Mieux évaluer le risque informatique grâce au lien entre technique et opérationnel

Depuis trois ans l'Isaca (Information System Audit and Control Association) finalise un référentiel traitant les risques informatiques par le prisme métier. Connue notamment pour Cobit, un référentiel destiné à l'audit du système d'information (SI), l'association a dans un premier temps détaché un groupe de 15 personnes qui s'est attelé à la définition d'un concept, lequel a ensuite été soumi à une centaine d'experts et de professionnels internationaux du secteur, avant de passer devant le comité de validation. “ L'objectif était de se baser sur des retours d'expérience, sur ce que réalisaient vraiment les entreprises. Il fallait également tenir compte de ce qui se pratiquait en matière de cartographie et plus spécifiquement en France ”, explique Pascal Antonini, vice-président de l'Afai (Association française de l'audit et du conseil informatiques) et associé chez Ernst & Young.Jean-Luc Strauss, directeur de la stratégie, de l'innovation et de la gouvernance informatique chez Altran CIS, ajoute que Risk IT appréhende le risque informatique dans une approche complète et transverse. “ Il est traité en fonction de l'impact qu'il peut avoir sur l'accomplissement des objectifs métier et stratégiques. Il est également considéré soit comme une protection contre la destruction de valeur, soit comme générateur de valeur ”, précise-t-il. Pour plus de clarté, le référentiel a donc réparti le risque sur trois catégories (ou approches). La première considère le SI comme apporteur de valeur dans l'entreprise. Comprendre par là qu'il s'agit d'appréhender les impacts qu'il peut avoir sur la génération de bénéfices dès lors qu'il intervient dans un processus métier. Cette démarche part également du principe qu'il faut envisager les gains manqués parce que l'entreprise n'a pas eu recours aux technologies de l'information. La deuxième approche tient compte des risques véhiculés par la réalisation de projets informatiques. Il s'agit, cette fois, d'anticiper la perte financière due à un échec ou un ralentissement durant le déroulement, par exemple, de la mise en place d'une base de données.La dernière catégorie, plus logistique, tient compte des risques liés à l'exploitation du SI, à savoir tous les aspects liés à la performance des systèmes et des services informatiques. Cela dès lors qu'ils peuvent conduire à la destruction ou à la réduction de valeur pour l'entreprise.

Trois axes de traitement

Parallèlement, il existe d'un côté la norme ISO 31000, issue du monde du risque, qui est très générique (top-down), et nécessite de faire le lien avec les SI. De l'autre, la série des 2700x consacrée à la sécurité des SI. “ Celle-ci a été conçue par des gens en charge de la sécurité, avec des référentiels plus spécifiques (bottom-up) comme ISO 27005 qui traite du risque informatique. Avec Risk IT, on part du principe qu'il y a d'autres risques informatiques que celui lié à la sécurité ”, explique Pascal Antonini.Pour le vice-président de l'Afai, Risk IT n'est pas là pour faire loi mais pour aider les entreprises à combler le vide qu'il y a entre les référentiels existants. L'objectif est de faire le lien entre ces deux modèles de risques en proposant un cadre général avec trois axes : la gouvernance, l'évaluation et le traitement des risques. Quel niveau de risque l'entreprise est-elle prête à accepter pour obtenir un bénéfice ? Une question à laquelle il est devenu impératif de répondre.

Pas de norme ou de standard absolu pour évaluer le risque

Selon Risk IT, dans la pratique, on parle de “ goût ” du risque qui se définit en termes de combinaisons de fréquence et d'importance d'un risque. Il sera différent selon les entreprises. Il n'y a en effet pas de norme ou de standard absolu de ce qui constitue un risque acceptable ou inacceptable. Par exemple, dans le cas d'un retard dans le déroulement d'un projet ayant un impact financier supérieur à 100 000 euros à hauteur d'une fois par an, deux entreprises pourront le juger acceptable, tandis qu'à partir de trois fois par ans, seule une des deux sera en mesure d'absorber la perte ou d'en justifier l'enjeu. “ Risk IT se veut très pratique et s'adresse à tout type d'entreprises. Il ne fonctionne pas comme une norme puisqu'il s'agit se base sur des retours d'expérience ”, conclut Pascal Antonini.