La gestion du risque informatique s’inscrit dans un cadre basé sur des processus de détection, d’analyse, d’évaluation, de traitement et de suivi des risques liés aux actifs informatiques. Elle s’appuie également sur des outils comme la cartographie des risques ou le plan de contrôle.
Au fil de nos missions, nous avons fait plusieurs constats : certains cadres sont performants et certaines pratiques rendent la gestion du risque plus efficace.
Au cours de nos expériences de terrain, nous avons dû répondre à la question suivante : « comment continuer à améliorer l’efficacité de la gestion du risque informatique dans un contexte où la réglementation rappelle la nécessité de maitriser ses risques et où les méthodes de travail agiles poussent les entités à s’adapter ? ».
1/ La supervision globale et transverse du risque informatique
Nous avons constaté que le manque de cohérence dans la répartition des rôles et responsabilités dégrade la prise de décision et n’obéit pas au principe selon lequel « le risque est une affaire de tous ».
A titre d’exemple, nous pouvons citer des organisations où l’interaction entre RSSI/ CISO et les autres acteurs du risque informatique (comme le responsable du contrôle permanent), n’est pas encadrée via une procédure dédiée. En effet, il est nécessaire d’identifier les points d’adhérence entre les acteurs et d’expliciter de manière claire leurs rôles et responsabilités, de manière à favoriser une démarche d’amélioration continue.
La création d’un poste dédié à la supervision globale du risque informatique au sein de votre organisation s’impose pour être efficace. Ce dernier sera en charge d’évaluer plusieurs composantes.
Ce « superviseur des risques IT » permet de partager à la fois les exigences techniques de la DSI, et de ses enjeux.
Il prend de la hauteur pour identifier les risques et jauger de l’efficacité des mesures de mitigation proposées en vue de faire apparaître tous les risques résiduels et les porter à l’attention de la direction. Il nécessite une grande capacité de pilotage.
Il est important d’insister sur la notion de supervision, qui implique ne pas dicter au propriétaire du risque les solutions à mettre en œuvre, afin d’éviter de prendre une posture où il est « juge et parti ».
La valeur ajoutée de ce profil est d’être un pont entre la technique et la rigueur nécessaire au pilotage des risques informatiques.
L’une des difficultés rencontrées par diverses organisations est d’avoir nommé des acteurs soit trop techniques (souvent des anciens RSSI), soit non techniques, dont le rôle est de réaliser un simple suivi assimilé à une tâche administrative.
Enfin, le superviseur doit avoir une lettre de mission lui permettant de rendre des avis impartiaux à la direction sur l’ensemble du processus de gestion du risque, sur le traitement des risques et sur la feuille de route globale.
Il s’agit d’un acteur clé dont les actions permettent d’assurer que chaque acteur a réalisé sa mission via des avis et des préconisations qui rentrent dans le cadre de l’amélioration continue.
2/ Le Workflow continu d’identification et traitement du risque informatique
Pour certaines sociétés, le workflow de traitement du risque se limite à la révision annuelle de la cartographie des risques et à la prise en compte des plans d’actions sommaires proposés par le responsable des processus.
Ce qui est limité, car cela induit une perte de la granularité des risques informatiques, des processus et des risques inhérents à certains actifs qui ne peuvent être identifiés uniquement par une démarche processus.
3/ L’adaptation de votre cadre de gestion des risques à l’agilité
Une grande partie des entreprises se sont engagées dans la mise en place d’un cadre de fonctionnement AGILE, plus ou moins hybride avec le cadre de fonctionnement « classique ». Le cadre de traitement du risque informatique doit être adapté pour éviter l’absence de maîtrise des risques associés aux projets en mode agile.
La plupart des sociétés n’ont pas identifié et mis en place de processus dédiés, ni formé les collaborateurs en charge de la cartographie des risques et du contrôle permanent aux pratiques agiles.
La première chose à faire pour commencer est de sensibiliser ses équipes à l’agilité, puis mettre en place des processus pour la prise en compte des exigences sécurité, au sein des équipes.
Quelques préconisations à retenir dans le cadre d’Agilité à l’Echelle SAFe :
- Dédier un ou plusieurs collaborateurs pour suivre les équipes en fonction du flux de valeur que la société souhaite créer. Ne pas détacher un collaborateur par train mais par équipe pour travailler sur la création du même flux de valeur. Ce collaborateur sera présent dès la rédaction des EPICS et Enablers puis lors des PI Planning ; et en fonction de la criticité du flux de valeur, il pourra participer aux Daily meeting. Le but étant d’accompagner les différentes équipes SCRUM dans l’identification des exigences à mettre en œuvre et de participer à la priorisation des Storys.
- Inclure les exigences en matière d’exigences Risque dans Le MVP (produit minimum viable)
- Etablir une cohérence globale en matière d’exigences pratiques au sein d’un groupe de collaborateurs dédiés à cette activité
- Nommer un Success Risque IT au sein de chaque équipe SCRUM. Il devra veiller à la bonne application des exigences préconisées.
Envie d’en savoir plus sur le management des risques IT, cliquez ici !
Commentaires récents