Le 24 mars dernier, nous avons assisté au petit déjeuner organisé par le cabinet BMA sur le thème « maîtrise des risques et systèmes d’information ». A cette occasion, Gilbert Feneuil du groupe Total est venu présenter les principales caractéristiques du dispositif de maîtrise des risques IT mis en place au sein de sa société.
A - LE CONSTAT DU CABINET BMA
6 points clefs en matière de maîtrise des risques IT
Alain Nauleau, associé au sein du cabinet BMA a dans un premier temps formulé 6 constats, s’appuyant à la fois sur l’expérience de son cabinet et sur de nombreuses études :
1 - Les risques IT sont perçus comme importants, cependant leur impact est souvent relatif au regard d’autres risques métiers.
2 - Les projets de mise sous contrôle des risques IT sont d’origines multiples (exigences réglementaires, réponse à un événement catastrophique, exigences des actionnaires, pression du marché), mais encore majoritairement déclenchés pour répondre aux exigences légales et réglementaire (SOX / LSF)
2Bis - Corolaire du point précédent, les objectifs associés aux projets sont multiples : respect du cadre réglementaire, sécurisation d’un dispositif, meilleure visibilité sur le niveau maîtrise des risques, amélioration de la performance des processus, etc.
3 - Le cadre de mise en œuvre des projets est fortement influencé par les objectifs du projet et le contexte réglementaire
4 - Le niveau de sensibilité varie fortement suivant le secteur d’activité, l’existence d’une règlementation et la taille de l’entreprise.
5 - Les budgets alloués à la maîtrise des risques IT restent faibles et rarement identifiés en tant que tel.
6 - Il existe de multiples référentiels exploitables dans le domaine de l’IT (COBIT, ISO 17799, COSO, ISO27001,…) ce qui conduit généralement les entreprises à se constituer leur propre référentiel.
Nécessité de construire une démarche de maîtrise des risques IT adaptée au contexte de chaque entreprise
Tous ces constats amènent Alain Nauleau à préciser qu’en matière de maîtrise des risques IT, il n’existe pas une bonne pratique applicable à tous les contextes. La démarche mise en oeuvre doit dès lors être adaptée au contexte de chaque entreprise en fonction de différents critères :
- Niveau « Conformite? » vs « Performance »
- Approche globale vs Etude ciblée
- Orientation « Risques » vs « Contrôles »
- Mode de mesure (Déclaratif vs tests d’évaluation)
B - RETOUR D'EXPERIENCE DU GROUPE TOTAL
Pour illustrer ce propos, Gilbert Feneuil, coordinateur contrôle interne IT du Groupe TOTAL, a présenté l’historique du projet mené chez TOTAL en précisant les principaux enseignements à en tirer. En préambule, Gilber Freneuil a précisé que les travaux menés par le groupe pour identifier et évaluer les risques ont tout d’abord confirmé le fait que si les risques IT étaient réels, leur impact était modéré en comparaison avec d’autres risques (industriels par exemple).
Le groupe a mis en place un dispositif en deux temps. Dans un premier temps, une démarche orientée « cartographie » a été déployée. Cette dernière consistait à positionner les risques bruts et nets (après prise en compte du dispositif de contrôle) à trois niveaux :
- Sur les activités IT,
- Sur les processus métiers (achats,…),
- Sur les ressources (projets, applications, serveurs,…°
Pour ce faire, un référentiel a été élaboré en identifiant les familles de risques, les risques et les facteurs de risques. Ces facteurs de risques ont ensuite été positionnés sur les processus de l’entreprise, sachant que la cartographie des processus de l’entreprise était préalablement disponible.
Si le dispositif précité a permis de disposer d’un processus d’analyse des risques exhaustivement décrit, deux constats ont été formulés par la direction informatique à l’issue de cette première phase. D’une part, la charge de travail de mise en œuvre de la démarche est considérée comme trop importante au regard des risques encourus. D’autre part, la capacité de consolider avec pertinence et de valoriser les informations remontées dans le cadre de ce dispositif s’est révélée insuffisante.
Dans ce contexte, une démarche alternative selon une approche d’ « Evaluation de maturité » a été élaborée avec le soutien du cabinet BMA :
- Constitution d’une liste de bonnes pratiques (environ 500) qui vient compléter le référentiel de sécurité disponible au sein du groupe. Chaque pratique étant ensuite associée à 1 ou plusieurs risques métiers.
- Auto-évaluation des différentes entités sur la base de questionnaires s’appuyant sur ces bonnes pratiques. Les questionnaires sont préalablement personnalisés en prenant en compte des spécificités de chaque entité (prédominance d’un progiciel, taille,…). Les questions posées portent en elles les plans d’actions potentiellement réalisables pour améliorer le dispositif de contrôle.
- Mise en œuvre des plans d’actions à un niveau local ou global.
Gilbert Feneuil précise qu’au final, les deux approches menées sont complémentaires et ne doivent pas être opposées.
C - UN EXEMPLE DE TRAJECTOIRE : UNE APPROCHE COMBINEE DES LOGIQUES DE CARTOGRAPHIE ET DES LOGIQUES DE MATURITE
Il faut pouvoir combiner les approches s’appuyant sur les logiques cartographiques avec les approches s’appuyant sur les logiques de maturité
La conclusion d’ Alain Nauleau est qu’il serait illusoire de considérer qu’il existe un cadre méthodologique idéal applicable à tous.
Ses principales recommandations sont de :
- Prendre en compte le contexte spécifique à chaque organisation, et de bien mesurer l’impact des risques IT au regard de l’ensemble des risques qui pèsent sur l’entreprise. Cette prise en compte doit être formalisée dans un document précisant les contraintes et les objectifs de l’organisation en matière de maîtrise des risques.
- Réaliser une cartographie macroscopique des risques via une approche top-down.
- Identifier les processus, les risques, les ressources et les applications critiques de l’entreprise
- Mettre en œuvre une approche mixte « cartographique processus / risques » / «évaluation des risques»
