Piloter le RISQUE NUMERIQUE
Pour certaines entreprises, le numérique représente une évolution vers des outils plus performants qui d’une part amélioreront leur efficacité et d’autre part faciliteront leurs interactions avec les clients. Pour d’autres, c’est une révolution qui cause un changement profond dans l’organisation et la manière de travailler : nouvelles compétences, nouveaux outils, nouveaux comportements.
Quoiqu’il en soit, l’utilisation de la Data ainsi que le développement de l’intelligence artificielle et du cloud sont au cœur de cette transformation digitale.
La transformation digitale rend incontournable l’intégration du risque numérique dans la cartographie des risques du Risk Manager. C’est un véritable défi à relever pour les entreprises, ce risque pouvant être externe à l’entreprise (Cyber risk) ou interne (puissance des architectes IA, transparence SI, RGPD …). Ce risque ne peut être cantonné à l’aspect technique car la gravité de ses conséquences peut entrainer des dommages irréparables pour l’entreprise.
Face à la montée en puissance des cybers attaques (+ 70% ces 5 dernières années - coût moyen de 8 millions€ Les Echos 1er Avril 2019), il ne s’agit plus de se contenter de répondre mais de prévoir et s’organiser pour en limiter les effets.
Pour cela, quatre étapes :
https://www.ssi.gouv.fr/
a. Mettre en place une gouvernance du risque numérique
Tout en respectant le concept des 3 lignes de défenses en matière de contrôle interne et de gestion des risques, iI s’agit pour l’entreprise de sensibiliser l’ensemble de ses collaborateurs et pour les grandes entreprises d’avoir un comité dédié au risque numérique.
b. Comprendre le risque numérique et s’organiser
L’accent est mis sur la compréhension de l’exposition au risque numérique. La réalisation d’une cartographie des risques numériques est essentielle pour identifier chaque métier de l’entreprise les systèmes d’information ainsi que les traitements et données essentiels, comprendre les interactions et intégrer le cadre réglementaire s’y rapportant.
Parallèlement, l’entreprise définit son appétence au risque numérique, c’est-à-dire son seuil d’acceptation ainsi que les scénarii de risque.
c. Bâtir sa protection
Les nouvelles technologies étant de plus en plus complexe, les implémenter correctement évite d’être exposé. D’où l’importance de faire certifier ses systèmes d’information en termes de sécurité et de sensibiliser les salariés souvent cible des attaques, ce qui constituera la base de la défense contre les risques numériques.
D’autres mesures complémentaires :
. bien évaluer ses prestataires SI et rédiger ses contrats avec soin
. distinguer les usages numériques personnels et professionnels
. sécuriser la gestion des accès aux services vitaux et essentiels
. protéger les locaux de l’entreprise
c. Piloter son risque
Dans cette dernière phase, l’objectif est de continuellement mettre à jour sa cartographie des risques numériques à partir d’une veille régulière, d’analyser les risques émergents ainsi que leur impact potentiel sur l’entreprise.
Cette culture du risque numérique est l’affaire de tous au sein de l’entreprise, chacun doit donc en comprendre les impacts, être formé et disposer d’outils de sécurité.
Une gouvernance des risques agile et ainsi affuté est en mesure de prévenir les risques numériques, dans la mesure du possible, et de mettre en place des plans de continuité d’activité adaptés apportant un bon niveau de résilience.
Aziz COULIBALY, Rim HARIR, Bachir MBODJ, Malek NAJJAR, Kévin SISOUPHAN
Etudiants en MBA Risque Contrôle Conformité à l'ESAM
- Views2333