La valeur ajoutée de la gestion de risques TI

Une gestion efficace des risques TI peut aider les compagnies à améliorer leur rendement.

De nos jours, la vitesse à laquelle les entreprises se développent est plus rapide que leur capacité à assurer la surveillance et le contrôle de leurs activités d'exploitation. En outre, les marchés mondiaux sont maintenant plus interdépendants et plus complexes, ce qui a multiplié les risques, dont les conséquences peuvent être plus graves encore qu'il y a seulement dix ans. La protection de la valeur de l'entreprise nécessite des investissements majeurs, non seulement pour assurer le fonctionnement des activités quotidiennes, mais aussi pour éviter les risques potentiels qui pourraient mettre en péril la survie d'une entreprise.

Dans ce contexte, la dépendance des entreprises à l'égard des technologies de l'information (TI) est devenue de plus en plus importante. Les entreprises doivent pouvoir faire face à de nouveaux types de menaces si elles veulent être en mesure de protéger leurs actifs, mais aussi améliorer l'efficacité de leurs opérations et accroître leur agilité sur leurs marchés. Il faut donc se concentrer sur les moyens de maximiser le rendement de l'entreprise tout en restant dans les limites strictes du risque accepté.

La gestion de risques TI s'impose car elle contribue à assurer l'équilibre entre le rendement de l'entreprise et l'exposition aux risques potentiels. Les entreprises manquent souvent de vision globale et n'évaluent pas adéquatement les risques et leur incidence réelle sur leurs activités et leur productivité, ce qui doit normalement être le but ultime de leur investissement. Elles n'optimisent donc pas la valeur de leurs TI.

Dans cet article, nous expliquerons d'abord le rôle et les fondements d'une saine gestion de risques TI susceptible de procurer une valeur ajoutée à l'entreprise. Nous décrirons ensuite les effets positifs d'une telle gestion sur le rendement d'une organisation.

Rôle et fondements de la gestion de risques TI

Le rôle principal de la gestion de risques TI est de prévenir les incidents liés aux TI, qu'il s'agisse d'une interruption de service non planifiée, d'une attaque d'un pirate informatique, d'un dépassement de coûts dans le cadre d'un projet TI ou du non-respect d'une réglementation. Les exemples sont nombreux et peuvent perturber les activités de plusieurs niveaux d'une organisation.

Peu importe la structure d'une organisation, la gestion de risques TI s'articule autour de deux composantes :

  • Gouvernance des risques : la gouvernance des risques est l'ensemble des politiques, des procédures, des référentiels, des rôles et des responsabilités qui permettent d'avoir une vision globale et de prendre des décisions à l'égard des risques qui peuvent mettre une organisation en péril.
  • L'infrastructure TI : L'infrastructure TI comprend l'ensemble du matériel informatique (serveurs, réseaux, etc.) et des applications qui soutiennent les services d'affaires.

Par conséquent, afin de tirer le maximum de la gestion de risques TI, il est indispensable de perfectionner au maximum ces deux composantes.

L'efficacité du processus de gouvernance des risques est capitale. Elle permet en effet d'attirer l'attention des gestionnaires sur les risques majeurs et d'augmenter leur participation à la prise de décisions en fonction des objectifs stratégiques de l'organisation. Mais une bonne gestion des risques TI suppose aussi une infrastructure efficace. En effet, les entreprises dotées d'une telle infrastructure enregistrent en moyenne moins d'incidents et connaissent une meilleure efficacité et un meilleur alignement des TI sur leurs affaires, augmentant par le fait même le volume de leurs activités. Différents moyens existent pour évaluer la qualité de ces deux composantes, par exemple l'évaluation à l'aide du Modèle intégré d'évolution des capacités (CMMI), la vérification de la conformité aux normes, les indicateurs de performance, etc.

Quelles sont les mesures à prendre par une entreprise pour atteindre l'efficacité tant dans la gouvernance des risques que sur le plan de l'infrastructure TI?

L'efficacité du processus de gouvernance des risques repose sur :

  • l'existence d'une classification des risques qui menacent l'entreprise;
  • l'adoption d'une méthodologie pour analyser les risques;
  • l'élaboration d'un tableau de bord de suivi des indicateurs clés de risques.

Classification des risques

La classification des risques permet à une organisation, d'une part, d'identifier ceux qui la menacent et de les comparer d'une manière quantitative et, d'autre part, de prendre les mesures adéquates pour atténuer ces risques.

Méthodologie d'analyse de risques

Dans le but de garantir la comparabilité des résultats de l'analyse des risques TI, il importe d'adopter une méthodologie rigoureuse. En effet, si l'entreprise n'utilise pas une méthode bien définie, il sera difficile pour un auditeur ou un gestionnaire de risques de reproduire les résultats de l'analyse. D'ailleurs, plusieurs certifications comme l'ISO 27001 suggèrent d'adopter une méthode reconnue.

Indicateurs clés de risques

Les indicateurs clés de risques servent à signaler un danger potentiel pour l'organisation. Mais il est difficile de tenir un tableau de bord complet de ces indicateurs clés. On recommande donc de commencer par les risques majeurs qui peuvent avoir une incidence directe sur la mission ou les objectifs stratégiques de l'organisation. À titre d'exemple, une entreprise pourrait se cantonner à la surveillance des indicateurs clés, comme le taux de complétude d'un projet TI, le nombre de tentatives d'intrusion, le temps de recouvrement des infrastructures, etc.

L'adoption de ces pratiques n'indique pas le degré d'efficacité de la gouvernance des risques, mais elle indique clairement que l'organisation la place au centre de ses préoccupations.

L'efficacité de la gestion des infrastructures TI, quant à elle, dépend des éléments suivants :

  • une infrastructure TI à jour;
  • une architecture TI simple;
  • un lien clair entre les TI et les processus d'affaires.

Une infrastructure TI à jour

Une infrastructure TI qui n'est pas à jour constitue une source majeure de risques. Il est important que le responsable de l'infrastructure s'assure que ses actifs sont toujours à jour, afin d'éviter que des utilisateurs malveillants n'exploitent des éléments vulnérables de l'infrastructure. Soulignons par exemple que les serveurs dont la mise à jour n'est pas régulière sont la cible principale des pirates informatiques.

Une architecture TI simple et non complexe

Une bonne gestion TI se fonde sur une architecture simple. Des interdépendances complexes alourdissent les processus de relève et de maintenance et s'avèrent surtout difficiles à changer. Il est arrivé que plusieurs organisations perdent de nouveaux marchés en raison d'une infrastructure TI trop complexe et trop lourde pour suivre l'évolution des affaires et pour s'orienter facilement vers de nouveaux objectifs stratégiques.

Lien clair entre les processus d'affaires et les TI

Il est primordial que le lien entre les processus d'affaires et les TI soit clair. Plus précisément, il est important de connaître les technologies de l'information qui soutiennent un processus d'affaires. Ainsi, il est plus facile d'évaluer les risques et surtout de les atténuer de la manière la plus efficace et la plus économique possible. Il est aussi plus facile d'établir l'ordre de priorité des projets TI si les incidences sur les processus d'affaires sont claires et si ces projets s'alignent sur les orientations stratégiques de l'organisation.

Valeur ajoutée de la gestion de risques TI

Les affaires comportent leur part de risques. Afin de rester concurrentielle sur le marché mondial, une entreprise doit avoir une vue d'ensemble des risques auxquels elle est exposée. Par conséquent, les risques TI doivent être traités de la même manière que les autres risques d'affaires.

[Traduction]« Être en entreprise consiste à prendre des risques en vue de réaliser des gains. Une bonne compréhension des risques acceptés par une société dans la poursuite de ses objectifs, ainsi que des stratégies qu'elle applique pour atténuer ces risques, s'avère donc essentielle à l'appréciation adéquate de sa situation par le conseil d'administration et les autres parties prenantes concernées.2 » – Le juge Mervyn King

Les exemples d'entreprises qui ont subi des pertes énormes en raison de la faiblesse de leur infrastructure TI ou de l'absence d'une gouvernance de risques TI adéquate abondent, qu'il s'agisse de défaillances techniques (comme des interruptions de service), de bris de sécurité (comme la divulgation de données confidentielles) ou tout simplement d'une infrastructure TI si complexe que celle‑ci n'arrive pas à suivre l'évolution des affaires.

Au-delà de l'alignement des TI sur les objectifs d'affaires, une bonne gestion des risques TI procure une valeur ajoutée à plusieurs égards au sein de l'organisation. En voici quelques points.

Renforcer la gouvernance des TI

Plusieurs études ont démontré que les entreprises dépensent plus de 4 % de leurs revenus en informatique3. Par conséquent, les conseils d'administration exigent que ces investissements produisent des résultats en fonction des objectifs d'affaires de l'entreprise. Une approche d'investissement fondée sur les risques TI ou sur les risques d'affaires permet de réduire la duplication des efforts et d'offrir une vue d'ensemble des besoins prioritaires du service des TI.

Atténuer les menaces de manière plus efficace

Au cours des dernières années, plusieurs organisations ont vécu des situations cauchemardesques lorsque les renseignements confidentiels de leurs clients se sont retrouvés sur Internet4. Plusieurs grandes entreprises québécoises ont fait la manchette à cause de la divulgation en ligne de renseignements confidentiels sur leur clientèle. Un programme de gestion de risques TI efficace aide à classer les risques par priorité et à veiller à ce que les zones les plus à risque soient traitées en temps opportun et que la direction soit mise au courant des risques résiduels.

Unifier les contrôles TI et de conformité

Le processus d'analyse de risques et le processus d'audit peuvent être différents. Toutefois, si la gouvernance de risques est adéquate, ces deux processus peuvent utiliser un cadre de contrôle commun qui établira les contrôles TI à mettre en place et en mesurera l'efficacité. L'établissement d'un tel cadre, qui répond aux exigences de conformité internes et externes et qui s'aligne sur le processus de gouvernance de gestion de risques, permet de réduire la duplication des efforts et d'assurer la cohérence des mesures mises en place pour atténuer ces risques.

Simplifier la conformité à la réglementation

Les organisations sont tenues de se conformer à divers textes législatifs ou normatifs, par exemple la SOX, la HIPAA, la PCI DSS, le SAS 70, le SSAE-16 ou l'ISO 27001. Les sanctions financières imposées dans des cas de non-conformité ont forcé les dirigeants à se concentrer exclusivement sur l'audit et sur la conformité. Une gouvernance de gestion de risques efficace permet d'unifier les contrôles TI et les contrôles de conformité, tel qu'indiqué ci-dessus, et par ricochet, de simplifier le processus d'audit et de réduire les coûts de récurrence de celui-ci.

Conclusion

Les organisations qui disposent d'un programme de gestion de risques TI efficace observent des effets directs sur leur rendement : moins de pertes liées aux incidents TI, plus de gains en raison de l'efficacité élevée des TI, un meilleur alignement des TI avec les objectifs d'affaires et un volume accru de leurs activités d'exploitation, souvent un facteur clé de succès dans l'orientation vers de nouveaux marchés.

Toutefois, l'efficacité sous-entend aussi d'aller au-delà des mesures de base, c'est‑à‑dire d'identifier les risques, de les analyser, de protéger les actifs et de surveiller les menaces potentielles. L'efficacité du programme de gestion de risques TI force une organisation à simplifier sa structure TI et à passer d'un mode réactif aux risques à un mode proactif. En conclusion, une gestion de risques TI efficace amène une organisation à prendre des risques… sans trop de risques.

Références

1 « King Report on Corporate Governance in South Africa 2001 », Institute of Directors in Southern Africa, juillet 2001.

2 « Defining IT GRC ». Khalid Kark, Marc Othersen et Chris McClean, Forrester Magazine, décembre 2007.

3 « Privacy Rights Clearinghouse » établit une chronologie détaillée des atteintes à la protection des données.

4 « How Mature is Your IT Risk Management? » Westerman, G.; B. Barnier. MIT Sloan CISR Research Briefing, vol. III no. 3c, décembre 2008.

À propos de l’auteur

Alaaeddine Fellah


Alaaeddine Fellah, M.B.A., M.Sc., CISA, est directeur, Audit interne, Gestion des risques et Services-conseils chez Richter.

comments powered by Disqus

Faits saillants

Le Canada célèbre son 150e anniversaire. Quant à nous, nous fêtons nos membres, les CPA canadiens. Dites-nous pourquoi vous portez avec fierté le titre canadien de CPA. C’est une fierté à partager : nous préparons une grande fête en juillet.

Participez à ce rendez-vous annuel (en anglais) des dirigeants financiers d’OSBL pour obtenir des conseils sur la gestion de votre organisation et tirer parti des connaissances d’experts.