPRISES MAZARS ! Programme 2013 Informations pratiques Lieu DATE THEME Tour Mazars 61, rue Henri Regnault 92075 La Défense L’Externalisation de la fonction Jeudi 21 mars 2013 comptable : un outil de création de valeur ? Horaires 8h15 : café d’accueil 8h45 – 10h : conférence - débat 10h – 10h30 : questions / réponses Mardi 23 avril 2013 Financement des ETI Contact email : matinales@mazars.fr Comment optimiser votre Jeudi 6 juin 2013 BFR ? Retrouvez toute l’actualité des E.T.I. et restez en contact avec Maîtrise des risques nos experts en rejoignant le Club des ETI : Mardi 2 juillet 2013 informatiques Club des ETI CONTACTS Mazars Mazars 61, rue Henri Regnault 92075 Paris - La Défense Cedex Manuela Baudoin-Revert France Associée Audit Phone: +33 (0) 1 49 97 60 00 +33 (0) 1 49 97 65 28 Fax: +33 (0) 1 49 97 00 01 manuela.baudoin-revert@mazars.fr Eric Schwaller Associé Audit +33 (0) 1 49 97 67 21 eric.schwaller@mazars.fr Olivier Lenel Associé Consulting +33 (0) 1 49 97 63 83 Plus de détails disponibles sur olivier.lenel@mazars.fr www.mazars.fr 5