Gérer le risque exige du sur-mesure

Dans la troisième édition de son panorama des systèmes d'information de gestions des risques, l'Amrae recense 67 éditeurs. Cette Association pour le management des risques et des assurances de l'entreprise fournit ainsi un outil de veille aux professionnels du secteur face à un marché en constante évolution et complexe à appréhender. Celui-ci est segmenté en deux grands pans : les solutions se concentrant sur la gestion des polices d'assurance et celles chargées d'identifier et recenser les risques. “ Toutefois, certains adoptent un positionnement plus généraliste, couvrant les deux domaines ”, précise François Beaume, directeur du risque chez Dalkia et président de l'Amrae.Mais le plus intéressant réside dans la différence avec l'édition précédente. En un an, les solutions paramétrées par l'éditeur (et non par l'entreprise utilisatrice) se sont imposées. “ Autrement dit, ce paramétrage ad hoc assure une personnalisation poussée de la solution adoptée, ce qui la rend de facto plus efficace car plus proche des besoins réels de l'organisation ”, explique François Beaume. Les éditeurs s'adaptent et proposent du sur-mesure et moins d'évolutions techniques. Une des raisons est la transversalité de la gestion des risques qui, selon les entreprises, recouvre des périmètres différents. De plus, son caractère récent génère un marché encore peu mature.

Une interface accessible aux non-spécialistes

“ Nos besoins nous ont poussés à choisir un éditeur qui offrait la plus grande souplesse. Nous lui avons demandé, notamment, des paramétrages afin de simplifier l'usage de l'application pour que des non-spécialistes disposent de l'interface la plus conviviale et la plus ergonomique possible. D'une part, pour qu'ils s'en servent, et d'autre part, afin que la gestion de risque puisse être adoptée en interne, raconte Sophie Mauvieux, directeur du risque et des assurances chez Gemalto. Les directions métier doivent s'approprier l'outil. La gestion de risque doit être la préoccupation de l'entreprise et pas uniquement celle du directeur du risque. ” Enfin le besoin de reporting nécessite une phase d'adaptation de la part de l'éditeur. Les cartographies de risques diffèrent selon les secteurs mais aussi suivant les publics auxquels elles sont destinées. Les cinq risques majeurs de l'entreprise concerneront plus une direction générale et le comité d'audit. Par contre, les directions métier voudront avoir une visibilité sur le niveau d'avancement du traitement des risques déjà identifiés.Si ces deux types de personnalisations peuvent concerner un grand nombre de sociétés, d'autres seront plus spécifiques encore. “ La politique de sécurité de Gemalto exige que le processus d'authentification des applications soit relié à l'annuaire LDAP, il fallait donc rendre la solution de gestion des risques compatible ”, précise Sophie Mauvieux. Grâce à cette flexibilité, l'entreprise s'approprie un outil qui correspond à sa démarche, et non l'inverse. Car il est indispensable d'éviter l'écueil d'une définition de sa gestion des risques en fonction de l'outil informatique. Et il est recommandé d'avoir une bonne connaissance de ses besoins avant de choisir une solution.Se pose alors la question de développer cette application en interne, sans passer par un éditeur. Chez Schlumberger, par exemple, la gestion des risques s'opère via un outil créé il y a vingt ans par l'équipe informatique. “ A l'époque, ce type de solution n'existait pas. Nous l'avons donc développé nous-même. Nous pourrions envisager de passer à une solution externe mais cela soulèverait la question de l'intégration. Pas uniquement au niveau technique mais aussi, et surtout, d'un point de vue fonctionnel et humain ”, raconte Julien Camus, directeur du risque chez Shlumberger. Un développement interne peut néanmoins s'avérer délicat pour des solutions amenées à évoluer. Elles peuvent en effet se retrouver noyées au milieu des conflits de priorités ou de ressources et, si les équipes changent, la capacité à maintenir l'application risque d'être menacée.