La gestion de risque informatique, un enjeu business

Les principaux risques informatiques auxquels votre entreprise s’expose et nos conseils pour s’en prémunir

Les entreprises sont de plus en plus confrontées aux risques informatiques. Les chiffres sont tels que 2 PME sur 5 ont déjà été victimes de tentatives ou d’attaques informatiques selon l'enquête de la CPME.

Nos experts vous en disent plus dans cet article sur les potentiels risques à mettre sous contrôle au sein de votre entreprise. Ils vous livrent également leurs bonnes pratiques pour prévenir les cyberattaques et protéger votre système d’information de tout risque imminent.

Externaliser-sa-dsi-visuel-directeur-informatique

Peu importe la taille de son entreprise ou son secteur d’activité, les systèmes d’information revêtent une importance capitale pour la bonne marche de n’importe quel business. Ils sont présents dans tous les métiers de l’entreprise : la production, la comptabilité, les relations clientèles, le marketing ou encore les ventes.

La gestion de risque informatique est donc une mission clé de la direction des systèmes d’information, la DSI. Elle consiste à mener une analyse des risques qui pèsent sur les systèmes ou les projets informatiques de toute l’entreprise. Une méthodologie de gestion des risques informatique va permettre d’identifier ces risques, de les classer et de prendre une série de mesures pour les éviter ou limiter leur dommage lorsqu’ils surviennent.

La gestion du risque informatique va permettre d’augmenter la sécurité globale des infrastructures informatiques et d’optimiser les capacités des systèmes d’information de l’entreprise, au service de la performance business. Découvrez les différents types de menaces à connaître et nos conseils pour une bonne gestion du risque informatique.




Les différents types de risques informatiques à mettre sous contrôle


Avec la croissance exponentielle de l’importance des systèmes d’information dans le milieu professionnel, vient celle des risques associés. Plus les SI sont critiques pour l’activité de l'entreprise, plus les risques doivent être identifiés et maîtrisés.




L’indisponibilité du SI


Une panne matérielle, un virus ou tout autre type d’incident technique peuvent engendrer l’indisponibilité, temporaire ou permanente, de SI cruciaux pour l’activité de l’entreprise (outil de production, canal de vente, système de paiement, etc...).

Plus les potentielles conséquences financières de cette indisponibilité peuvent être lourdes, plus ce risque doit être bien identifié. Il doit être tout autant maîtrisé que l’on soit dans le cas d'hébergement interne des SI ou d’utilisation de services cloud, qu’il ne faut pas croire être systématiquement à l’abri de tels risques.




Obsolescence des applicatifs


L’obsolescence des logiciels utilisés au sein d’une entreprise est un risque majeur. La maintenance et l’évolution régulière des applicatifs est un enjeu de sécurité globale et de compatibilité avec les autres briques du SI.

Un arrêt de maintenance d’un éditeur/intégrateur ou une absence d’évolution des applicatifs sont donc des risques qui peuvent peser sur la continuité de l’activité.




La dépendance à un prestataire ou à une expertise


Ce risque est particulièrement présent lorsqu’un système d’information est insuffisamment documenté et/ou qu’il intègre des solutions très spécifiques, peu maîtrisées par les équipes DSI.

La dépendance à un prestataire externe ou à un unique collaborateur en interne est souvent un risque qui est identifié lorsqu’il survient, c'est-à-dire lorsque le collaborateur quitte l’organisation ou que le prestataire utilise sa position dominante.




Escroquerie et malveillance


Ce risque s’est considérablement accru récemment. Une faille dans la politique de sécurité des systèmes d’information va offrir des opportunités d’attaques de la part d’escrocs : fraude au virement, arnaque au président, ransomware, etc. Le risque porte aussi sur le vol de données confidentielles à des fins malveillantes par des personnes internes à l’entreprise.

Ce risque d’escroquerie et de malveillance peut survenir à la fois en conséquence de failles dans la sécurisation technique des SI, mais aussi de failles humaines, par la non-application des bonnes pratiques par les collaborateurs internes.




La non-conformité réglementaire


Depuis la mise en œuvre du RGPD (Règlement Général Européen de Protection des Données à caractère personnel) ce risque est un peu plus connu, mais encore mal identifié dans les entreprises !

La multiplication des systèmes d’information dans l’activité des oranisations a entraîné une croissance considérable des contraintes réglementaires, notamment au niveau des données personnelles.

La non-conformité réglementaire est donc aussi un risque associé aux infrastructures et projets informatiques à identifier et maîtriser pour ne pas s’exposer à des sanctions financières élevées (jusqu’à 4% du CA dans le cadre d’une violation des règles du RGPD).




Nos conseils pour une bonne gestion de risque informatique


La gestion de risque informatique applique la méthodologie de gestion de risque aux enjeux spécifiques que représentent les systèmes d’information pour l’activité de l’entreprise.




Mener une analyse contextualisée de l’existant


Une analyse amont des risques doit être menée dans le contexte spécifique de l’activité de l’entreprise. Chaque système d’information, en cas d’atteinte, ne va pas générer les mêmes impacts. Par exemple, pour une entreprise de vente en ligne, la panne de quelques heures de son site eCommerce n’aura pas le même impact financier qu’une indisponibilité de 2 jours du logiciel de gestion des congés. La notion de continuité d’activité doit être définie pour mener une analyse des risques informatiques associés.

Une bonne gestion du risque informatique commence par l’identification de tous les risques possibles puis une priorisation de leur traitement. Pour chaque risque, il convient d’évaluer la probabilité de sa survenance et la gravité des impacts associéss s’il survient, selon plusieurs critères : enjeu financier, légal, d’image, etc. Cette analyse croisée permettra de prioriser les risques à maîtriser et définira les éléments essentiels d’une politique de sécurité et de gestion des risques SI.




Formaliser un plan de prévention des risques


Les risques informatiques sont autant liés à des facteurs techniques qu’humains. Ce sont donc ces deux aspects qui doivent être pris en compte dans un plan de prévention des risques. D’un point de vue humain, il est essentiel de sensibiliser les collaborateurs. Des bonnes pratiques, des règles de gestion et des formations sont à mettre en place pour réduire les risques de virus, de phishing et prévenir les autres failles de sécurité liées aux erreurs humaines. Celles-ci doivent être intégrées à la charte informatique de l’organisation.

Sur le plan SI, la stratégie de prévention des risques commence par la définition d’une politique de sécurité, qui doit être renforcée, mais elle passe aussi par une documentation de l’existant, l’identification des solutions pour remplacer les outils en voie d’obsolescence ou encore l’élaboration d’un plan de continuité ou de reprise d’activité.




Comment et à qui confier la gestion du risque informatique ?


Il est indispensable de s’entourer des bonnes compétences internes et externes. La gestion des risques informatiques nécessite une direction des systèmes d'information structurée et composée d’experts. Elle va à la fois définir la politique de gestion des risques identifiés, mais aussi piloter son application en interne, par les nombreux prestataires qui contribuent avec leurs solutions et leurs services au SI de l’entreprise.

Assurer l’analyse de l’existant, la priorisation des risques identifiés, la mise en place de la politique de sécurité et le suivi de sa bonne application par tous est le rôle du Directeur informatique.

Un Directeur informatique externe en Temps Partagé Augmenté peut-être une solution lorsqu’on ne dispose pas d’un tel niveau d’expertise en matière de sécurité des systèmes d’information. Il permettra d’assurer la gestion des risques informatique ainsi que le management des prestataires externes et le pilotage du SI dans sa globalité.

Référence DSI accompagne les PME dans la sécurisation de leurs projets informatiques et de leur système d’information, à travers la gestion du risque informatique grâce à l’expertise de Directeurs des systèmes d’informations en temps partagé augmenté.

Référence DSI est le leader français de la Direction des Systèmes d’Information en Temps Partagé Augmenté. Depuis plus de 10 ans, nous faisons du système d’information un levier de croissance pour les PME & ETI françaises. Nos experts interviennent partout en France en Direction Informatique en Temps Partagé Augmenté, Directeur informatique de Transition et recrutement de DSI. Référence DSI est une entreprise du Groupe Référence.