GRC

Faire de la gestion des risques un levier de performance : c’est possible

Si l’on faisait du risque une opportunité ? Au-delà de la pirouette sémantique, la question mérite d’être posée : à l’échelle de l’entreprise, elle invite en effet à envisager la gestion des risques en sécurité des systèmes d’information (SSI) comme un élément clé pour améliorer les prises de décision stratégiques de l’organisation.

Un dispositif de GRC (gouvernance, gestion des risques et de la conformité) SSI mature permet d’accompagner le développement de l’entreprise et son innovation tout en maîtrisant les risques associés.

Pour devenir un levier de performance, la GRC SSI va chercher à valoriser une culture d’entreprise orientée risque. Elle doit aussi oeuvrer à la mise en place d’une approche risque globale plutôt que silotique, alimentée par des contributeurs issus de toutes les fonctions Métier. ll faut enfin que l’effort soit porté au niveau de l’organisation et structuré par des standards communs, industrialisés et outillés.

Cette approche transverse transforme la contrainte du risque et de la conformité en une opportunité de développement pour l’organisation. A la clé ? Des bénéfices opérationnels concrets.

Au cœur de la gestion des risques de sécurité, des opportunités bien réelles

On dit que rien n’est permanent, sauf le changement… Qu’ils puissent être anticipés ou pas, les risques font partie du quotidien. À l’échelle d’une organisation, l’enjeu de la GRC est d’intégrer ces changements et les risques qui leur sont inhérents, pour améliorer leur stratégie de croissance dans un environnement en constante évolution. Les scandales ENRON, Worldcom ou Parmalat rappellent la nécessité de cette prise de conscience.

Une fois placé au centre de la gouvernance d’entreprise, le dispositif de gestion des risques constitue l’un des socles fondamentaux sur lesquels appuyer son développement. L’objectif : trouver le juste milieu entre la prise de risque inconsidérée et l’excès de prudence qui se révélerait tout aussi nuisible.

Les dirigeants prennent de meilleures décisions quand on leur a permis d’identifier clairement les risques et leur impact possible. L’exemple du moment, c’est sans doute le passage au Cloud, envisagé par toujours plus de DG dans le cadre des politiques de transformation digitale. Le frein principal est bien connu : c’est la sécurité. Pour le lever et enclencher la mise en oeuvre, il faut donc réaliser rapidement une analyse de risques approfondie qui va mesurer tous les impacts possibles, qu’ils soient SSI, IT, RH (compétences) ou réglementaire.

En outre, la plupart des organisations, quelle que soit leur taille ou leur secteur d’activité, font face à un nombre croissant d’exigences légales et réglementaires. Y répondre de façon efficace requiert désormais l’implication de l’ensemble des acteurs de l’entreprise, au-delà de la DSI. On peut citer à ce titre l’obligation récente de certification ISO 27001 pour les HDS (hébergeurs de données de santé) ou la prochaine entrée en vigueur du RGPD (règlement général sur la protection des données).

On voit ici les limites de l’approche en silo : impossible d’anticiper correctement ces risques de conformité sans impliquer l’ensemble des Métiers. On cherchera donc à mettre en place un dispositif de GRC sécurité horizontal, reposant sur des méthodologies établies et interconnecté avec l’ensemble des processus Métier, pour piloter l’activité sur le long terme avec une vraie vision d’ensemble des sujets de conformité.

Ces exemples montrent bien qu’une approche proactive de la GRC peut devenir un vecteur d’opportunités et de confiance à même d’optimiser la stratégie de développement d’une entreprise. Mais quels sont les facteurs du succès d’une telle approche ?   

Ils s’articulent autour de trois piliers que sont la valorisation du risque, des responsabilités transverses et la mise en place d’un référentiel adapté.

Valorisation du risque

La mise en place d’un tel système doit se faire en parallèle d’une réflexion sur le niveau de « Risk Appetite » (appétence aux risques) de l’organisation. Sur tel ou tel pan de l’activité, il définit le niveau de risque acceptable pour assurer le développement et va permettre de concevoir un dispositif de mesure, de suivi et d’ajustement du niveau d’exposition aux risques. En partageant cette vision avec l’ensemble des acteurs impliqués, la GRC SSI favorise la culture du risque au sein de l’organisation.

Cette prise de conscience doit se faire évidemment à travers une communication adaptée à destination de la DG, mais pas que. La gestion des risques est en effet une fonction collective. Tous les métiers d’une entreprise sont concernés, chacun à leur niveau, responsables ou contributeurs.

Compte-tenu de la diversité des acteurs et de leurs pratiques, la sensibilisation de chacun sur l’importance de son rôle et la plus-value apportée est fondamentale.  A ce titre, le COSO 2, cadre de référence de la gestion des risques, est un élément clé dans la stratégie de l’entreprise, qui implique toute l’organisation.

Ce référentiel permet l’identification des risques et leur maîtrise en cohérence avec son appétence au risque et les objectifs stratégiques. Il brise les silos entre l’ensemble des acteurs de l’organisation, notamment les différentes fonctions d’audit et de contrôle et favorise leur mise en relation ainsi que le partage des analyses et des démarches.

Des responsabilités transverses

Dans ce contexte de diffusion transversale des risques, la fonction de Risk Manager revêt une importance capitale. La gestion des risques Cyber, compétence clé du RSSI, nécessite à la fois une forte expertise technique et une capacité à contextualiser dans un environnement Métier des menaces et impacts génériques.

En renforçant les liens avec les Risk Managers, ainsi que tous les autres contributeurs, le RSSI peut contribuer à la formalisation d’une cartographie des risques Groupe cohérente avec les besoins sécurité de l’organisation, à l’émergence de pratiques communes et à la coordination des actions de priorisation et de déploiement des mesures de traitement. Il se positionne ainsi comme partie prenante du dispositif de pilotage de la stratégie d’entreprise et d’optimisation de sa performance.

Pour assurer pleinement ce rôle, le RSSI doit disposer, à son niveau, d’une vision synthétique et à jour dans la durée des risques SSI de l’organisation, permise par la mise en place d’approches GRC standardisées, et si possible outillées et industrialisée.

Une approche standardisée et outillée

La standardisation vise au partage d’un socle commun de référentiels et de connaissances entre les différents contributeurs et à la mise en œuvre de démarches unifiées. Menée en parallèle de l’alignement des acteurs du risque, elle est un vecteur clé d’efficacité ; notamment dans les grandes organisations matricielles et/ou internationales, soumises à des processus hétérogènes et des cadres réglementaires diverses, voire parfois contradictoires. Elle constitue de plus un socle opérationnel cohérent pour la mise en place d’une approche industrialisée et outillée, favorisant les gains d’efficience et de productivité.

Un outillage approprié permet de faciliter l’intégration des normes et bonnes pratiques du secteur. Il autorise également une mise en oeuvre plus rapide du dispositif de responsabilisation des différents acteurs de l’organisation. De ce fait, il favorise le travail collaboratif et améliore le reporting en direction de la DG. Grâce à lui, on accélère en bout de chaîne les prises de décisions clés.

Industrialisation et outillage ne sont finalement que des moyens au service de la GRC, pour créer les conditions de résilience et de confiance nécessaires à son développement. Ils peuvent servir cette finalité de façon très concrète, notamment en concentrant  les efforts des acteurs SSI sur les activités à plus forte valeur ajoutée, comme le conseil ou la veille.

Finalement vous rétorquerez que l’idée d’une approche transverse  et proactive de la GRC relève de l’utopie tant elle est peu adaptée aux réalités du terrain… et vous n’aurez pas tort ! C’est même notre conviction : cette démarche est une cible et doit être adaptée à l’entreprise et à la maturité de ses acteurs. Mais même si cela semble idyllique, toutes les actions dans ce sens auront un gain, et à ce titre il s’agit d’une ambition à porter collectivement dans toute l’organisation…

The following two tabs change content below.

Christine Grassi

Senior Manager et Responsable du programme Gouvernance, Risques et Conformité

Latest posts by Christine Grassi (see all)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *