La gestion des risques au service du pilotage de l’entreprise
erp/crm/bi

La gestion des risques au service du pilotage de l’entreprise

avis d'expert  |  ANNE LUPFER, Consultant Provadys | 09/07/2015

La gestion des risques est un outil indispensable au pilotage des activités et plus globalement de l’entreprise. En effet, l’entrepreneur ou chef d’entreprise est constamment confronté de manière consciente ou inconsciente à des prises de décisions qui intègrent nécessairement l’évaluation des risques propres à la situation dans laquelle il évolue.

Cette démarche, même intuitive, permet de faire des choix en toute connaissance de cause, de saisir les opportunités et se démarquer de la concurrence. De plus en plus, identifier, traiter et maîtriser les risques deviennent des activités obligatoires pour toutes les entreprises en réponse aux autorités comme aux parties prenantes (assureurs, etc.). Dès son premier salarié, chaque dirigeant doit élaborer un document unique. Pour ce faire, il peut s’inscrire soit dans une démarche de conformité pure, soit dans une démarche de prévention. Voici une obligation qui peut être transformée en opportunité pour tout manager : s’inscrire dans une démarche de prévention pérenne. Pour ce faire, la conduite d’une appréciation des risques est une bonne démarche. Mais comment s’y prendre ?

L’angle de la sécurité de l’information est un bon angle d’attaque. L’information, notion qui se définit dans le domaine comme un élément qui a de la valeur pour l’entreprise, peut se matérialiser en donnée par exemple, ou rester dans le domaine de l’immatériel comme le processus.  La donnée est donc omniprésente dans l’entreprise et n’est pas cantonnée à l’information. Par exemple : une idée dans la tête d’une personne pourra être une information ! Autre avantage, la sécurité de l’information s’est dotée d’outils, de méthodes et de référentiels qui peuvent aider chaque dirigeant ou manager dans cette tâche. Mais avant tout, le pragmatisme sera fort utile à chacun.

Les référentiels, que ce soit l’ISO, Ebios ou ceux d’autres secteurs, abordent le sujet de manière très théorique et séquentielle. L’ISO (ISO 27005 et ISO 31000) a apporté, par la dimension itérative, une souplesse. Cependant, cela n’est pas suffisant. Le processus de gestion des risques reste, à première lecture, rigide et complexe. Dans un tel processus, le pragmatisme devrait primer. Le processus n’est qu’un support pour conforter ou infirmer une intuition. Pour survivre et évoluer nos ancêtres ont dû constamment procéder à des analyses de risques en temps réels afin de trouver les voies les plus sures… L’analyse de risque est donc ancrée en nous et c’est une activité naturelle. Le processus ne doit donc être qu’une façon de formaliser et rendre répétable cette activité hautement complexe quand elle prend en compte de nombreux paramètres (dont quelques-uns sont incertains ou non mesurables).

Le processus établit doit refléter notre mode de pensée en scénario et apporter une dimension objective. En pratique, commencez par coucher sur papier vos craintes en répondant aux questions suivantes : quels évènements sont susceptibles d’affecter mon entreprise et l’empêcher d’atteindre ses objectifs ou remplir sa mission ? Face à quels événements, nous ne sommes pas prêts ? Pour quels incidents sommes-nous préparés ?

Ensuite, sélectionnez les réponses en vous concentrant sur ce qui a de la valeur pour votre entreprise. Identifiez, en quoi, cette valeur a de l’importance pour votre organisme ou votre activité. La valeur peut revêtir plusieurs formes. Ce peut être un fichier, un procédé, une personne clé, un savoir-faire, etc. Les questions suivantes peuvent vous aider : Comment peut-elle servir à autrui ? Ou encore : quelles seraient les conséquences pour mon entreprise et/ou l’activité si cet « objet » était perdu ? Si une donnée était inaccessible ? A ce stade, vous venez d’identifier des scénarios de risques, un ou plusieurs actifs (pour reprendre la terminologie de l’ISO) voire des conséquences, des vulnérabilités et des menaces.

Enfin, la théorie entre en jeu ! Elle permet d’objectiver les risques identifiés par l’apport d’éléments factuels (tels que la fréquence d’apparition dans le passé, une attaque subit par un concurrent direct) et, lorsque cela s’applique, des métriques (le coût de l’évènement, les pertes en chiffre d’affaires imputées à l’évènement, etc.). Les chiffres sont rassurants et crédibilisent les résultats. L’important est de choisir des valeurs qui sont partagées par l’entreprise et qui sont maintenables dans le temps. A ce stade, la gestion des risques devient un véritable outil d’aide à la décision.

A la prochaine itération, vous pourrez alors comparer vos résultats et montrer que les actions conduites ont été efficaces. De ces éléments vous pourrez, identifier de nouvelles problématiques et de nouveaux projets pour améliorer la maîtrise de vos activités et plus généralement de l’entreprise. Progressivement, vous obtiendrez une cartographie des risques de plus en plus fine et précise. Ces résultats pourront être employés à différents desseins tels que la négociation avec vos assureurs, le pilotage de vos équipes, la négociation de nouveaux budgets, la définition de nouvelles offres, etc.

Cette attitude positive face aux risques à opposer à une attitude de déni, sera l’outil incontournable de pilotage de votre entreprise ou d’une activité. Vous pourrez prendre les décisions en connaissance de cause et saisir les opportunités.

Ils font aussi l 'actu...
réseau

F5 Networks présente des systèmes de défense DDoS nouvelle génération

communiqué de presse | 15/09/2016

F5 étend son portefeuille de solutions de sécurité avec des appliances contextuelles intelligentes dédiées à la protection DDoS et à l’orchestration SSL.

cloud

Le Top 50 des entreprises les plus innovantes dans le Cloud dans la région EMEA

communiqué de presse | 18/10/2017

F5 Networks dévoile un rapport exclusif sur la liste des entreprises qui tirent le mieux parti du Cloud pour innover et réussir.

télécoms

MyStream propose des fonctionnalités de portail captif en mode as a Service

communiqué de presse | 11/12/2014

Grâce à un partenariat avec Ucopia, les entreprises multi-sites peuvent disposer plus facilement de fonctionnalités avancées de gestion des visiteurs en mode « Cloud ».

conseil

SVL et le groupe Newlode annoncent leur rapprochement

communiqué de presse | 26/02/2018

SVL et le groupe Newlode annoncent être entrés en négociations exclusives en vue d’intégrer SVL au sein du Groupe. L’opération devrait être finalisée d’ici au 1er Mars

cybersécurité

ThreatQuotient présente la première solution de gestion de situations du marché dans le monde Cyber

communiqué de presse | 10/04/2018

ThreatQ Investigations accélère les opérations liées à la cyber sécurité grâce à une visualisation immédiate de la menace, à une analyse collaborative et à la coordination...

stockage

Acronis ajoute la protection automatisée contre les ransomwares à sa solution de sauvegarde

communiqué de presse | 12/07/2017

Acronis Backup 12.5 est la première solution de sauvegarde qui allie protection des données contre les ransomwares et restauration automatisée des données endommagées.