annuler
Affichage des résultats de 
Rechercher plutôt 
Vouliez-vous dire : 

Gestion des Risques : DSI, soyez au coeur du dispositif !

Gestion des risques
11670
0

Si le propre d’une entreprise est de prendre des risques, elle doit aussi s’assurer qu’ils ne la mettent pas en péril. Un accident industriel, un fournisseur qui fait défaut ou une attaque numérique qui bloque tout le système d’information sont des événements ni rares ni marginaux. En y rajoutant les évolutions réglementaires ou législatives qui changent dans le temps et diffèrent d’un pays à l’autre, on prend la pleine mesure de l’exposition au risque, active ou passive, à laquelle l’entreprise doit faire face avec une vigilance accrue.

C’est une occasion rare, lorsqu’on met sur le papier quelques réflexions qu’on prévoit d’utiliser pour communiquer avec son marché, d’utiliser à bon escient l’expression « plus que jamais ». Surtout en marketing, où l’on voit si régulièrement poindre cette expression qu’on peut se demander s’il ne serait pas plus original d’écrire sur les sujets moins importants que jamais, qui doivent être, de fait, plus différentiateur parce que plus rares ! 

Mais pour le coup, je suis heureux de pouvoir défoncer une porte ouverte en affirmant qu’en matière de gestion des risques, la DSI a un rôle primordial à jouer. Et… Plus que jamais, car le fait que les organisations « digitalisent » leur activité renforce la criticité de son rôle en la matière. Pour le démontrer, penchons-nous sur la continuité d’activité des grandes entreprises. 

Préparer en amont, anticiper la gestion des risques, voire des crises, et veiller en permanence à la mise en conformité de l’entreprise, c’est éviter de se retrouver démuni quand un événement ou une crise survient. C’est à quoi sert le dispositif de continuité d’activité. Voilà un domaine capital de support au business qui a pris une place prépondérante dans la dernière décade. Un tel plan de continuité doit englober toute la chaîne de valeur pour assurer la cohérence des actions prévues, bien au-delà des limites classiques de l’entreprise, en amont vers les fournisseurs, en aval en mode B2B, et « de côté » pour englober les partenaires, qu’ils soient commerciaux ou institutionnels – Etat, collectivités…). Car l’entreprise n’est pas seule dans son environnement. Elle fait partie d’un écosystème qui doit être intégré – pour le meilleur et pour le pire – à son plan de continuité.

Dans les grands groupes, appréhender le plan de continuité comme partie intégrante du dispositif de gestion de risque et de conformité est par conséquent un programme complexe, polymorphe, et incombe le plus souvent au département de… gestion du risque. Il engage généralement une cartographie des risques, afin de les répertorier, de les évaluer et d’analyser leur impact business, puis met en place les dispositifs de prévention, de contrôle et d’intervention. Mais le gestionnaire de risque, s’il concentre la connaissance des risques de l’entreprise, n’est pas seul dans sa mission. Il trouve à la Direction des Systèmes d’Information (DSI) un partenaire et un support indispensables.

D’abord, en raison-même de la digitalisation de l’activité, le risque technologique remonte comme un ludion à la surface des risques directement opérationnels couverts par un plan de continuité. Que ce soit pour la détection des fraudes, le déni de service, le piratage, la cyber-criminalité,… les gestionnaires de risque peuvent s’appuyer sur l’historique et les compétences des DSI.

Mais les risques inhérents à la fonction informatique cohabitent avec ceux d’autres départements. Ces derniers reposent aussi sur une forme d’automatisation à base de composants informatiques. Un premier exemple est porté par les dispositifs de scoring crédit dans les banques, automatisés depuis bien longtemps à base de moteurs d’inférence. Un autre sur les dispositifs « Bâlois » répondant aux exigences la réglementation « Bâle II ou Bâle III », qui calculent automatiquement le capital à réserver pour couvrir les risques de crédit, de marché et les risques opérationnels, à partir de méthodes statistiques simples ou avancées. Un troisième exemple nous est apporté par les dispositifs de gestion de crise, qui nous ramènent au cœur-même des dispositifs de continuité d’activité.

Pourquoi le rôle de la DSI est plus que jamais critique pour la gestion des risques et la continuité à l’ère digitale ?

D’abord parce que la DSI apporte des outils et des méthodes permettant de cartographier toutes les natures de risques en les liant directement à la connaissance de l’entreprise et de ses actifs, qu’ils soient métier, informatiques ou humains. Le plan de continuité est un sujet rarement simple : sans outils à base de référentiel, il est strictement impossible de l’appréhender en mode industriel. Or un plan de continuité ne peut se satisfaire d’à peu près. C’est tout, ou rien, alors c’est tout.

Ensuite parce que la DSI est en première ligne dans la mesure où la continuité du business, c’est très vite la continuité de la fonction informatique. Il suffit pour s’en convaincre de demander sur combien de « data centers » repose l’activité de la plus petite des entreprise « Fortune 1000 ». L’imbrication est profonde, et l’ère digitale la renforce encore.

Enfin parce que la DSI sera nécessairement impliquée dans le choix d’outils de gestion de la d’activité. Par exemple, simple question pour défoncer une 2e porte ouverte : comment s’assurer que l’outil de gestion de crise sera bien épargné par la crise ? Pense-t-on pouvoir répondre à cette question sans la poser à la DSI ?

En réalité, et en conclusion, il y a une raison « intégrante » au caractère primordial du rôle de la DSI pour la gestion du risque et la continuité d’activité : c’est qu’il est impossible aujourd’hui d’envisager la gouvernance d’une organisation à l’ère digitale sans en confier une part significative à la DSI. La DSI comme acteur, non comme victime ou fonction support. Ceci peut commencer par la gestion automatisée des indicateurs de performance, pour aboutir à ce que l’on pourrait appeler une cybernétique de la gestion du risque, où, une fois décantées les priorités – quels sont les processus critiques et les ressources, donc critiques, sur lesquels ils reposent – la fonction informatique est mise à contribution pour automatiser autant que possible le contrôle des risques. Et cela commence par le choix des bons systèmes pour supporter la continuité de l’activité de l’entreprise.

11670
0
Comment
Senior Member

Si le propre d’une entreprise est de prendre des risques, elle doit aussi s’assurer qu’ils ne la mettent pas en péril. Un accident industriel, un fournisseur qui fait défaut ou une attaque numérique qui bloque tout le système d’information sont des événements ni rares ni marginaux. En y rajoutant les évolutions réglementaires ou législatives qui changent dans le temps et diffèrent d’un pays à l’autre, on prend la pleine mesure de l’exposition au risque, active ou passive, à laquelle l’entreprise doit faire face avec une vigilance accrue.

C’est une occasion rare, lorsqu’on met sur le papier quelques réflexions qu’on prévoit d’utiliser pour communiquer avec son marché, d’utiliser à bon escient l’expression « plus que jamais ». Surtout en marketing, où l’on voit si régulièrement poindre cette expression qu’on peut se demander s’il ne serait pas plus original d’écrire sur les sujets moins importants que jamais, qui doivent être, de fait, plus différentiateur parce que plus rares ! 

Mais pour le coup, je suis heureux de pouvoir défoncer une porte ouverte en affirmant qu’en matière de gestion des risques, la DSI a un rôle primordial à jouer. Et… Plus que jamais, car le fait que les organisations « digitalisent » leur activité renforce la criticité de son rôle en la matière. Pour le démontrer, penchons-nous sur la continuité d’activité des grandes entreprises. 

Préparer en amont, anticiper la gestion des risques, voire des crises, et veiller en permanence à la mise en conformité de l’entreprise, c’est éviter de se retrouver démuni quand un événement ou une crise survient. C’est à quoi sert le dispositif de continuité d’activité. Voilà un domaine capital de support au business qui a pris une place prépondérante dans la dernière décade. Un tel plan de continuité doit englober toute la chaîne de valeur pour assurer la cohérence des actions prévues, bien au-delà des limites classiques de l’entreprise, en amont vers les fournisseurs, en aval en mode B2B, et « de côté » pour englober les partenaires, qu’ils soient commerciaux ou institutionnels – Etat, collectivités…). Car l’entreprise n’est pas seule dans son environnement. Elle fait partie d’un écosystème qui doit être intégré – pour le meilleur et pour le pire – à son plan de continuité.

Dans les grands groupes, appréhender le plan de continuité comme partie intégrante du dispositif de gestion de risque et de conformité est par conséquent un programme complexe, polymorphe, et incombe le plus souvent au département de… gestion du risque. Il engage généralement une cartographie des risques, afin de les répertorier, de les évaluer et d’analyser leur impact business, puis met en place les dispositifs de prévention, de contrôle et d’intervention. Mais le gestionnaire de risque, s’il concentre la connaissance des risques de l’entreprise, n’est pas seul dans sa mission. Il trouve à la Direction des Systèmes d’Information (DSI) un partenaire et un support indispensables.

D’abord, en raison-même de la digitalisation de l’activité, le risque technologique remonte comme un ludion à la surface des risques directement opérationnels couverts par un plan de continuité. Que ce soit pour la détection des fraudes, le déni de service, le piratage, la cyber-criminalité,… les gestionnaires de risque peuvent s’appuyer sur l’historique et les compétences des DSI.

Mais les risques inhérents à la fonction informatique cohabitent avec ceux d’autres départements. Ces derniers reposent aussi sur une forme d’automatisation à base de composants informatiques. Un premier exemple est porté par les dispositifs de scoring crédit dans les banques, automatisés depuis bien longtemps à base de moteurs d’inférence. Un autre sur les dispositifs « Bâlois » répondant aux exigences la réglementation « Bâle II ou Bâle III », qui calculent automatiquement le capital à réserver pour couvrir les risques de crédit, de marché et les risques opérationnels, à partir de méthodes statistiques simples ou avancées. Un troisième exemple nous est apporté par les dispositifs de gestion de crise, qui nous ramènent au cœur-même des dispositifs de continuité d’activité.

Pourquoi le rôle de la DSI est plus que jamais critique pour la gestion des risques et la continuité à l’ère digitale ?

D’abord parce que la DSI apporte des outils et des méthodes permettant de cartographier toutes les natures de risques en les liant directement à la connaissance de l’entreprise et de ses actifs, qu’ils soient métier, informatiques ou humains. Le plan de continuité est un sujet rarement simple : sans outils à base de référentiel, il est strictement impossible de l’appréhender en mode industriel. Or un plan de continuité ne peut se satisfaire d’à peu près. C’est tout, ou rien, alors c’est tout.

Ensuite parce que la DSI est en première ligne dans la mesure où la continuité du business, c’est très vite la continuité de la fonction informatique. Il suffit pour s’en convaincre de demander sur combien de « data centers » repose l’activité de la plus petite des entreprise « Fortune 1000 ». L’imbrication est profonde, et l’ère digitale la renforce encore.

Enfin parce que la DSI sera nécessairement impliquée dans le choix d’outils de gestion de la d’activité. Par exemple, simple question pour défoncer une 2e porte ouverte : comment s’assurer que l’outil de gestion de crise sera bien épargné par la crise ? Pense-t-on pouvoir répondre à cette question sans la poser à la DSI ?

En réalité, et en conclusion, il y a une raison « intégrante » au caractère primordial du rôle de la DSI pour la gestion du risque et la continuité d’activité : c’est qu’il est impossible aujourd’hui d’envisager la gouvernance d’une organisation à l’ère digitale sans en confier une part significative à la DSI. La DSI comme acteur, non comme victime ou fonction support. Ceci peut commencer par la gestion automatisée des indicateurs de performance, pour aboutir à ce que l’on pourrait appeler une cybernétique de la gestion du risque, où, une fois décantées les priorités – quels sont les processus critiques et les ressources, donc critiques, sur lesquels ils reposent – la fonction informatique est mise à contribution pour automatiser autant que possible le contrôle des risques. Et cela commence par le choix des bons systèmes pour supporter la continuité de l’activité de l’entreprise.