Mieux évaluer le risque informatique grâce au lien entre technique et opérationnel
Le référentiel Risk IT, entièrement revu et mis à jour, est disponible en français
Depuis trois ans l'Isaca (Information System Audit and Control Association) finalise un référentiel traitant les risques informatiques par le prisme métier. Connue notamment pour Cobit, un référentiel destiné à l'audit du système d'information (SI), l'association a dans un premier temps détaché un groupe de 15 personnes qui s'est attelé à la définition d'un concept, lequel a ensuite été soumi à une centaine d'experts et de professionnels internationaux du secteur, avant de passer devant le comité de validation. “ L'objectif était de se baser sur des retours d'expérience, sur ce que réalisaient vraiment les entreprises. Il fallait également tenir compte de ce qui se pratiquait en matière de cartographie et plus spécifiquement en France ”, explique Pascal Antonini, vice-président de l'Afai (Association française de l'audit et du conseil informatiques) et associé chez Ernst & Young.Jean-Luc Strauss, directeur de la stratégie, de l'innovation et de la gouvernance informatique chez Altran CIS, ajoute que Risk IT appréhende le risque informatique dans une approche complète et transverse. “ Il est traité en fonction de l'impact qu'il peut avoir sur l'accomplissement des objectifs métier et stratégiques. Il est également considéré soit comme une protection contre la destruction de valeur, soit comme générateur de valeur ”, précise-t-il. Pour plus de clarté, le référentiel a donc réparti le risque sur trois catégories (ou approches). La première considère le SI comme apporteur de valeur dans l'entreprise. Comprendre par là qu'il s'agit d'appréhender les impacts qu'il peut avoir sur la génération de bénéfices dès lors qu'il intervient dans un processus métier. Cette démarche part également du principe qu'il faut envisager les gains manqués parce que l'entreprise n'a pas eu recours aux technologies de l'information. La deuxième approche tient compte des risques véhiculés par la réalisation de projets informatiques. Il s'agit, cette fois, d'anticiper la perte financière due à un échec ou un ralentissement durant le déroulement, par exemple, de la mise en place d'une base de données.La dernière catégorie, plus logistique, tient compte des risques liés à l'exploitation du SI, à savoir tous les aspects liés à la performance des systèmes et des services informatiques. Cela dès lors qu'ils peuvent conduire à la destruction ou à la réduction de valeur pour l'entreprise.
Votre opinion