CIGREF in English
Ce groupe de travail a été
piloté par Patrick Anglard, DSI de Thales. Ce document élaboré en partenariat
avec l’IERSE a pour objectif de clarifier ce que c’est la gestion des risques
dans l’entreprise, l’organisation et les méthodes à mettre en place et le rôle
de la DSI dans cette gestion.
La gestion des risques a pris
de l’ampleur ces dernières années, tant en raison d’une extension des risques
que d’une prise de conscience accrue de ces risques. Ils se sont étendus et
incluent désormais aussi bien les risques opérationnels que les risques de
non-conformité. La prise de conscience s’est traduite par une progression et
une professionnalisation de la gestion des risques.
Maturité face au risque
Le niveau de maturité de
l’entreprise face aux risques dépend de plusieurs facteurs, tels que son
activité ou le respect de la règlementation, qui la poussent à mettre en place
une démarche de risk management. Il apparait par exemple que
le risk manager est la fonction la plus adaptée à la mise en œuvre d’une
politique de gestion des risques au sein de l’entreprise, mais qu’elle peut,
néanmoins, être assurée par d’autres entités dans l’entreprise, telles que la
DSI, ou la fonction RSSI.
Les rôles identifiés pour le DSI :
- La DSI, bien entendu, doit gérer ses propres risques.
- Elle doit jouer son rôle de support au métier en les aidant à gérer leurs risques par ses méthodologies, son savoir-faire.
- Enfin, elle peut apporter des outils et des méthodes au service des métiers pour la gestion des risques.
Paradoxalement d’ailleurs,
l’étude montre que le DSI ne doit pas forcément être en première ligne de la
gestion des risques, mais plutôt en support. La maturité de l’entreprise
vis-à-vis de la gestion des risques peut être inversement proportionnelle au
rôle que le DSI y joue. Et dans une entreprise où le DSI est en support des
métiers, il y a probablement une plus grande maturité dans la gestion des
risques.
La DSI va participer de plus en plus à la démarche de gestion des risques pour trois raisons majeures :
- Les DSI dont l’entreprise n’a pas encore mis en place une réelle démarche de gestion des risques, sont en train de se rendre compte que leur technicité et leur expérience en la matière peuvent être utilisées pour donner l’impulsion nécessaire à la mise en œuvre d’une telle démarche au sein de l’entreprise.
- L’activité des entreprises dépend de plus en plus de leur système d’information. C’est sa qualité d’expert dans ce domaine qui rend la DSI plus à même, avec l’aide ou non d’un RSSI, de mettre en place les mesures destinées à traiter des risques tendant à devenir majeurs pour l’ensemble des entreprises.
- Enfin, les attentats du 11 septembre 2001 et les risques de pandémie grippale ou de crue centennale de la Seine, ont conduit les entreprises à s’interroger sur le concept de continuité d’activité, ce qui devrait renforcer le rôle de la fonction SI ou de la fonction sécurité.
