Michel Richard, associé Ernst & Young: «Élaborer un plan de gestion de risques repose entre les mains de l'acheteur»
Publié par Sihem Fekih le
Michel Richard, associé Ernst & Young, met en évidence la nécessité d'un plan de gestion des risques informatiques pour les entreprises. Un éclairage qui fait suite à la dernière enquête du cabinet.
Concrètement, quelle est l’utilité d’un plan de gestion de risques informatiques, comparé au déploiement d’un logiciel antivirus sur le réseau de l’entreprise?
Ce plan représente une cartographie complète des risques. Il permet notamment d’identifier des scénarios d’incidents et de mesurer leur impact, par exemple sur l’image de l’entreprise ou sa notoriété. Un antivirus est, quant à lui, un outil palliatif qui lutte contre l’intrusion des parasites virtuels qui peuvent mettre à terre le réseau de l’entreprise. Il agit à un instant T.
Il s’agit d’un plan d’action de réduction des risques, s’appuyant sur des probabilités d’incidence et l’estimation des impacts financiers pour l’entreprise. Ainsi, dans le monde du transport, on a besoin d’évaluer la mise hors-service d’une billetterie en ligne pendant deux heures. Tout dépend donc des besoins de l’entreprise en matière de sécurité. En effet, une banque peut décider de consacrer plusieurs centaines de milliers d’euros dans un plan de gestion de risques optimal, chargé de lutter contre la fuite des données personnelles des clients ou encore d’empêcher l’accès frauduleux aux comptes bancaires.
La décision de l’élaboration d’un plan de gestion de risques repose entre les mains de deux acteurs. Il revient au responsable des services informatiques d’imaginer des scénarios de risques qui pourraient potentiellement se produirent. Le directeur achats, lui, intervient lors du processus budgétaire. Il peut y avoir débat entre ces deux métiers quant au choix entre le coût de mise en place du plan ainsi que l’éventualité et la gravité des risques ciblés. Dans ce cas, l’arbitrage peut se faire au niveau de la direction générale si ce risque la concerne directement.