De mon expérience personnelle, l’une des grandes difficultés rencontrées par les DSI et les RSSI dans la gestion des risques n’est pas d’identifier les risques ou de les évaluer, mais bel et bien d’obtenir des budgets pour réduire les risques à un niveau acceptable, en particulier en période de pression budgétaire accrue. Mais que faire lorsque les dirigeants ne comprennent pas les risques ? Je vous livre ma méthode.
la réaction type du dirigeant face à un risque IT élevé
Quelle serait la réaction naturelle et prévisible d’un directeur si je l’informe qu’il a un score de risque de 92 sur un maximum de 100 pour un serveur ou une application et que les conséquences peuvent lui coûter très cher, des millions peut-être ?
- Externaliser les activités liées. Après tout, pourquoi prendre un risque pour l’entreprise et pour son bonus ou sa place de travail ? Si cela est externalisé, il n’a pas plus de souci, et si le risque se réalise, c’est la faute d’un autre.
- Attendre que quelque chose de fâcheux se produise, si cela devait réellement se produire un jour. Cela lui permettra de vérifier si vos prédictions sont crédibles, ou pas. Et si le risque se réalise, il sera toujours temps d’investir. Pendant ce temps-là, on a une meilleure marge et lui un meilleur bonus. Il pourra même se sentir conforté dans sa décision en se disant que « si c’était vrai, ça se saurait ou cela se serait déjà produit ou un concurrent l’aurait déjà subi ». C’est cynique, mais c’est un modèle de décision (trop) courant.
mais que faire pour qu’ils comprennent ?
Il est important de comprendre les motivations et les critères de décisions des dirigeants pour les convaincre. En étant très pragmatique, on peut dire que les dirigeants, de manière générale, comprennent deux éléments: les résultats financiers et les processus métiers qui leur permettent d’atteindre les objectifs de l’entreprise. Et définitivement pas les problèmes d’informatique.
Je pars du principe que vous savez gérer les risques purement technologiques comme la gestion des vulnérabilités techniques, avec votre budget de DSI ou RSSI.
Viser à pouvoir quantifier chaque risque technologique ou liés à l'utilisation de technologies en termes financiers me parait bien hasardeux et surtout requiert une connaissance telle des rouages financiers que vous seriez probablement déjà directeur financier si vous l’aviez. Il me semble que ceux qui s'y sont essayé ont surtout perdu leur crédibilité aux yeux de leurs dirigeants, car leurs prédictions ne se sont pas souvent réalisées, ou du moins elles n’ont pas été révélées.
ma méthode
Mon but est donc de lier les risques "IT" à des processus métiers. Les dirigeants comprendront les conséquences et détermineront très rapidement si un risque est acceptable ou pas, et combien ils sont prêts à dépenser pour réduire le risque à un niveau acceptable.
Je n'aime pas réinventer la roue... Je préfère utiliser l'expérience des autres. Dans ce contexte, la question était « qui est efficace dans la diminution effective des risques depuis des décennies? ». La réponse m'est venue tout naturellement: le travail en usine, le travail à la chaine, les chaines de montage. Ils ont des procédures efficaces pour réduire le nombre d'accidents de travail. Quelle est leur méthode? C’est FMEA pour [Failure Mode and Effects Analysis] pour la plupart. Je la résume: je regarde à chaque étape ce qui peut "mal tourner" et je trouve une solution.
Si on adapte cette solution à l'informatique, on suit un processus métier et à chaque étape on se pose les questions suivantes:
- quelles sont les ressources informatiques liées ?
- qu'est-ce qui pourrait mal se passer d'un point de vue confidentialité, intégrité, disponibilité ?
Je continue mon évaluation de risque comme j'ai toujours fait avec les conséquences prévisibles, leurs évaluations, l’estimation de la probabilité du scénario, etc.
Maintenant quand je présente les résultats, les dirigeants comprennent réellement les conséquences pour le métier et peuvent prendre une décision en toute connaissance de cause. C'est également ainsi que je peux identifier ce qu'un utilisateur peut faire comme erreur de manipulation et les conséquences liées. De même, on comprend plus facilement comment une fraude pourrait être commise. Ainsi, on peut améliorer les interfaces des applications développées, adapter la formation, identifier des contrôles supplémentaires, etc.
en conclusion
Il faut rendre les risques intelligibles aux dirigeants, à celui ou celle qui prendra la décision. Pour obtenir un budget lié à une exposition inacceptable à des risques, il ne suffit pas de donner un score de risque, mais s’assurer que la perception du risque et des conséquences par le décideur sont correctes. Il convient de lui présenter des éléments que non seulement il comprend, mais qu’il maîtrise.
Il faut adapter sa méthode et son langage au(x) décideur(s), et non pas aux standards de gouvernance informatique aussi bon soient-ils. Pour les risques informatique, avoir un lien direct avec les activités métiers est une méthode très efficace. N’hésitez pas à me demander pour avoir des exemples concrets.
Et vous, comment faites-vous pour obtenir du budget basé sur les risques identifiés?
Johny
crédit photo : © alphaspirit - Fotolia.com
Après avoir passé des années en tant qu’auditeur informatique auprès de KPMG, le besoin de résoudre les problèmes a été le plus fort. C’est assez naturellement que j’ai rejoint le groupe des consultants sécurité d’Orange Business pour la région EMEA.
J’officie depuis plusieurs années en tant que Responsable de la sécurité des systèmes d’informations pour des multinationales clientes d’Orange Business.