La cartographie des risques de votre système d’information est le processus engagé par votre organisation pour :

• connaître toutes les menaces susceptibles d’être un frein pour la réalisation de vos objectifs à court et à long terme,

• établir une approche structurée permettant la gestion desdites menaces.

En bref, elle est le filet de sécurité qui protège les ressources de votre entreprise/institution. C’est d’ailleurs pourquoi la démarche pour établir la cartographie des risques de votre système d’information doit être participative, complète et précise.

En effet, elle doit prendre en compte tous les domaines de votre organisation, tenir compte des informations de chaque niveau qui compose ladite organisation et reporter très exactement l’information concernant chaque processus-activité de votre organisation.

Dans cet article, vous allez suivre étape par étape le processus d’établissement de la cartographie des risques de votre système d’information. Commençons donc par la 1^re étape : la précision des différents rôles.

Débutez la cartographie des risques par la précision du rôle de chaque acteur concerné par le processus

Toute cartographie des risques débute par une étape de préparation au cours de laquelle se précise le rôle de chaque acteur impliqué dans le processus :

Le risk manager ou le responsable de la conformité

Les fonctions du risk manager sont multiples dans le processus de représentation des risques de votre organisation. En effet, le responsable de la conformité, en coopération avec les parties prenantes de votre entreprise, dirige :

• le déploiement, l’exécution, le contrôle, et la mise à jour du processus de gestion des risques ;

• l’élaboration de la cartographie des risques grâce au suivi qu’il exerce, que ce soit dans sa participation aux audits effectués pour chaque service ou que ce soit au niveau des processus mis en œuvre et des moyens préventifs mis en place pour les risques induits.

Une fois son élaboration achevée, le responsable de la conformité présente la cartographie des risques à l’instance dirigeante. Dès cet instant, il attend l’accord de celle-ci pour mettre en place le plan retenu.

Les responsables des processus managériaux, opérationnels et support

Ils ont pour première fonction d’informer le responsable de la conformité des risques spécifiques aux domaines placés sous leurs responsabilités. Cela permet aux acteurs impliqués dans le processus de cartographie d’avoir une vision claire des conséquences :

• de la probabilité d’occurrence de ces risques,

• d’une éventuelle cause aggravant l’effet desdits risques sur votre organisation,

• et de la cotation desdits risques.

L’ensemble du personnel

À l’instar des responsables de processus, l’ensemble du personnel de votre organisation doit également rendre compte du plan de sécurité mis en place au sein de chaque service et rapporter les potentiels risques liés aux différentes fonctions exercées.

Maintenant que les acteurs impliqués dans le processus et leurs rôles sont connus, découvrons la 2^e  étape du processus : l’identification des menaces liées à vos activités.

Continuez le processus de représentation des risques par l’identification des périls liés à vos activités

Pour établir une cartographie des risques de votre SI efficace, il est primordial d’identifier les risques qui menacent votre organisation. Mais avant de découvrir les techniques d’identification de ces menaces, il est nécessaire d’avoir une idée de l’enjeu de cette étape :

Enjeu de l’identification des périls liés à vos activités

Il ne s’agit pas seulement de rechercher et de lister des informations à propos de potentiels risques avant de passer à l’étape suivante. Il faut aller plus loin.

En effet, l’enjeu de cette phase est de parvenir à une connaissance complète et approfondie des facteurs de risque qu’encourt votre organisation, surtout en termes de granulométrie : des risques mineurs à ceux catastrophiques au niveau des différents domaines/sous-domaines de votre organisation. Autrement dit ?       

Autrement dit, ici, il est question d’arriver à un niveau où vous faites confiance au système de gestion des imprévus et à la sécurité dont bénéficie votre organisation.

Parlons à présent des techniques d’identification de ces menaces.

Techniques d’identification des risques

Elles sont multiples et diverses. Cependant, elles s’appuient sur :

• la maîtrise parfaite de votre entreprise/institution ;

• les objectifs de votre organisation ;

• le benchmark (ou l’analyse des réalités d’organisations concurrentes) ;

• un mode opératoire précis.

Détaillons donc chacun de ces aspects :

• la maîtrise parfaite de votre entreprise/institution : les activités et métiers, l’environnement (à l’interne comme à l’externe), le fonctionnement, etc.

La collecte de ces informations peut se faire sous la forme de questionnaires adressés aux membres de l’organisation ou sous la forme d’entretiens exploratoires. Notez que c’est le risk manager qui se charge de ladite collecte,

• les objectifs de votre organisation : qu’ils soient à court terme ou une projection dans l’avenir, le risk manager a pour tâche de s’entretenir avec les différents responsables de processus pour répondre à ces interrogations :

• quels sont les objectifs de chaque processus-activité ?

• quelles menaces peuvent empêcher la réalisation de ces objectifs ?

• le benchmark (ou l’analyse des réalités d’organisations concurrentes) : cela peut paraître excessif, mais il est important, dans un processus de cartographie, d’avoir différents angles de vue. Cela vous permet d’établir un plan d’action plus réactif,

• un mode opératoire précis : le risk manager et ses collaborateurs conduisent l’identification des risques par processus d’activité. Ils les décomposent en sous-processus :

• de pilotage,

• de gestion opérationnelle,

•  et de procédure

Chacun des sous-domaines cités ci-dessus est analysé. Par exemple, avec ce mode opératoire, le processus d’activité « communication » de votre organisation est décomposé en sous-processus pour être analysé.

Ce mode opératoire permet à l’équipe de connaître les risques par granularité des processus d’activité. Une fois ces risques identifiés, l’équipe en charge du bon déroulement du processus évalue l’efficacité de la stratégie préventive existante (S’il y en a !).

Remarque : ce processus d’identification est véritablement utile en cas de cartographie des risques par modélisation. En revanche, pour les organisations qui utilisent des logiciels de cartographie opérationnelle, la collecte des informations par le risk manager peut se faire en un clic.

De plus, en termes de granularité, ces outils permettent de disposer des différentes vues de votre système d’information. Une solution très utile pour vous permettre d’identifier les failles susceptibles de survenir au niveau de chaque application intégrée à votre SI. Mais ce n’est pas tout !!!

En effet, les logiciels de cartographie opérationnelle sont accompagnés de formations écrites pour comprendre le fonctionnement du SI, son utilité et comment en tirer bénéfice au sein d’une entreprise/institution.

C’est le cas par exemple des articles Représenter votre ERP et Représenter le vCentre et les VM de votre SI qui vous renseignent sur quelques-uns des composants de votre SI.

Maintenant que la démarche d’identification des risques est expliquée, passons à la 3^e étape : celle de la classification et de l’établissement d’une stratégie de gestion efficace.

Procédez à la classification des périls identifiés pour établir une stratégie de gestion desdits risques

La cartographie des risques de votre système d’information se poursuit par la classification des risques identifiés et par l’établissement d’une stratégie de gestion de ces menaces :

La classification des risques identifiés

À ce stade, les acteurs impliqués dans le processus de représentation des risques de votre SI rédigent une synthèse sur la base des résultats de l’étape précédente. Sous la forme de fiches, cette synthèse renseigne sur :

• les menaces recensées,

• leurs conséquences sur votre organisation,

• l’efficacité des moyens de prévention existants,

• les potentiels scénarios impliquant la survenance de chacune des menaces recensées,

• et les propositions de mesures de protection à mettre en place.

Une fois cette synthèse rédigée, il faut à présent que l’équipe passe à l’élaboration d’une stratégie de gestion efficace :

L’élaboration d’une stratégie de gestion

Pour élaborer une stratégie de gestion efficace, le risk manager organise un atelier qui réunit toutes les parties prenantes (l’équipe-projet en l’occurrence).

Au cours de cet atelier, il est question, pour chaque responsable-processus, de donner son appréciation par rapport à la synthèse présentée. Une fois ces avis et appréciations donnés, le risk manager coordonne la séance ; et l’équipe-projet débat autour d’un nouveau plan d’action.

Cela peut se définir par :

• des changements/apports aux moyens de prévention existants,

• de nouveaux moyens plus efficients à mettre en place.

Par exemple, le risk manager peut fonder la stratégie de gestion des risques sur une surveillance accrue des risques. Pour le faire, il travaille en étroite collaboration avec le responsable des missions d’audit. Ainsi, à chaque audit interne, le chef de mission se rapproche de lui pour avoir une liste des risques contenus dans la cartographie des risques et qui sont susceptibles d’apparaître durant l’audit.

À la fin de l’audit, le chef de mission rédige une synthèse actualisée de la matrice des risques qu’il transmet au risk manager pour analyse.

Maintenant que la 3^e étape est expliquée, découvrons le dernier point à prendre en compte dans le processus de cartographie des risques de votre SI : la rédaction de cartographie des risques.

Rédigez la cartographie des risques et veillez à sa mise à jour périodique

Pour finir, la cartographie des risques de votre système d’information est rédigée et structurée (par exemple, par métier et par processus). Cette documentation s’accompagne d’une annexe descriptive (modalité d’élaboration et méthode de classification des risques).

Par ailleurs, il est capital de veiller à la mise à jour périodique de cette cartographie des risques. Pourquoi ?

Tout simplement parce qu’il peut survenir des événements (en dehors des menaces) qui vont changer une disposition de l’environnement interne ou externe de votre organisation. Dans ces cas, il est indispensable de revoir votre cartographie pour identifier de nouvelles menaces. Au nombre de ces événements, on peut citer :

• un changement qui affecte votre organisation : par exemple, une fusion, un partenariat ou une acquisition,

• une évolution au niveau des activités de l’entreprise/institution,

• ou de nouvelles règles à respecter dans votre secteur d’activité.

Pour résumer, il est recommandé de réaliser un suivi efficace de la cartographie réalisée

Un conseil : bien que la cartographie des risques s’établit suivant un processus défini, il est toutefois utile de considérer la gestion des risques comme un mécanisme continuel dans lequel les périls nouveaux (et permanents) liés à l’activité de votre organisation sont identifiés, évalués, et traités.

Cet article tend à sa fin.

Grâce à ces informations, pensez-vous pouvoir suivre ou diriger la représentation des risques du système d’information de votre organisation ? Et quel est votre avis sur la cartographie opérationnelle ? Si vous désirez en savoir plus sur le sujet, lisez donc l’article Prise en main.

Cet article, rédigé pour faciliter l’utilisation du logiciel CARTO-SI, informe parfaitement sur la cartographie opérationnelle. 

Par ailleurs, si après la lecture de cet article, des interrogations ou des préoccupations subsistent à votre niveau, veuillez les poser dans la zone réservée ci-dessous à cet effet ! 

Et si cet article vous a été utile, merci de le partager avec vos amis chefs et directeurs d’entreprises ou d’institutions privées comme publiques. Ils vous en sauront gré ! 😊