Gérer les risques suppose aujourd'hui plus de flexibilité

le 11/03/2013, par Bertrand LEMAIRE, Sécurité, 851 mots

L'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise) vient de publier son cinquième panorama des systèmes d'information de gestion des risques. Les solutions très standards laissent la place à des solutions paramétrables.

Gérer les risques suppose aujourd'hui plus de flexibilité

« L'AMRAE est, dans le monde, la seule association nationale de gestionnaires de risques à réaliser un panorama des SIGR [systèmes d'information de gestion des risques] » s'est réjouit François Beaume, Président de la commission SI de l'AMRAE (Association pour le Management des Risques et des Assurances de l'Entreprise) en présentant la cinquième édition de cet exercice annuel. Le marché continue, selon ce panorama, sa maturation. Les solutions très standardisées qui étaient en vogue ces dernières années laissent maintenant la place à des solutions plus modulaires et paramétrables. L'évolution des conditions d'emploi explique en grande partie cette évolution.
Pour la deuxième fois, l'association s'est appuyée sur un partenariat avec Accenture, représenté par le senior manager Risk Management Jean-Laurent Schwartz lors de la présentation. François Beaume s'en est justifié : « le nombre d'éditeurs participant au panorama s'accroît d'année en année et le traitement des données est au delà des moyens d'une association de bénévoles. De plus, nous apprécions l'aiguillon d'un cabinet externe pour stimuler notre réflexion. »

37 éditeurs dont 11 nouveaux

Le panorama se base sur du déclaratif des éditeurs. Son but est d'expliquer quels sont les éditeurs de SIGR présents sur le marché ainsi que de préciser leurs spécialistés. Certains éditeurs sont assez généralistes, d'autres très orientés vers la gestion des contrats d'assurances, l'intelligence économique ou la gestion de la conformité réglementaire.
Cette année, 37 éditeurs ont répondu aux près de 300 questions adressées par l'AMRAE. Ces questions sont pour la plupart fermées et permettent de générer un scoring des solutions sur une douzaine d'axes fonctionnels. 11 nouveaux éditeurs, comme Bureau Van Dijk et Thomson Reuters, entrent dans le panorama tandis que 4 sortent, dont Oracle.
« Nous ne constatons pas de dérives entre les réponses des éditeurs et la réalité constatée sur le terrain » se réjouit Jean-Laurent Schwartz. Cet auto-contrôle est lié à une crédibilité vitale sur ce marché alors que ce panorama est une référence pour tous les risk managers en France.
Certains éditeurs ne souhaitent pas se positionner dans le panorama pour diverses raison. Parfois, c'est une volonté délibérée, par exemple parce que le positionnement voire la pérennité du produit concerné sont en cours de questionnement.
Il peut arriver aussi que certains produits, très spécialisés sur quelques axes fonctionnels, seraient globalement mal notés car absents de la plupart des axes, donc avec un score à 0 sur ceux-ci. Le problème se pose notamment sur de nouveaux produits comme ceux de veille d'e-réputation ou de gestion d'alertes. L'AMRAE réfléchit soit à ajouter des axes fonctionnels pour couvrir ces nouveaux risques soit, les produits étant très spécialisés, à créer un panorama dédié. Cela dit, un éditeur très spécialisé comme Elseware n'hésite pas à assumer son absence de la plupart des axes fonctionnels.
Enfin, il peut arriver qu'un éditeur n'ait simplement plus de responsable disponible pour répondre au questionnaire. L'AMRAE effectue quelques relances mais ne peut obliger personne. « Nous avons de gros soucis de relance » concède François Beaume.

Une fiche refondue pour tenir compte des tendances du marché...

Une fiche refondue pour tenir compte des tendances du marché

Le questionnaire et la fiche consacrée à chaque éditeur dans le Panorama ont été refondues pour mieux répondre aux nouvelles attentes du marché. En effet, le panorama des années passées privilégiaient les solutions très standards. Le nouveau « prime » plutôt les solutions plus souples, paramétrables par la direction des risques, et capables ainsi de mieux répondre à des besoins très variés en entreprises.



Sur ce marché très dynamique où le nombre d'appels d'offres de la part de grandes entreprises ne cesse d'augmenter, les clients changent de nature. Les besoins exprimés suivent. « Il y a quelques années, les banques et assurances tiraient le marché vers des solutions très standardisées pour gérer la conformité à une réglementation très pointue et commune ; aujourd'hui le marché est tiré par l'industrie et les services » souligne Jean-Laurent Schwartz.
Cette évolution entraîne aussi une évolution de l'approche de la gestion des risques : d'une approche « conformité », les entreprises passent à l'approche « performance ». François Beaume insiste : « le SIGR est avant tout un levier de la performance de l'entreprise ».

Grandes structures mais petit nombre d'utilisateurs

Si les SIGR sont surtout déployés dans de grandes organisations, le nombre d'utilisateurs reste en général assez réduit (en dessous de 100 dans la moitié des cas). Mais ces utilisateurs sont, dans la majorité des cas, dans plusieurs départements de la même entreprise. La question se pose de savoir si ces tendances sont réelles uniquement en France ou bien également dans d'autres pays.

Pour le savoir, le panorama, franco-français pour l'instant même s'il est ouvert à des éditeurs internationaux, devrait dans les prochains mois acquérir une dimension internationale. En effet, l'AMRAE va d'abord traduire l'édition 2013 en Anglais pour le promouvoir au niveau de la fédération européenne des gestionnaires de risques (FERMA). Dans un second temps, l'association aimerait que la création d'une prochaine édition soit réellement européenne.
Enfin, l'AMRAE indique qu'elle envisage de créer un panorama des besoins clients en interrogeant les responsables risques dans les entreprises utilisatrices.

En savoir plus

Télécharger le Panorama des SIGR - Edition 2013 sur le site de l'AMRAE (PDF gratuit)

Les DSI en difficulté sur le sujet de la sécurité

Les DSI ne sont pas nécessairement des experts en sécurité, cela ne signifie pas qu'ils ne peuvent pas en parler à leur Comex. A condition que les directeurs de la sécurité informatique leur donnent des argumen...

le 24/11/2014, par Lauren Brousell, CIO Etats-Unis, 450 mots

Cisco publie des correctifs de vulnérabilité pour ses routeurs de la ...

Les failles découvertes par Cisco dans ses routeurs RV, ceux destinés aux petites entreprises, permettent aux pirates d'exécuter des commandes, de remplacer des fichiers et de lancer des attaques CSRF. Cisco a ...

le 07/11/2014, par Lucian Constantin, IDG NS, 433 mots

CS veut s'imposer dans les SOCs et développe le seul SIEM européen

Les nouvelles orientations de l'ANSSII vont obliger les OIV à gérer leurs incidents de sécurité et à piloter cette surveillance. L'Agence favorise aussi  les acteurs français de la cyber-sécurité jusqu'alors da...

le 30/10/2014, par Didier Barathon, 430 mots

Dernier dossier

Le software-defined security (SDS) convient aux environnements virtualisés

Avec le SDS (software-defined security), la détection d'intrusion, la segmentation du réseau, les contrôles d'accès sont automatisés et contrôlés par le logiciel. Le SDS convient plus particulièrement aux environnements informatiques dépendants du cloud computing et des infrastructures virtualisées. Il prend en compte chaque nouveauté dans l'enviro...

Dernier entretien

Dan Pitt

directeur exécutif de l'ONF, Open Networking Foundation

« Nous nous sentons la responsabilité de conduire l'ensemble du mouvement SDN »