Le management par les risques informatiques: des principes · PDF file · 2012-08-02• MODULE 1 -Éléments fondamentaux de l’audit et du conseil 01 : ... – Découvrir les principales

Le management par les risques informatiques : Le management par les risques informatiques : des principes à la pratique

19 janvier 2012

Partie 1

Le management par les risques

• Aider l’entreprise à atteindre ses objectifs métier grâce à un

Opportunité Menace

• Aider l’entreprise à atteindre ses objectifs métier grâce à un management des risques permettant de– saisir les opportunités pour créer de la valeur ou l’accroître

– contrer les menaces pour préserver la valeur ou limiter sa perte

• Améliorer l’efficacité, l’efficience opérationnelle et la qualité

• Améliorer la gouvernance des SI et celle de l’entreprise

Introduction 2

Le management par les risques informatiques : des principes à la pratique

19 janvier 2012

Panorama de la réglementation sur le management par les risques informatiques

Stéphanie BenzaquineSenior Manager, Mazars

Un environnement réglementaire complexe

• Les entreprises sont soumises à un environnement règlementaire toujours plus complexe dont elles doivent tirer parti pour optimiser l’efficacité de leurs processus opérationnels, améliorer leurs dispositifs anti-fraude et fiabiliser leur communication aux parties prenantes :

– Des règlementations sur le contrôle interne : Sarbanes-Oxley, Loi de Sécurité Financière, Loi NRE, Decreto 231 & 262, TabaksBlat, Combined Code, SwedishCode of Conduct, …

– Des règlementations sectorielles : Bâle II et règlement CRBF 97-02 pour la banque, le Décret du 13 Mars 2006 et Solvency II pour l’assurance

– Des référentiels de sécurité et de contrôle des systèmes d'information : COBIT, ITIL, CMMI, ISO 27 000

– Des normes qualité, sécurité, environnement : ISO 9000, ISO 14 000, ISO 22 000

Panorama de la réglementation sur le management par les risques informatiques 4

La pression réglementaire s’accentue régulièrement

• Un processus de mise sous contrôle des risques a été initié depuis quelques années au sein des institutions européennes :

– Les 4ème et 7ème directives Européennes, transposées par la loi du 3 juillet 2008 afin de «…rendre compte des procédures de gestion des risques mises en œuvre »

– La 8ème directive, dite audit, transposée par l’ordonnance du 8 décembre 2008, précise les compétences nécessaires pour effectuer le contrôle légal des comptes. Sont cités, les domaines suivants :

• Article 8 : « Le test de connaissance théorique inclus dans l'examen couvre notamment les domaines suivants :

– …, gestion des risques et contrôle interne– …, gestion des risques et contrôle interne• Il couvre également au moins les domaines suivants dans la mesure où ils se rapportent au contrôle des

comptes :– technologie de l’information et systèmes informatiques…, mathématiques et statistiques, ... »

– Elle vise, entre autres, les principes de constitution et le rôle du Comité d’Audit :• Obligation de Comités d’Audit dans les sociétés dont les titres sont admis à la négociation sur un

marché réglementé, en assurant notamment le suivi :– du processus d’élaboration de l’information financière– de l'efficacité des systèmes de contrôle interne, d'audit interne, le cas échéant, et de gestion des risques

de la société

– Ainsi que les contributions attendues des Commissaires aux comptes :• Les Commissaires aux comptes « portent à la connaissance du Comité d’Audit les faiblesses

significatives du contrôle interne, pour ce qui concerne les procédures relatives à l’élaboration et au traitement de l’information comptable et financière »


Impacts de la 8ème directive sur le contrôle interne des systèmes d'information

• Le « suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques » inclut :– La mise en place d’un système de gestion des risques

informatiques, intégré au processus global de gestion des risques de l’entreprise :de l’entreprise :

• Le pilotage et le suivi des risques informatiques

• La mise en place d’une veille pour la détection de nouveaux risques, afin de les mesurer et de les maîtriser le mieux possible

Nécessité d’identifier et de mesurer les risques informatiques de l’entreprise (modéliser la cartographie des risques informatique)


Impacts de la 8ème directive sur le contrôle interne des systèmes d'information

• La gestion des risques avant et après la 8ème Directive :

Transposition en France de la 8ème Directive européenneAvantAvant AprèsAprès


Une « best practice »Une obligation

prévue et encadréepar la loi

Ordonnance n°2008-1278

du 8 décembre 2008

Les normes internationales d’audit liées aux systèmes d’information

• Normes ISA les plus directement concernées par les systèmes d’information :

– ISA 240 – Prise en considération de la possibilité de fraudes lors de l’audit des comptes

– ISA 315 – Connaissance de l’entité et de son environnement et évaluation du risque d’anomalies significatives dans les comptes

– ISA 315 – Connaissance de l’entité et de son environnement et évaluation du risque d’anomalies significatives dans les comptes

– ISA 330 – Procédures d’audit mises en œuvre par le Commissaire aux Comptes à l’issue de son évaluation des risques

– ISA 570 – Continuité d’exploitation

– ISA 3402 (ex-SAS 70) – Assurance Reports on Controls at a Service Organization



19 janvier 2012

Mise en place d’un cadre de management par les risques : les atouts de Risk IT

Jean-Louis BleicherConsultant en management des risques

Principes clés du management par les risques

Stratégie Tactique Organisation

Gouvernance

Amélioration continue

Processus de gestion

Mise en place d’un cadre de management par les risques : les atouts de Risk IT 10

Appréciation

Surveillance

Communication Traitement

Processus de gestion

Normes et référentiels de management par les risques

ISO/IEC ISO 31010

2009

ISO 310002009

Management du risque

Référentiel

NormeFERMA

2003

Management des risques de l’entreprise

COSO ERM2004

Management des risques de l’entrepriseCadre de référence


ISO/IEC Guide 73

2009

Management du risque -Vocabulaire

2009

Gestion des risques -Techniques d'évaluation

des risques

2009

Management du risque -Principes et lignes

directrices

ISO 270002009

Systèmes de management de la sécurité de l'information -

Vue d'ensemble et vocabulaire

ISO 270012005

Systèmes de management de la sécurité de l'information -

Exigences

ISO 270022005

Code de bonne pratique pour le management de la sécurité de l'information

ISO 270052008

Gestion des risques en sécurité de

l'information

Technologies de l'information

Techniques de sécurité EBIOS

2010

MEHARI2010

CRAMM2005

OCTAVE2007

Modèle Risk IT

3 domaines9 processus47 activités

Gouvernance des risques

Etablir et maintenir une

vision commune des

risques

Intégrer au management

des risques de l’entreprise

Prendre en compte le risque

dans les décisions

affaire/métier


Objectifs affaire/métier

Communication

Evaluation des risques

Collecter les données

Analyser les risques

Maintenir le profil de risque

Traitement des risques

Exprimer les risques

Gérer les risques

Réagir aux événements

Contenu de Risk IT

• Référentiel Risk IT– Description du modèle (domaines, processus, activités)

– Modèles de maturité, tableaux RACI, objectifs et métriques, éléments d’entrée/sortie

• Guide Utilisateur Risk IT– Guide pratique de mise en place du management des risques – Guide pratique de mise en place du management des risques

informatiques dont • Scénarios génériques et traitement des risques à l’aide de COBIT et Val IT

• Aide à l’évaluation des risques en termes affaires/métiers

– Comparaison de Risk IT avec COSO ERM, ISO 31000 et ISO 27005

• Outils complémentaires du Guide Utilisateur– 7 documents Word d’aide à la mise en œuvre


Atouts de Risk IT

• Constitue un modèle complet (du pilotage à l’action)

• Couvre l’ensemble des risques liés à l’informatique

• Contient une aide au déploiement et à l’amélioration continue

• Propose une approche réaliste d’appréciation des risques affaires/métiers liés à l’informatique

• Aide au choix des options de traitement des risques

• Enrichit le contrôle interne de l’informatique en s’appuyant sur les bonnes pratiques de COBIT et Val IT

• S’intègre et intègre facilement d’autres normes et pratiques de management des risques


Risk IT : un modèle d’intégration

RISK IT

COBIT

Val IT


ISO 31000 COSO ERM RISK IT

ISO 27000

CRAMMEBIOS

MEHARIOCTAVE

CMMIPMBOK

ITIL


Les formations et certifications

19 janvier 2012

Les formations et certifications au management par les risques informatiques

Camille Rosenthal-SabrouxProfesseur à l’Université Paris Dauphine

Jean-Luc AustinDélégué Général de l’AFAI

Formation Université Paris Dauphine

• Master Systèmes d’Information de l’Entreprise Étendue : Audit et Conseil– Créé en 2001 avec l’appui de l’AFAI et de ses partenaires

(CIGREF, IFACI, Ordre des Experts Comptables, Compagnie Nationale des Commissaires aux Comptes)

– Formation continue des professionnels confirmés, initiale et en – Formation continue des professionnels confirmés, initiale et en apprentissage des futurs professionnels, aux techniques et méthodes de l’audit et du conseil dans le domaine des systèmes d’information de l’entreprise étendue

– Régulièrement aux premières places des classements (SMBG, Management)

– Orientation maîtrise des risques liés aux SI de l’entreprise étendue

Les formations et certifications au management par les risques informatiques 17

Paris Dauphine Master 2 SIEE : Audit et Conseil

• Le Master 2 comprend 885 heures réparties comme suit :

– Cours à l'université 444 heures sur 11 mois (de septembre à fin décembre et de début avril à juillet) dont

• Séminaire résidentiel « Projet de vie, projet professionnel »

• Semaine internationale à l’Université de Trento• Semaine internationale à l’Université de Trento

– Mission en entreprise : 441 heures (13 semaines) sans enseignement, de janvier à fin mars


Paris Dauphine Master 2 SIEE : Audit et Conseil

• MODULE 1 - Éléments fondamentaux de l’audit et du conseil01 : Principes et concepts fondamentaux de l’audit et du conseil 02 : Les grands outils de base de l’audit et du conseil

• MODULE 2 - Les audits fondamentaux03 : Audit des grands projets 04 : Audit de la sécurité 05 : Audit de la fonction informatique 06 : Audit des applications 07 : Cas d’application 07 : Cas d’application

• MODULE 3 - Connaissances nécessaires à l’auditeur08 : Gouvernance des systèmes d’information 09 : Analyse et conception de systèmes d’information 10 : Introduction au Knowledge Management 11 : Ouverture Internationale

• MODULE 4 – Mission en entreprise12 : Pratique professionnelle - Mission en entreprise


Formations AFAI au management par les risques

• L’essentiel du management des risques (1 jour)– Connaître les concepts et principes du management des risques

– Découvrir les principales normes et les référentiels majeurs de management des risques informatiques

– Connaître les principes, processus et activités de management des risques informatiquesdes risques informatiques

– Appréhender les points clés du management des risques informatiques

• Référentiel et Guide utilisateur Risk IT : contenu et mise en œuvre (2 jours)– Appréhender de manière exhaustive le référentiel et le guide

utilisateur Risk IT

– Aider à la mise en œuvre de Risk ITLes formations et certifications au management par les risques informatiques 20

Formations AFAI préparatoires aux certifications

• Certification ISACA– CRISC : Certified in Risk and Information Systems Control

(3 jours)• Analyser les différents domaines du programme sur lequel porte l’examen

• Assimiler le vocabulaire et les idées directrices de l’examen

• S’entraîner au déroulement de l’épreuve et acquérir les stratégies de réponse au questionnaireréponse au questionnaire

• Certification ISO– ISO 27005 : Information Security Risk Manager (2 jours)

• Acquérir la capacité d’apprécier les risques sur la sécurité de l’information, de les gérer et de les contrôler

• Présenter et comparer les différentes méthodes d’analyse de risques compatibles avec la norme ISO 27005



19 janvier 2012

Le management des risques informatiques en pratique

Stéphanie BenzaquineSenior Manager, Mazars

2 exemples d’interventions pour une meilleure gestion des risques IT

• L’entreprise doit identifier ses zones de risques en matière financière et informatique, évaluer la façon qu’elle a de les maîtriser, afin d’atteindre un niveau d’exigences conforme à toute forme d’audit : audit réglementaire, audit interne, audit externe.

• Cet objectif peut se décliner dans 2 contextes différents, en proposant des réponses adaptées à chaque situation :– Réaliser des diagnostics sur les processus métiers et informatiques déjà – Réaliser des diagnostics sur les processus métiers et informatiques déjà

en place, par exemple dans le cadre d’une pré-certification réglementaire, d’un audit de due diligence,..

• sécuriser les processus métiers et informatiques de l’entreprise • préparer les organisations aux audits externes tels que les commissaires aux comptes,

la Cour des comptes, un acheteur, ou tout autre organisme de contrôle

– Accompagner l’entreprise en phase de projet, afin de réduire au maximum ses risques dès la conception des systèmes

• sécuriser les projets informatiques• implémenter une démarche de gestion des risques IT

Le management des risques informatiques en pratique 23

Diagnostics sur les processus métiers et informatiques déjà opérants

Observation et optimisation des

contrôles embarqués dans les applications

métier

Mise en œuvre d’un système de contrôle en

continu

Mise en place de contrôles

compensatoires métier afin de couvrir les

risques non couverts par le SI

Diagnostiquer les processus métier et IT de

l’entreprise


Réaliser des diagnostics de sécurité ou

d’évaluation du niveau de contrôle interne des

processus

Proposer des plans d’actions opérationnels

visant à couvrir des zones de risques

identifiées

Préparer les dossiers de preuves à l’attention des

auditeurs

Préparer les organisations et les

systèmes d’information aux audits externes

Accompagner l’entreprise en mode projet

Concevoir un système d’information au regard

des exigences d’auditabilité et de

traçabilité

S’assurer que le futur SI est conçu de telle manière à pouvoir

démontrer une piste d’audit permanente

Mettre en œuvre les paramètres généraux de

sécurité et d’outils de gestion des habilitations

au regard des bonnes pratiques

Sécuriser les projets informatiques


Définir l’organisation cible et les principes de

fonctionnement de la fonction « contrôle

interne IT »

Définition du référentiel de « contrôle interne IT »

Diagnostic sur les différents processus

informatiques et mise en œuvre des plans

d’actions au regard des bonnes pratiques

Implémenter une démarche de gestion des

risques IT

Exemples de missions réalisées pour l’Opérateur National de Paye, en mode projet depuis 2008

• Préparer et assister en qualité d’expert, aux ateliers de conception générale et de conception générale applicative relatifs aux thèmes suivants:– Auditabilité et traçabilité– Mise en œuvre de la piste d’audit (des SIRH des ministères au système comptable et

financier de l’État Chorus)– Définition du référentiel de Contrôle interne, mise en œuvre de l’outil de gestion des risques

et de suivi du contrôle interne RVR

• Définir l’organisation cible et les principes de fonctionnement de la fonction • Définir l’organisation cible et les principes de fonctionnement de la fonction « contrôle interne » de l’ONP

• Assister les MOA et MOE dans l’identification des risques métier à gérer dans le cadre de la conception du SI Paye

• Apporter de l’expertise dans le cadre de l’instruction des points métiers et techniques relevant du domaine contrôle interne / qualité comptable, par exemple : gestion des rejets, intégrité des référentiels, habilitations et règles d’authentification, préparation des phases de reprise sous l’angle de la qualité comptable...



19 janvier 2012

Témoignage sur le management par les risques informatiques (secteur public)

Christian MorfouaceChargé de Mission à l’Inspection Générale de l’Agence de Service et de Paiement

AGENDA

1 – Le contexte du secteur public

2 – Deux exemples

3 – L’approche … en tenaille

4 – Les mesures immédiates

5 – Conclusion pour l’avenir5 – Conclusion pour l’avenir

6 – Questions / Documentations

Témoignage sur le management par les risques informatiques (secteur public) 28


• Historiquement pour le secteur public : l’Etat est son propre assureur, l’intendance suivra … et l’administration ne se pose pas des problèmes pour l’avenir …

• Récemment, création de la DISIC : une des missions est le pilotage des grands projets SI par les risquespilotage des grands projets SI par les risques

• Domaines des aides communautaires agricoles : l’approche par les risques est prise en compte depuis 20 ans



• Les marché publics : risques sur la réactivité, la flexibilité, les délais

• Les sponsors : capacité à piloter dans la durée, risques multiples, en particulier budgétaires

• La gestion des RH : 3 risques liés à l’absence de motivation/récompense, à la gestion des carrières, à la mobilité


motivation/récompense, à la gestion des carrières, à la mobilité professionnelle et géographique

• Les organisations syndicales : leur posture et leur poids face aux transformations et au changement peut entraîner un risque de blocage du projet

• Le ROI : difficulté d’obtenir le ROI attendu, dans les délais, par la récupération effective des gains de productivité métier


• Mise en place dès 1992 d’un SIGC : Système Intégré de Gestion et de Contrôles à base d’un SI informatisé

• Obligations, règlements : ISO, COBIT, …

• Pénalisations financières dissuasives et audits de la commission européenne !

• Analyses de risques pour les dossiers à contrôler (sur place, télédétection) …


2 - Deux exemples - N°1

• Dans d’autres domaines la gestion des risques n’est pas sous une forme si élaborée, exhaustive et automatique

• Un petit exemple : extrait d’EOF


2 – Deux exemples

• A minima, ce qu’il fallait mettre en risques à statuer :

– des besoins fonctionnels structurants nécessitent impérativement des développements spécifiques, compte tenu du logiciel existant,

– les risques sont très importants car le délai de mise en service impose de ne réaliser aucun développement spécifique.


2 – Deux exemples - N°2

• Sur un très gros projet : infaisabilité dans les délais et la qualité requise, le prestataire le garantissant néanmoins !

• Traçabilité quasi notariale, dossier contentieux a priori et solution alternative en parallèle

• Résultat : pas de soucis majeurs non prévus et « remboursement » de la structure de pilotage SI (15 à 20 ETP) par les travaux en sus réalisés à la charge du prestataire


3 – L’approche… en tenaille

• En amont : exposés dans le cadre de la veille technologique de sujets plus … sérieux (Lean, risques projets, référentiels, etc.)

• En aval dans le cadre de missions d’audits ou d’inspections générales : mise en évidence de carences dans les bonnes générales : mise en évidence de carences dans les bonnes pratiques, etc.

• Comme pour la qualité et la sécurité, la pédagogie est à base de répétition ! Un exemple ...


3 – L’approche… en tenaille

• Analyse selon les 4 chapitres en 34 points du référentiel COBIT : Exemple 7+, 13 x et 14 –

• Détermination des zones de risques maximales et recommandations : plutôt les études, les projets ou les domaines applicatifs et pas tellement la production ou la domaines applicatifs et pas tellement la production ou la sécurité

• Prévention des 3 risques majeurs pour ce cas : financier, humain, rejet utilisateur


4 – Les mesures immédiates

• Prise en compte des risques hors sécurité SI de façon plus formelle dans le comité mensuel de gouvernance des SI

• Création d’un groupe de travail sur la gestion des risques : examen des pratiques, propositions, puis utilisation dans certains projets ou domaines applicatifscertains projets ou domaines applicatifs

• Généralisation après validation en comité de gouvernance des SI


5 – Conclusion pour l’avenir

• Recherche et mise en place d’un référentiel de gestion des risques

• Intégration d’une comparaison des projets et/ou activités pour objectiver le sujet des risques en amont

• Systématiser cette approche dans la gestion courante des SI - mais pas seulement : via l’audit et le contrôle interne pour les processus métier


6 – Questions / Documentations

• Merci de votre attention

• Présentation de Patrick DAILHE lors de la conférence du 07/12/2010 CIO / LE MONDE INFORMATIQUE sur la transformation des SI dans le secteur public


On n’exécute pas tout ce qui se proposeEt le chemin est long du projet à la chose

Molière, Le Tartuffe, 1664

Documents

Le management par les risques informatiques: des principes · PDF file · 2012-08-02• MODULE 1 -Éléments fondamentaux de l’audit et du conseil 01 : ... – Découvrir les principales