La gestion du risque informatique s’inscrit dans un cadre basé sur des processus de détection, d’analyse, d’évaluation, de traitement et de suivi des risques liés aux actifs informatiques. Elle s’appuie également sur des outils tels que la cartographie des risques et le plan de contrôle.

Au cours de nos missions, nous avons constaté plusieurs points : certains cadres sont performants et certaines pratiques améliorent l’efficacité de la gestion du risque.

Au cours de nos expériences de terrain, nous avons dû répondre à la question suivante : « comment continuer à améliorer l’efficacité de la gestion du risque informatique dans un contexte où la réglementation rappelle la nécessité de maitriser ses risques et où les méthodes de travail agiles poussent les entités à s’adapter ?

1/ La supervision globale et transverse du risque informatique

Nous avons constaté que le manque de cohérence dans la répartition des rôles et responsabilités dégrade la prise de décision et n’obéit pas au principe selon lequel « le risque est une affaire de tous ».

À titre d’exemple, nous pouvons citer des organisations où l’interaction entre RSSI/ CISO et les autres acteurs du risque informatique (comme le responsable du contrôle permanent), n’est pas encadrée via une procédure dédiée. En effet, il est nécessaire d’identifier les points d’adhérence entre les acteurs et d’expliciter de manière claire leurs rôles et responsabilités, de manière à favoriser une démarche d’amélioration continue.

Pour garantir l’efficacité, il est nécessaire de créer un poste dédié à la supervision globale du risque informatique au sein de votre organisation. Ce dernier sera en charge d’évaluer plusieurs composantes.

Ce « superviseur des risques IT » permet de partager à la fois les exigences techniques de la DSI ainsi que ses enjeux.
Il prend de la hauteur pour identifier les risques et jauger de l’efficacité des mesures de mitigation proposées en vue de faire apparaître tous les risques résiduels et les porter à l’attention de la direction. Il nécessite une grande capacité de pilotage.

Il est important de souligner le concept de supervision, qui implique de ne pas imposer les solutions à mettre en œuvre au propriétaire du risque, afin d’éviter de se trouver dans une position où il serait « juge et partie ».

La valeur ajoutée de ce profil est d’être un pont entre la technique et la rigueur nécessaire au pilotage des risques informatiques.

L’une des difficultés rencontrées par diverses organisations est d’avoir nommé des acteurs soit trop techniques (souvent des anciens RSSI), soit non techniques, dont le rôle est de réaliser un simple suivi assimilé à une tâche administrative.

Enfin, le superviseur doit avoir une lettre de mission lui permettant de rendre des avis impartiaux à la direction sur l’ensemble du processus de gestion du risque, sur le traitement des risques et sur la feuille de route globale.

Il s’agit d’un acteur clé dont les actions contribuent à garantir que chaque intervenant a accompli sa mission en fournissant des avis et des recommandations qui s’inscrivent dans le cadre de l’amélioration continue.

2/ Le Workflow continu d’identification et traitement du risque informatique

Pour certaines sociétés, le workflow de traitement du risque se limite à la révision annuelle de la cartographie des risques et à la prise en compte des plans d’actions sommaires proposés par le responsable des processus.

Ce qui est limité, car cela induit une perte de la granularité des risques informatiques, des processus et des risques inhérents à certains actifs qui ne peuvent être identifiés uniquement par une démarche processus.

3/ L’adaptation de votre cadre de gestion des risques à l’agilité

Une grande partie des entreprises se sont engagées dans la mise en place d’un cadre de fonctionnement AGILE, plus ou moins hybride avec le cadre de fonctionnement « classique ». Le cadre de traitement du risque informatique doit être adapté afin d’éviter la perte de contrôle des risques liés aux projets en mode agile.

La plupart des sociétés n’ont pas identifié ni mis en place de processus dédiés, et n’ont pas formé les collaborateurs chargés de la cartographie des risques et du contrôle permanent aux pratiques agiles.

La première étape consiste à sensibiliser les équipes à l’agilité, puis à mettre en place des processus pour prendre en compte les exigences de sécurité au sein des équipes.

Quelques préconisations à retenir dans le cadre d’Agilité à l’Echelle SAFe :

  • Dédier un ou plusieurs collaborateurs pour suivre les équipes en fonction du flux de valeur que la société souhaite créer. Ne pas détacher un collaborateur par train mais par équipe pour travailler sur la création du même flux de valeur. Ce collaborateur sera présent dès la rédaction des EPICS et Enablers puis lors des PI Planning ; et en fonction de la criticité du flux de valeur, il pourra participer aux Daily meeting. Le but étant d’accompagner les différentes équipes SCRUM dans l’identification des exigences à mettre en œuvre et de participer à la priorisation des Storys.
  • Inclure les exigences en matière d’exigences Risque dans Le MVP (produit minimum viable)
  • Etablir une cohérence globale en matière d’exigences pratiques au sein d’un groupe de collaborateurs dédiés à cette activité
  • Nommer un Success Risque IT au sein de chaque équipe SCRUM. Il devra veiller à la bonne application des exigences préconisées.

Envie d’en savoir plus sur le management des risques IT, cliquez ici !

Ana Esteves
Expert Risque Informatique et Contrôle Permanent