savoir, savoir faire, faire savoir : du bon dosage des technologies
Cartographie des risques matinales entreprises mazars
1. CARTOGRAPHIE DES RISQUES : ENTRE AMELIORATION
DES PERFORMANCES & SECURISATION DES
OPERATIONS
Vendredi 6 juillet 2012, Mazars, Paris -
Newsletter n° - Janvier 2013
10
SOMMAIRE
I. Compte-rendu du 11 décembre 2012
II. Revue de presse
III. Agenda
Mazars, c’est aussi le partenaire des entreprises de taille
intermédiaire ! Avec la mise en place des Matinales Entreprises
INTERVENANTS Mazars, à raison de 6 à 7 sessions de petit-déjeuner débat par an,
Mazars vous propose un espace de rencontres et d'échanges dédié.
• Olivier Lenel, Associé Consulting, Grâce à ces rendez-vous, nous souhaitons :
Mazars o vous faire bénéficier de notre connaissance des meilleures
pratiques de grands groupes ;
• Philippe Gaudy, Senior manager
o vous apporter des réponses rapides et sur-mesure grâce à notre
Consulting, Mazars
équipe présente à chaque rendez-vous et prête à répondre à
• Christine Cantournet, Directrice chacune de vos interrogations, qu'elles concernent vos projets de
juridique et des risques, Administrateur transformation, la maîtrise de vos risques, vos systèmes
de Société Certifié d’information, l'externalisation d'un département, votre
développement à l'international, la transmission de votre activité,
etc... ou la certification de vos comptes ;
o vous permettre d'accéder à l'ensemble de nos métiers grâce à
notre capacité à mobiliser toutes nos compétences en France et
Réservez dès maintenant la date de la à l'international ;
prochaine Matinale Entreprises Mazars : o vous donner la possibilité de disposer de benchmark de vos
pratiques avec des sociétés de même taille.
Le Jeudi 21 mars 2013 sur le thème :
Une Newsletter vient compléter ces rendez-vous vous permettant
L’Externalisation de la fonction
ainsi de vous tenir informé des thèmes abordés, de vous présenter
comptable : un outil de création de
quelques points d'actualité en lien avec le sujet présenté et enfin de
valeur ?
vous donner la possibilité de réserver dans vos agendas les
prochaines dates des Matinales Entreprises Mazars.
1
2. avons fait le choix d'une démarche simple mais
animée par des profils expérimentés et pertinents au
I.COMPTE-RENDU DU 11 plan sectoriel.
DECEMBRE 2012
L'enjeu pour les ETI est de dépasser très rapidement
Les éléments déclencheurs d’une l'exercice cartographique et de trouver le bon dispositif
de gestion des risques (organisation,
cartographie des risques responsabilisation, processus, ...). C'est un point sur
lequel notre témoin, Madame Christine Cantournet a
Loin des enjeux de conformité, "cartographier des insisté. Cet objectif doit impérativement être
risques" est surtout aujourd'hui pour les dirigeants appréhendé dès le lancement de la cartographie, pour
d'ETI un véritable outil de management. Au-delà de la en faire un levier durable de performance.
gestion "intuitive" des risques, réaliser une
cartographie des risques, avec la juste mesure et la
progressivité qui s'imposent, c’est :
Risques liés aux systèmes d’information :
Pourquoi la confiance ne suffit plus ? Vers
• une démarche participative, croisant stratégie et un modèle partenarial entre la DSI et les
opérations, pour le progrès global de l'entreprise, métiers
entre collaborateurs d'un même périmètre (niveau
managérial, métier, fonction, géographie, ...) ;
Le système d’information supporte aujourd’hui la plus
• une clarification des vulnérabilités éventuelles grande partie des processus métiers et back-office
pouvant affecter la réalisation des objectifs d’une entreprise qui évolue dans un environnement :
stratégiques, et la performance de l'entreprise ; - qui tend vers une évolution accélérée des
technologies de l’information ; et
• un partage de la réalité des pratiques de terrain - qui expose ainsi l’entreprise et ses actifs à une
permettant souvent d'identifier certains écarts et surface de risque de plus en plus large.
de nuancer l'illusion du contrôle absolu ;
Or, la nature de ces risques est vaste (fraude,
• l'anticipation de certaines menaces, pour se confidentialité, image, non-conformité, …) mais
donner les moyens d'en faire des opportunités ; surtout, l’origine de ces risques peut se cacher dans
et chaque strate dudit système d’information : processus
informatisé manquant de contrôle, données
• la possibilité de s'interroger sur la correcte incohérentes, programmes défaillants, bases de
allocation des moyens de maîtrise de risques données non sécurisées, gouvernance inadéquate, …
aux véritables enjeux, mais également sur leur
optimisation. Face au polymorphisme de ces risques
informatiques et face aux dommages colatéraux
Internationalisation des ETI, innovation, digitalisation, causés aux métiers en cas d’incident informatique,
mais aussi accélération et judiciarisation des affaires nous assistons à une prise de conscience plus ou
exposent forcément nos entreprises à des sujets moins avancée de l’intérêt pour les métiers à
nouveaux. Le contexte de crise vient également considérer l’organisation en charge des systèmes
renforcer l'importance de se donner le temps de cette d’information comme un véritable partenaire.
réflexion sur les risques et notre expérience nous
montre que les entreprises l'ayant fait en ont tiré des Chez Mazars, nous recommandons la conduite d’une
enseignements réels et se sont données les moyens véritable analyse des risques informatiques comme
de progresser. point de départ de toute stratégie ou sa déclinaison
opérationnelle, plaçant la criticité des processus métier
Si les méthodologies à mettre en oeuvre sont au cœur de la démarche et induisant une réflexion
aujourd'hui plutôt décrites, la qualité de leur mise en commune entre l’IT et ses « clients » pour atteindre
oeuvre conditionne le résultat et l'intérêt pour les objectifs de couverture des risques.
l'entreprise. Chez Mazars, nous sommes convaincus Car s’il n’est pas reprochable au dirigeant d’une ETI de
que la capacité de la démarche à être internalisée ne pas pallier tous les risques liés à son système
correspond à la cible pour assurer la pérennisation d’information, il l’est de ne pas les connaître !
du processus de gestion des risques. Aussi, nous
2
3. Sur cette base, les ETI ne sont pas égales et nous Risques juridiques : une menace de plus en
observons un niveau de maturité très dispersé :
plus présente et protéiforme. Comment
- celles qui n’adressent que les sujets fonctionnels
quotidiens ; optimiser leur gestion par un meilleur
- celles qui ont su réfléchir aux problématiques autres couplage entre opérationnels et juristes ?
que fonctionnelles ;
- celles qui ont su mettre en place l’organisation pour y
répondre de manière pérenne (organigramme,
Dans la multitude de risques auxquels une entreprise
procédures, …) ; et
est exposée, un type de risque ressort comme étant
- celles inscrites dans une démarche d’amélioration
plus complexe à appréhender et à gérer : le risque
continue (auto-évaluation, …).
juridique. Maîtriser les risques juridiques s’avère être
un enjeu majeur tant ces derniers peuvent gravement
nuire à l’entreprise, à ses dirigeants, à ses
actionnaires, directement ou indirectement, en
Cette maturité est clairement corrélée avec la place
dégradant ses valeurs, ses actifs et son image.
accordée à l’organisation en charge du système
d’information au sein de l’entreprise, au sein de
chaque étape du cycle de vie du système
Quelle que soit leur taille, les entreprises évoluent
d’information. Ces grands principes peuvent ainsi
servir d’indicateurs sur le positionnement des ETI : dans un contexte marqué par une incertitude
juridique croissante : judiciarisation croissante des
la conception des services informatiques requiert relations d’affaires, incertitude face aux évolutions
une stratégie ; réglementaires (en France et à l’international), inflation
les principes de gouvernance interne sont à réglementaire, complexité sans cesse renforcée du
étendre aux partenaires ; Droit, tendance à la pénalisation des fautes commises
la gestion des projets informatiques mérite une par les dirigeants d’entreprise… Ces évolutions
méthodologie définie et suivie ; affectent les ETI au même titre que de grands
le niveau de sécurité intrinsèque des SI est groupes alors qu’elles n’ont pas toujours les
perfectible et doit donc être testé ; mêmes moyens pour y faire face. Doivent-elles pour
la gestion du sinistre informatique ne s’improvise autant se croire désarmées et impuissantes face aux
pas et doit être préparée et outillée ; risques juridiques ?
la gestion des accès, liée au principe de
séparation des fonctions, constitue le « chat
noir » des systèmes d’information et doit faire Selon notre expérience, le « risque juridique » (parfois
l’objet d’une réflexion interne et approfondie ;
libellé risque de non-conformité ou encore risque
la nécessité de satisfaire une conformité
réglementaire), figure souvent en bonne place dans
réglementaire doit être qualifée comme un besoin
les cartographies générales de risques. S’il est
et le SI assez agile pour l’intégrer.
évoqué, il est toutefois rarement précisément défini et
délimité. La complexité du traitement des risques
juridiques réside en premier lieu dans la difficulté de
Enfin, le principe d’amélioration continue (plan, do,
décliner les problématiques juridiques en risques
check, act) doit s’imposer pour atteindre les objectifs
opérationnels sur lesquels il est raisonnablement
business supportés par le système d’information et
possible d’agir.
son organisation.
3
4. Nos convictions en la matière sont les suivantes : II.REVUE DE PRESSE
a) Le juriste d’entreprise, s'il fixe le cadre à respecter,
conseille les opérations et se mobilise pour
sauvegarder les intérêts de l'entreprise et de ses Risques liés aux systèmes d’information :
salariés lorsque le risque est avéré ou presque. Pourquoi la confiance ne suffit plus ? Vers
Or, il ne peut pas être présent sur chaque acte de un modèle partenarial entre la DSI et les
gestion et chaque décision, c'est à dire lors de la
prise de risque. Il doit donc pouvoir s'appuyer sur
métiers
des dispositifs qui permettent un dialogue régulier
et proactif avec les opérations.
Le rapport Bocquel, cité en séance et adopté par la
b) Selon notre expérience, les opérationnels commission des affaires étrangères, de la défense et
gagneraient, en parallèle, à se sentir plus des forces armées du Sénat, dresse un état des lieux
concernés par les enjeux juridiques majeurs de de la cyberdéfense, s’inscrivant dans la ligne des
leurs actes ou prises de position. Il est rapports Labordes de 2006 et Romani en 2008.
important de leur donner à eux aussi, qui ne sont http://www.senat.fr/rap/r11-681/r11-6811.pdf
pour la plupart pas des juristes ou qui ne
connaissent pas les textes dans le détail, les
moyens de mieux cerner les grands risques
juridiques et de s'autoévaluer sur leur maîtrise. En illustration du rapport Bocquel, la récente attaque
du groupe Anonymous qui a dérobé et diffusé des
c) Nos échanges permanents avec les entreprises informations personnelles et professionnelles des
nous montrent aussi toute l'importance de la banquiers américains.
culture du risque, et en particulier du risque http://www.linformaticien.com/actualites/id/27963/les-
juridique au sein des organisations. Le risque anonymous-visent-les-banquiers-us.aspx
juridique est par essence très diffus, et peut
affecter n'importe quel processus de l'entreprise. Il
impose, outre les dispositifs classiques, un réel
développement de cette culture. La panne informatique de la banque RBS, citée en
séance, avait pour origine l’implémentation d’une
d) Certains outils innovants peuvent venir supporter évolution du logiciel métier.
et aider les juristes, dans leur dialogue avec les http://www.reseaux-telecoms.net/actualites/lire-la-
dirigeants et les opérationnels, qui sont les panne-informatique-de-la-banque-rbs-coutera-175-
premiers concernés par le sujet du fait de leurs
millions-de-livres-25073.html
actes de gestion. La cartographie des risques
juridiques vise très précisément cet objectif de
rapprocher les juristes et les opérations sur des
enjeux concrets qui exposent les entreprises et
constituent autant de points d'attention à anticiper, Tout récemment, la fraude de 14 millions d’Euros chez
pour mieux maîtriser les risques juridiques. PBM illustre l’attaque par ingénierie sociale.
http://www.bfmtv.com/societe/14-millions-deuros-
soutires-telephone-a-une-societe-dimport-436434.html
Enfin, l’Agence Nationale de Sécurité des Systèmes
d’Information (ANSSI) vient de publier un guide de
bonnes pratiques de sécurité à l’attention des
entreprises.
http://www.ssi.gouv.fr/fr/bonnes-
pratiques/recommandations-et-guides/securite-du-
poste-de-travail-et-des-serveurs/l-anssi-publie-la-
version-finalisee-du-guide-d-hygiene-informatique.html
4
5. III.AGENDA : RESERVEZ D’ORES
ET DEJA LA PROCHAINE DATE
DES MATINALES ENTREPRISES
MAZARS !
Programme 2013 Informations pratiques
Lieu
DATE THEME Tour Mazars
61, rue Henri Regnault
92075 La Défense
L’Externalisation de la fonction
Jeudi 21 mars 2013 comptable : un outil de
création de valeur ? Horaires
8h15 : café d’accueil
8h45 – 10h : conférence - débat
10h – 10h30 : questions / réponses
Mardi 23 avril 2013 Financement des ETI
Contact email : matinales@mazars.fr
Comment optimiser votre
Jeudi 6 juin 2013
BFR ?
Retrouvez toute l’actualité des E.T.I. et restez en contact avec
Maîtrise des risques nos experts en rejoignant le Club des ETI :
Mardi 2 juillet 2013
informatiques
Club des ETI
CONTACTS
Mazars Mazars
61, rue Henri Regnault
92075 Paris - La Défense Cedex
Manuela Baudoin-Revert
France
Associée Audit
Phone: +33 (0) 1 49 97 60 00
+33 (0) 1 49 97 65 28
Fax: +33 (0) 1 49 97 00 01
manuela.baudoin-revert@mazars.fr
Eric Schwaller
Associé Audit
+33 (0) 1 49 97 67 21
eric.schwaller@mazars.fr
Olivier Lenel
Associé Consulting
+33 (0) 1 49 97 63 83 Plus de détails disponibles sur
olivier.lenel@mazars.fr www.mazars.fr
5