Le risque IT doit être sur la feuille de route des Risk Managers
Les risques IT sont des risques d'entreprise. Le Risk manager de Dalkia et le RSSI du groupe La Poste ont expliqué comment maîtriser ces risques via la gouvernance IT et d'entreprise lors du salon Gestion-Finance à Paris, le 22 juin.
Deux grands groupes, Dalkia et La Poste, ont présenté lors du salon Gestion-Finance comment ils gèrent les risques IT et business tout en essayant de satisfaire au mieux les demandes des directeurs métiers. Ils sont intervenus lors d'une table ronde le 22 juin. François Baume, Responsable Risk Management chez Dalkia et membre de l'AMRAE (association pour le Management des Risques et des Assurances de l'Entreprise) et Patrick Langrand, RSSI du groupe la Poste ont d'abord rappelé que prendre des risques n'est pas nécessairement néfaste, et que cela peut dans certains cas apporter des avantages concurrentiels.
Le Risk manager a un rôle transversal et selon François Baume « il ne gère pas seul l'ensemble des risques. Il s'appuie sur les personnes qui sont garantes du système d'information pour capter leur expertise. » François Beaume insiste sur le fait qu'en « aucun cas, le Risk manager ne doit être un spécialiste de l'informatique ». C'est grâce au dialogue avec les experts qu'il doit faire en sorte de comprendre comment fonctionne le système d'information. Son rôle repose donc sur la communication et les liens qu'il établit tant avec les membres de la DSI ainsi qu'avec les directions métiers. Cela lui permet de comprendre quels sont pour eux les enjeux business et pour avoir une vision plus large des problématiques liées à l'informatique. Le Risk Manager est en quelque sorte un support à l'activité de la DSI. François Baume précise que les Risk Managers « essaient d'avoir une idée de la valorisation multi-dimensionnelle ».
Patrick Langrand pour sa part travaille avec une DSI très industrialisée. Une démarche qui était indispensable car le groupe la Poste réalise des activités variées couvrant aussi bien le tri, que la distribution de courrier que des services bancaires. Dans une entreprise de services comme La Poste, les enjeux et les risques sont de la même nature que dans un groupe industriel. Ils peuvent même être particulièrement significatifs lorsqu'ils concernent les centres de tri.
Patrick Langrand déclare que pour répondre à cette problématique, « le groupe La Poste a mis en place une gouvernance pour gérer les risques IT et les risques business. Le Groupe a réalisé un benchmark afin de savoir à quel niveau les confrères et les concurrents investissent en matière d'IT ». Avec l'aide de la DSI ...
...et des directions métiers, le Risk manager a ainsi cartographié les risques liés à l'IT. Mais selon le RSSI du groupe La Poste, « le problème est la vraie capacité à dialoguer et à échanger avec le business ».
Le rôle du Risk manager ne s'arrête pas à cette étape. Patrick Langrand ajoute à ce titre que « tout le monde sait identifier les risques, mais le plus dur est de mettre en place les plans d'action ». Il faut réduire les risques tout en optimisant les coûts, mais il rappelle qu'« il n'y a pas de business sans prise de risques ». On ne peut donc pas supprimer tous les risques. La méthode d'analyse des risques et des coûts associés pour s'en protéger que Patrick Langrand préconise est « d' évaluer la valeur de l'actif que l'on développe et la perte d'exploitation qui lui est associée. »
Participant également à la table ronde, François Renault, Président de l'AFAI (Association Française de l'Audit et du Conseil Informatiques), a confirmé que les risques IT ne sont pas à négliger et sont aussi importants que les autres risques de l'entreprise. Ils peuvent avoir plusieurs conséquences majeures telles que l'interruption de processus, l'altération de processus ou de données, la divulgation d'informations confidentielles, l'absence de preuve (dans le cadre de la dématérialisation) ou encore l'infraction aux lois ou réglementations. Cette liste n'étant pas exhaustive.
Ces risques IT peuvent avoir plusieurs origines, que le Risk manager est en charge de déterminer. Car quoique pense le top management, l'entreprise ne peut se passer de son système d'information. De plus, si elle ne déploie pas des outils informatiques visant à améliorer la gestion des coûts et des processus métiers, ses concurrents ne se priveront pas de cette opportunité.
Un bon système d'information peut effectivement permettre à une entreprise de se démarquer en améliorant ses performances. François Renault a martelé qu': « un usage maîtrisé et avisé des risques IT peut permettre de réduire les coûts ». Autre intervenant, Jean-Louis Leignel, vice président de l'AFAI, a conclu « Il est nécessaire de réfléchir à la gouvernance d'entreprise et du système d'information afin de créer de la valeur et de limiter les risques. A fortiori, il s'agit d'obtenir le meilleur parti de son système d'information tout en économisant l'utilisation de ses ressources. »
