La gestion des risques : une activité incontournable
Désormais, l’entreprise se base intégralement sur son Système d’Information pour atteindre ses objectifs. Se protéger contre les risques IT est une activité incontournable pour maintenir la capacité opérationnelle de l’entreprise.
Au sein de l’entreprise, la gestion des risques dépend du Comité du Team Risk Management (TRM), Ce comité s’intéresse à tous les risques de l’entreprise et n’est pas dédié au seul département informatique. Le TRM dépend généralement de la direction en charge de la stratégie. La gouvernance doit se baser sur les mêmes critères du TRM et adopter une gestion collaborative avec les directions clés de l’entreprise : finance, commerce, production, etc…
L'identification des risques
Les risques humains sont les plus importants et les plus dangereux. L’espionnage industriel et la criminalité informatique (destruction et vols d’informations, fraude, vol d’équipements,..) peuvent représenter à eux seules 75% des pertes et proviennent essentiellement de personnels internes aux entreprises. Le taux de criminalité informatique augmente d’un facteur de 3 à 9 en cas de crise sociale (plan de licenciement, liquidation judiciaire). L’erreur humaine est aussi une source de risque. Ces erreurs peuvent être des erreurs de compréhension, d’usage, de choix ou de conception.
Les risques technologiques qui comprennent les dysfonctionnements d’un composant de l’infrastructure IT peuvent perturber un ou plusieurs services. Les causes les plus fréquentes de dysfonctionnements sont des erreurs dans la phase d’intégration, des problèmes liés au fonctionnement d’un composant, des dysfonctionnements suite à des mises à jour, des pannes sur des équipements non sécurisés.
On peut aussi s'intéresser aux risques naturels. Il s’agit de s’assurer contre les risques climatiques. Les principaux risques sont l’inondation et la foudre, qui sont tout deux en augmentation et qui sont potentiellement dangereux pour les infrastructures. Le gel et la canicule sont liés aux systèmes de climatisation.
L'évaluation des risques
Elle permet de définir les priorités d’actions. Il est indispensable de connaître le niveau de tolérance et d’impact de chaque métier de l’entreprise face à chaque risque. L’évaluation peut ainsi prendre en compte le taux de probabilité et le degré d’impact du risque.
La réduction des risques
Un risque lié à un composant dépend de son cycle de vie. Les cycles de transition ont un coefficient de risque élevé par rapport aux cycles d’exploitation qui sont eux très faibles.
Pour chacune des menaces, il est possible d’envisager plusieurs scénarios de réponse. Le but est de faire la balance entre le coût de chacune des réponses et le coût des conséquences de la menace sur l’entreprise pour trouver une solution adaptée. En outre, un scénario de réponse comporte lui-même des risques résiduels, ceux-ci peuvent donc aussi faire l’objet de scénarios de réponse.