Le risque informatique: une responsabilité élargie pour l'acheteur
La fonction informatique est devenue cruciale et créatrice de valeurSource: «Innovating for Growth: IT's role in the new global economy», Global IT performance survey 2011, Ernst & Young.. Si le directeur achats a toujours eu un rôle à jouer dans la mise en place des SI, il est aujourd'hui amené à assumer une responsabilité élargie dans la gestion des risques informatiques. Décryptage.
Je m'abonne
@ FOTOLIA / DESIGNER_ANDREA
@ FOTOLIA / DESIGNER_ANDREA
Avec l'accès aux produits et services en ligne, le cloud computing, l'offre SaaS (Software as a Service), les réseaux sociaux, l'explosion de l'informatique mobile via smartphones et tablettes... les SI virtuels, s'ouvrent à l'extérieur, sortent de l'entreprise et font intervenir un nombre important de nouveaux acteurs difficile d'identifier.
@ FOTOLIA / DESIGNER_ANDREA
Hervé de la Chapelle est associé au sein du département IT advisory d'Ernst & Young. Il intervient en accompagnement stratégique et opérationnel de grands projets de transformation des SI et de la fonction informatique.
A nouvelles technologies, nouveaux risques
En perdant la maîtrise physique de leurs composants informatiques, dans un monde plus ouvert et connecté, la DSI et l'acheteur sont confrontés à des risques de plus en plus variés et diffus où la défaillance des systèmes peut avoir de graves conséquences: rupture de l'activité, perte opérationnelle, fuite de données, piratage, impact sur l'image et la notoriété, etc. Les risques informatiques, de plus en plus critiques pour la vie de l'entreprise, sont donc au coeur de l'agenda du DSI. Pour cela, il met en place et anime au quotidien un plan de gestion et de réduction de ces risques en s'entourant d'acteurs clés:
- Les directions métiers définissent les exigences et les besoins des risques à couvrir (continuité opérationnelle, image, etc.) ;
- La direction informatique expose les possibilités techniques ;
- Les juristes interviennent, à leur niveau, dans la logique de contractualisation.
- Les décideurs achats sécurisent les acquisitions, avec une possibilité de les orienter.
Les clés
Connaître la cartographie des risques informatiques - Apprécier les risques liés à une acquisition - Faire de la veille et de la prospection pour évaluer les risques de défaillance des fournisseurs - Ajuster sa stratégie entre fournisseur unique et trop grande multiplication des fournisseurs - Savoir se situer au carrefour des exigences de chacun.
Responsabilité élargie dans la gestion du risque
Les acheteurs doivent endosser une responsabilité élargie dans la gestion des risques informatiques. Leurs compétences se développent donc actuellement sur quatre grands axes:
- Connaître et comprendre la cartographie des risques informatiques pour être force de proposition dans la discussion avec les fournisseurs ;
- Etre capables d'apprécier en quoi chaque acquisition peut contribuer à générer de nouveaux risques, et adapter leurs choix et exigences en fonction ;
- Effectuer un travail de veille et de prospection pour connaître précisément les fournisseurs et les risques de défaillance de ceux-ci ;
- Savoir se situer au carrefour des exigences de chacun en appréciant, au moment de la contractualisation, le meilleur équilibre entre coûts, besoins opérationnels, contraintes techniques et exigences de sécurité.
