Les évolutions réglementaires, comme les évolutions du marché, peuvent représenter des contraintes pour les entreprises et leur système d’information. A charge pour elles d’en évaluer les risques, de sorte à les maîtriser et d’investir sur le futur.
En IT, comme dans d’autres domaines, le risque zéro n’existe pas. Alors s’engager dans un plan de maîtrise des risques IT se révèle indispensable. Et ce bien que ce processus ne soit pas si répandu que cela.
« Un sujet de risque IT est nécessairement créateur de valeur, affirme Jean-Michel Mathieu, fort de 40 ans d’expérience en audit des systèmes d’information et senior advisor chez RSM en France depuis janvier 2017. Mais il est frappant de constater qu’une telle idée n’a pas encore fait son chemin auprès des dirigeants d’entreprise. Il y a encore beaucoup à faire pour que ceux-ci admettent d’emblée que ces thématiques ne constituent pas une perte d’argent. Elles constituent bien un axe d’amélioration, un investissement. » Y compris dans les grands groupes, les plus avancés sur la question avec des comités d’audit et des risques.
Etre Attentives aux « Clignotants »
Comment les entreprises peuvent-elle appréhender ces risques ? Avant tout, elles doivent être attentive à certains « clignotants » comme le contrôle d’accès, la détection préventive. Qu’il s’agisse de bonnes pratiques de contrôle interne ou de sécurité informatique. «Jusqu’à présent, elles ont surtout travaillé leurs lignes de défense, relève Jean-Michel Mathieu. Idem pour les petites entreprises. Leur réflexe initial consiste à s’appuyer sur les procédures ou habitudes de travail – généralement non documentées. Quoi qu’il en soit, le sujet est très souvent abordé de façon technologique, alors qu’il pourrait être amélioré grâce à une meilleure formation du personnel sur l’usage qu’il est fait du matériel. »
Nécessité de cartographier les risques
A cela s’ajoute les sujets lié à des menaces ponctuelles ou des questions réglementaires. En attestent deux événements majeurs de l’année 2017 : les attaques répétées de cybercriminalité (certaines obligeant même des groupes à interrompre leur activité) et l’annonce de la prochaine entrée en vigueur du Règlement général sur la protection des données (RGPD), pour lesquels l’impréparation est flagrante.
« Ces deux faits marquants mettent en évidence l’importance de la fonction de Responsable de la sécurité des systèmes d’informations (RSSI). Mais aussi le fait qu’ils doivent avoir l’attention des dirigeants ainsi que les moyens de leur action », analyse Jean-Michel Mathieu. En ligne de mire : la nécessité de cartographier en permanence les risques auxquels l’entreprise peut être confrontée. Cela afin d’être parée à toute éventualité. Parallèlement, au quotidien, d’autres questions se posent, comme l’automatisation des processus (au sujet desquels on constate une grande résistance au changement, en France). L’aide au choix des solutions ERP ou encore la mise en place d’un plan de continuation d’activité sont aussi au coeur des interrogations. Autant d’axes de progrès que les entreprises peuvent s’approprier.
