Ce groupe de travail a été piloté par Patrick Anglard, DSI de Thales. Ce document élaboré en partenariat avec l’IERSE a pour objectif de clarifier ce que c’est la gestion des risques dans l’entreprise, l’organisation et les méthodes à mettre en place et le rôle de la DSI dans cette gestion.
La gestion des risques a pris de l’ampleur ces dernières années, tant en raison d’une extension des risques que d’une prise de conscience accrue de ces risques. Ils se sont étendus et incluent désormais aussi bien les risques opérationnels que les risques de non-conformité. La prise de conscience s’est traduite par une progression et une professionnalisation de la gestion des risques.
Maturité face au risque
Le niveau de maturité de l’entreprise face aux risques dépend de plusieurs facteurs, tels que son activité ou le respect de la règlementation, qui la poussent à mettre en place une démarche de risk management. Il apparait par exemple que le risk manager est la fonction la plus adaptée à la mise en œuvre d’une politique de gestion des risques au sein de l’entreprise, mais qu’elle peut, néanmoins, être assurée par d’autres entités dans l’entreprise, telles que la DSI, ou la fonction RSSI.
Les rôles identifiés pour le DSI :
- La DSI, bien entendu, doit gérer ses propres risques.
- Elle doit jouer son rôle de support au métier en les aidant à gérer leurs risques par ses méthodologies, son savoir-faire.
- Enfin, elle peut apporter des outils et des méthodes au service des métiers pour la gestion des risques.
Paradoxalement d’ailleurs, l’étude montre que le DSI ne doit pas forcément être en première ligne de la gestion des risques, mais plutôt en support. La maturité de l’entreprise vis-à-vis de la gestion des risques peut être inversement proportionnelle au rôle que le DSI y joue. Et dans une entreprise où le DSI est en support des métiers, il y a probablement une plus grande maturité dans la gestion des risques.
La DSI va participer de plus en plus à la démarche de gestion des risques pour trois raisons majeures :
- Les DSI dont l’entreprise n’a pas encore mis en place une réelle démarche de gestion des risques, sont en train de se rendre compte que leur technicité et leur expérience en la matière peuvent être utilisées pour donner l’impulsion nécessaire à la mise en œuvre d’une telle démarche au sein de l’entreprise.
- L’activité des entreprises dépend de plus en plus de leur système d’information. C’est sa qualité d’expert dans ce domaine qui rend la DSI plus à même, avec l’aide ou non d’un RSSI, de mettre en place les mesures destinées à traiter des risques tendant à devenir majeurs pour l’ensemble des entreprises.
- Enfin, les attentats du 11 septembre 2001 et les risques de pandémie grippale ou de crue centennale de la Seine, ont conduit les entreprises à s’interroger sur le concept de continuité d’activité, ce qui devrait renforcer le rôle de la fonction SI ou de la fonction sécurité.
Télécharger le rapport « Analyse et gestion des risques dans les grandes entreprises : impacts et rôle pour la DSI »