Upload
buithuy
View
218
Download
2
Embed Size (px)
Citation preview
Le management par les risques informatiques : Le management par les risques informatiques : des principes à la pratique
19 janvier 2012
Partie 1
Le management par les risques
• Aider l’entreprise à atteindre ses objectifs métier grâce à un
Opportunité Menace
• Aider l’entreprise à atteindre ses objectifs métier grâce à un management des risques permettant de– saisir les opportunités pour créer de la valeur ou l’accroître
– contrer les menaces pour préserver la valeur ou limiter sa perte
• Améliorer l’efficacité, l’efficience opérationnelle et la qualité
• Améliorer la gouvernance des SI et celle de l’entreprise
Introduction 2
Le management par les risques informatiques : des principes à la pratique
19 janvier 2012
Panorama de la réglementation sur le management par les risques informatiques
Stéphanie BenzaquineSenior Manager, Mazars
Un environnement réglementaire complexe
• Les entreprises sont soumises à un environnement règlementaire toujours plus complexe dont elles doivent tirer parti pour optimiser l’efficacité de leurs processus opérationnels, améliorer leurs dispositifs anti-fraude et fiabiliser leur communication aux parties prenantes :
– Des règlementations sur le contrôle interne : Sarbanes-Oxley, Loi de Sécurité Financière, Loi NRE, Decreto 231 & 262, TabaksBlat, Combined Code, SwedishCode of Conduct, …
– Des règlementations sectorielles : Bâle II et règlement CRBF 97-02 pour la banque, le Décret du 13 Mars 2006 et Solvency II pour l’assurance
– Des référentiels de sécurité et de contrôle des systèmes d'information : COBIT, ITIL, CMMI, ISO 27 000
– Des normes qualité, sécurité, environnement : ISO 9000, ISO 14 000, ISO 22 000
Panorama de la réglementation sur le management par les risques informatiques 4
La pression réglementaire s’accentue régulièrement
• Un processus de mise sous contrôle des risques a été initié depuis quelques années au sein des institutions européennes :
– Les 4ème et 7ème directives Européennes, transposées par la loi du 3 juillet 2008 afin de «…rendre compte des procédures de gestion des risques mises en œuvre »
– La 8ème directive, dite audit, transposée par l’ordonnance du 8 décembre 2008, précise les compétences nécessaires pour effectuer le contrôle légal des comptes. Sont cités, les domaines suivants :
• Article 8 : « Le test de connaissance théorique inclus dans l'examen couvre notamment les domaines suivants :
– …, gestion des risques et contrôle interne– …, gestion des risques et contrôle interne• Il couvre également au moins les domaines suivants dans la mesure où ils se rapportent au contrôle des
comptes :– technologie de l’information et systèmes informatiques…, mathématiques et statistiques, ... »
– Elle vise, entre autres, les principes de constitution et le rôle du Comité d’Audit :• Obligation de Comités d’Audit dans les sociétés dont les titres sont admis à la négociation sur un
marché réglementé, en assurant notamment le suivi :– du processus d’élaboration de l’information financière– de l'efficacité des systèmes de contrôle interne, d'audit interne, le cas échéant, et de gestion des risques
de la société
– Ainsi que les contributions attendues des Commissaires aux comptes :• Les Commissaires aux comptes « portent à la connaissance du Comité d’Audit les faiblesses
significatives du contrôle interne, pour ce qui concerne les procédures relatives à l’élaboration et au traitement de l’information comptable et financière »
Panorama de la réglementation sur le management par les risques informatiques 5
Impacts de la 8ème directive sur le contrôle interne des systèmes d'information
• Le « suivi de l’efficacité des systèmes de contrôle interne et de gestion des risques » inclut :– La mise en place d’un système de gestion des risques
informatiques, intégré au processus global de gestion des risques de l’entreprise :de l’entreprise :
• Le pilotage et le suivi des risques informatiques
• La mise en place d’une veille pour la détection de nouveaux risques, afin de les mesurer et de les maîtriser le mieux possible
Nécessité d’identifier et de mesurer les risques informatiques de l’entreprise (modéliser la cartographie des risques informatique)
Panorama de la réglementation sur le management par les risques informatiques 6
Impacts de la 8ème directive sur le contrôle interne des systèmes d'information
• La gestion des risques avant et après la 8ème Directive :
Transposition en France de la 8ème Directive européenneAvantAvant AprèsAprès
Panorama de la réglementation sur le management par les risques informatiques 7
Une « best practice »Une obligation
prévue et encadréepar la loi
Ordonnance n°2008-1278
du 8 décembre 2008
Les normes internationales d’audit liées aux systèmes d’information
• Normes ISA les plus directement concernées par les systèmes d’information :
– ISA 240 – Prise en considération de la possibilité de fraudes lors de l’audit des comptes
– ISA 315 – Connaissance de l’entité et de son environnement et évaluation du risque d’anomalies significatives dans les comptes
– ISA 315 – Connaissance de l’entité et de son environnement et évaluation du risque d’anomalies significatives dans les comptes
– ISA 330 – Procédures d’audit mises en œuvre par le Commissaire aux Comptes à l’issue de son évaluation des risques
– ISA 570 – Continuité d’exploitation
– ISA 3402 (ex-SAS 70) – Assurance Reports on Controls at a Service Organization
Panorama de la réglementation sur le management par les risques informatiques 8
Le management par les risques informatiques : des principes à la pratique
19 janvier 2012
Mise en place d’un cadre de management par les risques : les atouts de Risk IT
Jean-Louis BleicherConsultant en management des risques
Principes clés du management par les risques
Stratégie Tactique Organisation
Gouvernance
Amélioration continue
Processus de gestion
Mise en place d’un cadre de management par les risques : les atouts de Risk IT 10
Appréciation
Surveillance
Communication Traitement
Processus de gestion
Normes et référentiels de management par les risques
ISO/IEC ISO 31010
2009
ISO 310002009
Management du risque
Référentiel
NormeFERMA
2003
Management des risques de l’entreprise
COSO ERM2004
Management des risques de l’entrepriseCadre de référence
Mise en place d’un cadre de management par les risques : les atouts de Risk IT 11
ISO/IEC Guide 73
2009
Management du risque -Vocabulaire
2009
Gestion des risques -Techniques d'évaluation
des risques
2009
Management du risque -Principes et lignes
directrices
ISO 270002009
Systèmes de management de la sécurité de l'information -
Vue d'ensemble et vocabulaire
ISO 270012005
Systèmes de management de la sécurité de l'information -
Exigences
ISO 270022005
Code de bonne pratique pour le management de la sécurité de l'information
ISO 270052008
Gestion des risques en sécurité de
l'information
Technologies de l'information
Techniques de sécurité EBIOS
2010
MEHARI2010
CRAMM2005
OCTAVE2007
Modèle Risk IT
3 domaines9 processus47 activités
Gouvernance des risques
Etablir et maintenir une
vision commune des
risques
Intégrer au management
des risques de l’entreprise
Prendre en compte le risque
dans les décisions
affaire/métier
Mise en place d’un cadre de management par les risques : les atouts de Risk IT 12
Objectifs affaire/métier
Communication
Evaluation des risques
Collecter les données
Analyser les risques
Maintenir le profil de risque
Traitement des risques
Exprimer les risques
Gérer les risques
Réagir aux événements
Contenu de Risk IT
• Référentiel Risk IT– Description du modèle (domaines, processus, activités)
– Modèles de maturité, tableaux RACI, objectifs et métriques, éléments d’entrée/sortie
• Guide Utilisateur Risk IT– Guide pratique de mise en place du management des risques – Guide pratique de mise en place du management des risques
informatiques dont • Scénarios génériques et traitement des risques à l’aide de COBIT et Val IT
• Aide à l’évaluation des risques en termes affaires/métiers
– Comparaison de Risk IT avec COSO ERM, ISO 31000 et ISO 27005
• Outils complémentaires du Guide Utilisateur– 7 documents Word d’aide à la mise en œuvre
Mise en place d’un cadre de management par les risques : les atouts de Risk IT 13
Atouts de Risk IT
• Constitue un modèle complet (du pilotage à l’action)
• Couvre l’ensemble des risques liés à l’informatique
• Contient une aide au déploiement et à l’amélioration continue
• Propose une approche réaliste d’appréciation des risques affaires/métiers liés à l’informatique
• Aide au choix des options de traitement des risques
• Enrichit le contrôle interne de l’informatique en s’appuyant sur les bonnes pratiques de COBIT et Val IT
• S’intègre et intègre facilement d’autres normes et pratiques de management des risques
Mise en place d’un cadre de management par les risques : les atouts de Risk IT 14
Risk IT : un modèle d’intégration
RISK IT
COBIT
Val IT
Mise en place d’un cadre de management par les risques : les atouts de Risk IT 15
ISO 31000 COSO ERM RISK IT
ISO 27000
CRAMMEBIOS
MEHARIOCTAVE
CMMIPMBOK
ITIL
Le management par les risques informatiques : des principes à la pratique
Les formations et certifications
19 janvier 2012
Les formations et certifications au management par les risques informatiques
Camille Rosenthal-SabrouxProfesseur à l’Université Paris Dauphine
Jean-Luc AustinDélégué Général de l’AFAI
Formation Université Paris Dauphine
• Master Systèmes d’Information de l’Entreprise Étendue : Audit et Conseil– Créé en 2001 avec l’appui de l’AFAI et de ses partenaires
(CIGREF, IFACI, Ordre des Experts Comptables, Compagnie Nationale des Commissaires aux Comptes)
– Formation continue des professionnels confirmés, initiale et en – Formation continue des professionnels confirmés, initiale et en apprentissage des futurs professionnels, aux techniques et méthodes de l’audit et du conseil dans le domaine des systèmes d’information de l’entreprise étendue
– Régulièrement aux premières places des classements (SMBG, Management)
– Orientation maîtrise des risques liés aux SI de l’entreprise étendue
Les formations et certifications au management par les risques informatiques 17
Paris Dauphine Master 2 SIEE : Audit et Conseil
• Le Master 2 comprend 885 heures réparties comme suit :
– Cours à l'université 444 heures sur 11 mois (de septembre à fin décembre et de début avril à juillet) dont
• Séminaire résidentiel « Projet de vie, projet professionnel »
• Semaine internationale à l’Université de Trento• Semaine internationale à l’Université de Trento
– Mission en entreprise : 441 heures (13 semaines) sans enseignement, de janvier à fin mars
Les formations et certifications au management par les risques informatiques 18
Paris Dauphine Master 2 SIEE : Audit et Conseil
• MODULE 1 - Éléments fondamentaux de l’audit et du conseil01 : Principes et concepts fondamentaux de l’audit et du conseil 02 : Les grands outils de base de l’audit et du conseil
• MODULE 2 - Les audits fondamentaux03 : Audit des grands projets 04 : Audit de la sécurité 05 : Audit de la fonction informatique 06 : Audit des applications 07 : Cas d’application 07 : Cas d’application
• MODULE 3 - Connaissances nécessaires à l’auditeur08 : Gouvernance des systèmes d’information 09 : Analyse et conception de systèmes d’information 10 : Introduction au Knowledge Management 11 : Ouverture Internationale
• MODULE 4 – Mission en entreprise12 : Pratique professionnelle - Mission en entreprise
Les formations et certifications au management par les risques informatiques 19
Formations AFAI au management par les risques
• L’essentiel du management des risques (1 jour)– Connaître les concepts et principes du management des risques
– Découvrir les principales normes et les référentiels majeurs de management des risques informatiques
– Connaître les principes, processus et activités de management des risques informatiquesdes risques informatiques
– Appréhender les points clés du management des risques informatiques
• Référentiel et Guide utilisateur Risk IT : contenu et mise en œuvre (2 jours)– Appréhender de manière exhaustive le référentiel et le guide
utilisateur Risk IT
– Aider à la mise en œuvre de Risk ITLes formations et certifications au management par les risques informatiques 20
Formations AFAI préparatoires aux certifications
• Certification ISACA– CRISC : Certified in Risk and Information Systems Control
(3 jours)• Analyser les différents domaines du programme sur lequel porte l’examen
• Assimiler le vocabulaire et les idées directrices de l’examen
• S’entraîner au déroulement de l’épreuve et acquérir les stratégies de réponse au questionnaireréponse au questionnaire
• Certification ISO– ISO 27005 : Information Security Risk Manager (2 jours)
• Acquérir la capacité d’apprécier les risques sur la sécurité de l’information, de les gérer et de les contrôler
• Présenter et comparer les différentes méthodes d’analyse de risques compatibles avec la norme ISO 27005
Les formations et certifications au management par les risques informatiques 21
Le management par les risques informatiques : des principes à la pratique
19 janvier 2012
Le management des risques informatiques en pratique
Stéphanie BenzaquineSenior Manager, Mazars
2 exemples d’interventions pour une meilleure gestion des risques IT
• L’entreprise doit identifier ses zones de risques en matière financière et informatique, évaluer la façon qu’elle a de les maîtriser, afin d’atteindre un niveau d’exigences conforme à toute forme d’audit : audit réglementaire, audit interne, audit externe.
• Cet objectif peut se décliner dans 2 contextes différents, en proposant des réponses adaptées à chaque situation :– Réaliser des diagnostics sur les processus métiers et informatiques déjà – Réaliser des diagnostics sur les processus métiers et informatiques déjà
en place, par exemple dans le cadre d’une pré-certification réglementaire, d’un audit de due diligence,..
• sécuriser les processus métiers et informatiques de l’entreprise • préparer les organisations aux audits externes tels que les commissaires aux comptes,
la Cour des comptes, un acheteur, ou tout autre organisme de contrôle
– Accompagner l’entreprise en phase de projet, afin de réduire au maximum ses risques dès la conception des systèmes
• sécuriser les projets informatiques• implémenter une démarche de gestion des risques IT
Le management des risques informatiques en pratique 23
Diagnostics sur les processus métiers et informatiques déjà opérants
Observation et optimisation des
contrôles embarqués dans les applications
métier
Mise en œuvre d’un système de contrôle en
continu
Mise en place de contrôles
compensatoires métier afin de couvrir les
risques non couverts par le SI
Diagnostiquer les processus métier et IT de
l’entreprise
Le management des risques informatiques en pratique 24
Réaliser des diagnostics de sécurité ou
d’évaluation du niveau de contrôle interne des
processus
Proposer des plans d’actions opérationnels
visant à couvrir des zones de risques
identifiées
Préparer les dossiers de preuves à l’attention des
auditeurs
Préparer les organisations et les
systèmes d’information aux audits externes
Accompagner l’entreprise en mode projet
Concevoir un système d’information au regard
des exigences d’auditabilité et de
traçabilité
S’assurer que le futur SI est conçu de telle manière à pouvoir
démontrer une piste d’audit permanente
Mettre en œuvre les paramètres généraux de
sécurité et d’outils de gestion des habilitations
au regard des bonnes pratiques
Sécuriser les projets informatiques
Le management des risques informatiques en pratique 25
Définir l’organisation cible et les principes de
fonctionnement de la fonction « contrôle
interne IT »
Définition du référentiel de « contrôle interne IT »
Diagnostic sur les différents processus
informatiques et mise en œuvre des plans
d’actions au regard des bonnes pratiques
Implémenter une démarche de gestion des
risques IT
Exemples de missions réalisées pour l’Opérateur National de Paye, en mode projet depuis 2008
• Préparer et assister en qualité d’expert, aux ateliers de conception générale et de conception générale applicative relatifs aux thèmes suivants:– Auditabilité et traçabilité– Mise en œuvre de la piste d’audit (des SIRH des ministères au système comptable et
financier de l’État Chorus)– Définition du référentiel de Contrôle interne, mise en œuvre de l’outil de gestion des risques
et de suivi du contrôle interne RVR
• Définir l’organisation cible et les principes de fonctionnement de la fonction • Définir l’organisation cible et les principes de fonctionnement de la fonction « contrôle interne » de l’ONP
• Assister les MOA et MOE dans l’identification des risques métier à gérer dans le cadre de la conception du SI Paye
• Apporter de l’expertise dans le cadre de l’instruction des points métiers et techniques relevant du domaine contrôle interne / qualité comptable, par exemple : gestion des rejets, intégrité des référentiels, habilitations et règles d’authentification, préparation des phases de reprise sous l’angle de la qualité comptable...
Le management des risques informatiques en pratique 26
Le management par les risques informatiques : des principes à la pratique
19 janvier 2012
Témoignage sur le management par les risques informatiques (secteur public)
Christian MorfouaceChargé de Mission à l’Inspection Générale de l’Agence de Service et de Paiement
AGENDA
1 – Le contexte du secteur public
2 – Deux exemples
3 – L’approche … en tenaille
4 – Les mesures immédiates
5 – Conclusion pour l’avenir5 – Conclusion pour l’avenir
6 – Questions / Documentations
Témoignage sur le management par les risques informatiques (secteur public) 28
1 – Le contexte du secteur public
• Historiquement pour le secteur public : l’Etat est son propre assureur, l’intendance suivra … et l’administration ne se pose pas des problèmes pour l’avenir …
• Récemment, création de la DISIC : une des missions est le pilotage des grands projets SI par les risquespilotage des grands projets SI par les risques
• Domaines des aides communautaires agricoles : l’approche par les risques est prise en compte depuis 20 ans
Témoignage sur le management par les risques informatiques (secteur public) 29
1 – Le contexte du secteur public
• Les marché publics : risques sur la réactivité, la flexibilité, les délais
• Les sponsors : capacité à piloter dans la durée, risques multiples, en particulier budgétaires
• La gestion des RH : 3 risques liés à l’absence de motivation/récompense, à la gestion des carrières, à la mobilité
Témoignage sur le management par les risques informatiques (secteur public) 30
motivation/récompense, à la gestion des carrières, à la mobilité professionnelle et géographique
• Les organisations syndicales : leur posture et leur poids face aux transformations et au changement peut entraîner un risque de blocage du projet
• Le ROI : difficulté d’obtenir le ROI attendu, dans les délais, par la récupération effective des gains de productivité métier
1 – Le contexte du secteur public
• Mise en place dès 1992 d’un SIGC : Système Intégré de Gestion et de Contrôles à base d’un SI informatisé
• Obligations, règlements : ISO, COBIT, …
• Pénalisations financières dissuasives et audits de la commission européenne !
• Analyses de risques pour les dossiers à contrôler (sur place, télédétection) …
Témoignage sur le management par les risques informatiques (secteur public) 31
2 - Deux exemples - N°1
• Dans d’autres domaines la gestion des risques n’est pas sous une forme si élaborée, exhaustive et automatique
• Un petit exemple : extrait d’EOF
Témoignage sur le management par les risques informatiques (secteur public) 32
2 – Deux exemples
• A minima, ce qu’il fallait mettre en risques à statuer :
– des besoins fonctionnels structurants nécessitent impérativement des développements spécifiques, compte tenu du logiciel existant,
– les risques sont très importants car le délai de mise en service impose de ne réaliser aucun développement spécifique.
Témoignage sur le management par les risques informatiques (secteur public) 33
2 – Deux exemples - N°2
• Sur un très gros projet : infaisabilité dans les délais et la qualité requise, le prestataire le garantissant néanmoins !
• Traçabilité quasi notariale, dossier contentieux a priori et solution alternative en parallèle
• Résultat : pas de soucis majeurs non prévus et « remboursement » de la structure de pilotage SI (15 à 20 ETP) par les travaux en sus réalisés à la charge du prestataire
Témoignage sur le management par les risques informatiques (secteur public) 34
3 – L’approche… en tenaille
• En amont : exposés dans le cadre de la veille technologique de sujets plus … sérieux (Lean, risques projets, référentiels, etc.)
• En aval dans le cadre de missions d’audits ou d’inspections générales : mise en évidence de carences dans les bonnes générales : mise en évidence de carences dans les bonnes pratiques, etc.
• Comme pour la qualité et la sécurité, la pédagogie est à base de répétition ! Un exemple ...
Témoignage sur le management par les risques informatiques (secteur public) 35
3 – L’approche… en tenaille
• Analyse selon les 4 chapitres en 34 points du référentiel COBIT : Exemple 7+, 13 x et 14 –
• Détermination des zones de risques maximales et recommandations : plutôt les études, les projets ou les domaines applicatifs et pas tellement la production ou la domaines applicatifs et pas tellement la production ou la sécurité
• Prévention des 3 risques majeurs pour ce cas : financier, humain, rejet utilisateur
Témoignage sur le management par les risques informatiques (secteur public) 36
4 – Les mesures immédiates
• Prise en compte des risques hors sécurité SI de façon plus formelle dans le comité mensuel de gouvernance des SI
• Création d’un groupe de travail sur la gestion des risques : examen des pratiques, propositions, puis utilisation dans certains projets ou domaines applicatifscertains projets ou domaines applicatifs
• Généralisation après validation en comité de gouvernance des SI
Témoignage sur le management par les risques informatiques (secteur public) 37
5 – Conclusion pour l’avenir
• Recherche et mise en place d’un référentiel de gestion des risques
• Intégration d’une comparaison des projets et/ou activités pour objectiver le sujet des risques en amont
• Systématiser cette approche dans la gestion courante des SI - mais pas seulement : via l’audit et le contrôle interne pour les processus métier
Témoignage sur le management par les risques informatiques (secteur public) 38
6 – Questions / Documentations
• Merci de votre attention
• Présentation de Patrick DAILHE lors de la conférence du 07/12/2010 CIO / LE MONDE INFORMATIQUE sur la transformation des SI dans le secteur public
Témoignage sur le management par les risques informatiques (secteur public) 39
On n’exécute pas tout ce qui se proposeEt le chemin est long du projet à la chose
Molière, Le Tartuffe, 1664