Cartographie des risques IT

Souvent les résultats de cartographie des risques IT sont présentés de la sorte : « L’exploitation des vulnérabilités de votre SI par le scénario de menace M3-MAT-DEP a une probabilité d’occurrence de niveau 2 et présente un impact de niveau 3 pour votre activité. »

Incompréhensibles pour le Métier et inexploitables par l’IT… la raison pour laquelle la cartographie des risques IT a souvent mauvaise presse

Pourtant, la mise en œuvre d’une démarche structurée et partagée, associée au respect de quelques facteurs clés de succès, rend l’exercice plus accessible et porteur d’informations essentielles pour le business. La gestion des risques IT peut alors constituer un formidable levier de performance.

Dans le contexte actuel, pourquoi se priver d’une telle opportunité ?

Les organisations sont confrontées à un ensemble de risques qui peuvent nuire à leurs activités. La direction des systèmes d’information (DSI) n’est pas épargnée et doit faire face à de nombreux risques IT. Une gestion efficace de ces risques est essentielle afin d’assurer la pérennité des services proposés par la DSI et renforcer la confiance des utilisateurs.

HeadMind Partners a une forte expérience dans le management des risques IT. Nous accompagnons nos clients dans toutes les étapes de la gestion de leurs risques : identification, analyse, priorisation des solutions à apporter.

Nous sommes en particulier intervenus auprès de l’équipe sécurité d’un établissement bancaire afin de répondre à trois problématiques récurrentes autour des risques IT : Comment gérer les risques IT ? Quelle(s) méthodologie(s) utiliser ? Comment intégrer la gestion des risques IT dans la démarche risque globale de l’organisation ?

Démarche de cartographie des risques IT

Dans ce cadre, nous avons utilisé notre outillage, basé sur les référentiels du marché (ISO 2700X, EBIOS, Risk IT, etc.) mis en contexte.

Avec notre double approche business et IT, nous avons :

• Recueilli les évènements redoutés par les métiers et évalué leurs impacts sur les activités de la banque et leur vraisemblance d’occurrence (estimée) ;
• Pré-mappé les évènements redoutés avec un catalogue de scénarios de menaces ;
• Identifié avec les sachants IT les vulnérabilités portant sur le SI et ainsi la vraisemblance des scénarios de menaces.

Puis la consolidation des résultats et la confrontation des visions business et IT nous ont permis d’évaluer le niveau de risque global, de déterminer les risques majeurs du système d’information et de définir un plan de traitement de ces principaux risques, basé sur les enjeux du client.

Nous avons ainsi observé les gains suivants à l’issue de la démarche :

• Détection des principales zones de risques du système d’information ;
• Définition d’un plan d’action concret et priorisé, visant à focaliser les ressources sur les zones de risques majeurs ;
• Prise de conscience par les métiers des risques IT portant sur leurs activités : compréhension des enjeux et des impacts potentiels, validation des risques résiduels ;
• Obtention d’une vision partagée du risque par les différents corps de métier et les différentes filières (Sécurité des Systèmes d’Information, Plan de Continuité d’Activité, Plan de Secours Informatique, etc.), permettant ainsi une meilleure efficacité.

Facteurs clés de succès

Par ailleurs, nos différents retours d’expérience en cartographie des risques IT ont mis en avant les facteurs clés de succès suivants :

• 90 % du succès d’une démarche de cartographie des risques IT réside dans la préparation. Étude du contexte, analyse préalable des données existantes ou encore conception de grilles d’analyses adaptées à vos enjeux métiers sont autant de leviers pour garantir la réussite de l’exercice. L’analyse de la démarche globale de gestion des risques de l’entreprise est également un point important de la préparation avec, le cas échéant, une adaptation des grilles d’analyse existantes de votre entreprise.
• Il est vain d’essayer d’éliminer simultanément tous les risques auxquels votre organisation est confrontée. Une gestion efficace consiste à prioriser les efforts sur les risques majeurs qui portent sur vos activités clés. Cette approche vous permet ainsi d’optimiser vos retours sur investissement tout en maintenant un niveau de risque résiduel assez faible.
• L’implication et la responsabilisation de tous les acteurs (métiers et IT, filières Sécurité des Systèmes d’Information, Plan de Continuité d’Activité, Plan de Secours Informatique, Risques Opérationnels, etc.) sont cruciales pour fiabiliser les résultats et assurer la pérennité de votre cartographie des risques IT.

Ecrit par Maxime de Jabrun.