Cartographie des risques matinales entreprises mazars

1,038 views
922 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,038
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
19
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Cartographie des risques matinales entreprises mazars

  1. 1. CARTOGRAPHIE DES RISQUES : ENTRE AMELIORATIONDES PERFORMANCES & SECURISATION DESOPERATIONSVendredi 6 juillet 2012, Mazars, Paris -Newsletter n° - Janvier 2013 10SOMMAIRE I. Compte-rendu du 11 décembre 2012II. Revue de presseIII. Agenda Mazars, c’est aussi le partenaire des entreprises de taille intermédiaire ! Avec la mise en place des Matinales Entreprises INTERVENANTS Mazars, à raison de 6 à 7 sessions de petit-déjeuner débat par an, Mazars vous propose un espace de rencontres et déchanges dédié. • Olivier Lenel, Associé Consulting, Grâce à ces rendez-vous, nous souhaitons : Mazars o vous faire bénéficier de notre connaissance des meilleures pratiques de grands groupes ; • Philippe Gaudy, Senior manager o vous apporter des réponses rapides et sur-mesure grâce à notre Consulting, Mazars équipe présente à chaque rendez-vous et prête à répondre à • Christine Cantournet, Directrice chacune de vos interrogations, quelles concernent vos projets de juridique et des risques, Administrateur transformation, la maîtrise de vos risques, vos systèmes de Société Certifié d’information, lexternalisation dun département, votre développement à linternational, la transmission de votre activité, etc... ou la certification de vos comptes ; o vous permettre daccéder à lensemble de nos métiers grâce à notre capacité à mobiliser toutes nos compétences en France et Réservez dès maintenant la date de la à linternational ; prochaine Matinale Entreprises Mazars : o vous donner la possibilité de disposer de benchmark de vos pratiques avec des sociétés de même taille. Le Jeudi 21 mars 2013 sur le thème : Une Newsletter vient compléter ces rendez-vous vous permettant L’Externalisation de la fonction ainsi de vous tenir informé des thèmes abordés, de vous présenter comptable : un outil de création de quelques points dactualité en lien avec le sujet présenté et enfin de valeur ? vous donner la possibilité de réserver dans vos agendas les prochaines dates des Matinales Entreprises Mazars.1
  2. 2. avons fait le choix dune démarche simple mais animée par des profils expérimentés et pertinents auI.COMPTE-RENDU DU 11 plan sectoriel.DECEMBRE 2012 Lenjeu pour les ETI est de dépasser très rapidementLes éléments déclencheurs d’une lexercice cartographique et de trouver le bon dispositif de gestion des risques (organisation,cartographie des risques responsabilisation, processus, ...). Cest un point sur lequel notre témoin, Madame Christine Cantournet aLoin des enjeux de conformité, "cartographier des insisté. Cet objectif doit impérativement êtrerisques" est surtout aujourdhui pour les dirigeants appréhendé dès le lancement de la cartographie, pourdETI un véritable outil de management. Au-delà de la en faire un levier durable de performance.gestion "intuitive" des risques, réaliser unecartographie des risques, avec la juste mesure et laprogressivité qui simposent, c’est : Risques liés aux systèmes d’information : Pourquoi la confiance ne suffit plus ? Vers• une démarche participative, croisant stratégie et un modèle partenarial entre la DSI et les opérations, pour le progrès global de lentreprise, métiers entre collaborateurs dun même périmètre (niveau managérial, métier, fonction, géographie, ...) ; Le système d’information supporte aujourd’hui la plus• une clarification des vulnérabilités éventuelles grande partie des processus métiers et back-office pouvant affecter la réalisation des objectifs d’une entreprise qui évolue dans un environnement : stratégiques, et la performance de lentreprise ; - qui tend vers une évolution accélérée des technologies de l’information ; et• un partage de la réalité des pratiques de terrain - qui expose ainsi l’entreprise et ses actifs à une permettant souvent didentifier certains écarts et surface de risque de plus en plus large. de nuancer lillusion du contrôle absolu ; Or, la nature de ces risques est vaste (fraude,• lanticipation de certaines menaces, pour se confidentialité, image, non-conformité, …) mais donner les moyens den faire des opportunités ; surtout, l’origine de ces risques peut se cacher dans et chaque strate dudit système d’information : processus informatisé manquant de contrôle, données• la possibilité de sinterroger sur la correcte incohérentes, programmes défaillants, bases de allocation des moyens de maîtrise de risques données non sécurisées, gouvernance inadéquate, … aux véritables enjeux, mais également sur leur optimisation. Face au polymorphisme de ces risques informatiques et face aux dommages colatérauxInternationalisation des ETI, innovation, digitalisation, causés aux métiers en cas d’incident informatique,mais aussi accélération et judiciarisation des affaires nous assistons à une prise de conscience plus ouexposent forcément nos entreprises à des sujets moins avancée de l’intérêt pour les métiers ànouveaux. Le contexte de crise vient également considérer l’organisation en charge des systèmesrenforcer limportance de se donner le temps de cette d’information comme un véritable partenaire.réflexion sur les risques et notre expérience nousmontre que les entreprises layant fait en ont tiré des Chez Mazars, nous recommandons la conduite d’uneenseignements réels et se sont données les moyens véritable analyse des risques informatiques commede progresser. point de départ de toute stratégie ou sa déclinaison opérationnelle, plaçant la criticité des processus métierSi les méthodologies à mettre en oeuvre sont au cœur de la démarche et induisant une réflexionaujourdhui plutôt décrites, la qualité de leur mise en commune entre l’IT et ses « clients » pour atteindreoeuvre conditionne le résultat et lintérêt pour les objectifs de couverture des risques.lentreprise. Chez Mazars, nous sommes convaincus Car s’il n’est pas reprochable au dirigeant d’une ETI deque la capacité de la démarche à être internalisée ne pas pallier tous les risques liés à son systèmecorrespond à la cible pour assurer la pérennisation d’information, il l’est de ne pas les connaître !du processus de gestion des risques. Aussi, nous2
  3. 3. Sur cette base, les ETI ne sont pas égales et nous Risques juridiques : une menace de plus enobservons un niveau de maturité très dispersé : plus présente et protéiforme. Comment- celles qui n’adressent que les sujets fonctionnelsquotidiens ; optimiser leur gestion par un meilleur- celles qui ont su réfléchir aux problématiques autres couplage entre opérationnels et juristes ?que fonctionnelles ;- celles qui ont su mettre en place l’organisation pour yrépondre de manière pérenne (organigramme, Dans la multitude de risques auxquels une entrepriseprocédures, …) ; et est exposée, un type de risque ressort comme étant- celles inscrites dans une démarche d’amélioration plus complexe à appréhender et à gérer : le risquecontinue (auto-évaluation, …). juridique. Maîtriser les risques juridiques s’avère être un enjeu majeur tant ces derniers peuvent gravement nuire à l’entreprise, à ses dirigeants, à ses actionnaires, directement ou indirectement, enCette maturité est clairement corrélée avec la place dégradant ses valeurs, ses actifs et son image.accordée à l’organisation en charge du systèmed’information au sein de l’entreprise, au sein dechaque étape du cycle de vie du système Quelle que soit leur taille, les entreprises évoluentd’information. Ces grands principes peuvent ainsiservir d’indicateurs sur le positionnement des ETI : dans un contexte marqué par une incertitude juridique croissante : judiciarisation croissante des la conception des services informatiques requiert relations d’affaires, incertitude face aux évolutions une stratégie ; réglementaires (en France et à l’international), inflation les principes de gouvernance interne sont à réglementaire, complexité sans cesse renforcée du étendre aux partenaires ; Droit, tendance à la pénalisation des fautes commises la gestion des projets informatiques mérite une par les dirigeants d’entreprise… Ces évolutions méthodologie définie et suivie ; affectent les ETI au même titre que de grands le niveau de sécurité intrinsèque des SI est groupes alors qu’elles n’ont pas toujours les perfectible et doit donc être testé ; mêmes moyens pour y faire face. Doivent-elles pour la gestion du sinistre informatique ne s’improvise autant se croire désarmées et impuissantes face aux pas et doit être préparée et outillée ; risques juridiques ? la gestion des accès, liée au principe de séparation des fonctions, constitue le « chat noir » des systèmes d’information et doit faire Selon notre expérience, le « risque juridique » (parfois l’objet d’une réflexion interne et approfondie ; libellé risque de non-conformité ou encore risque la nécessité de satisfaire une conformité réglementaire), figure souvent en bonne place dans réglementaire doit être qualifée comme un besoin les cartographies générales de risques. S’il est et le SI assez agile pour l’intégrer. évoqué, il est toutefois rarement précisément défini et délimité. La complexité du traitement des risques juridiques réside en premier lieu dans la difficulté deEnfin, le principe d’amélioration continue (plan, do, décliner les problématiques juridiques en risquescheck, act) doit s’imposer pour atteindre les objectifs opérationnels sur lesquels il est raisonnablementbusiness supportés par le système d’information et possible d’agir.son organisation.3
  4. 4. Nos convictions en la matière sont les suivantes : II.REVUE DE PRESSEa) Le juriste d’entreprise, sil fixe le cadre à respecter, conseille les opérations et se mobilise pour sauvegarder les intérêts de lentreprise et de ses Risques liés aux systèmes d’information : salariés lorsque le risque est avéré ou presque. Pourquoi la confiance ne suffit plus ? Vers Or, il ne peut pas être présent sur chaque acte de un modèle partenarial entre la DSI et les gestion et chaque décision, cest à dire lors de la prise de risque. Il doit donc pouvoir sappuyer sur métiers des dispositifs qui permettent un dialogue régulier et proactif avec les opérations. Le rapport Bocquel, cité en séance et adopté par lab) Selon notre expérience, les opérationnels commission des affaires étrangères, de la défense et gagneraient, en parallèle, à se sentir plus des forces armées du Sénat, dresse un état des lieux concernés par les enjeux juridiques majeurs de de la cyberdéfense, s’inscrivant dans la ligne des leurs actes ou prises de position. Il est rapports Labordes de 2006 et Romani en 2008. important de leur donner à eux aussi, qui ne sont http://www.senat.fr/rap/r11-681/r11-6811.pdf pour la plupart pas des juristes ou qui ne connaissent pas les textes dans le détail, les moyens de mieux cerner les grands risques juridiques et de sautoévaluer sur leur maîtrise. En illustration du rapport Bocquel, la récente attaque du groupe Anonymous qui a dérobé et diffusé desc) Nos échanges permanents avec les entreprises informations personnelles et professionnelles des nous montrent aussi toute limportance de la banquiers américains. culture du risque, et en particulier du risque http://www.linformaticien.com/actualites/id/27963/les- juridique au sein des organisations. Le risque anonymous-visent-les-banquiers-us.aspx juridique est par essence très diffus, et peut affecter nimporte quel processus de lentreprise. Il impose, outre les dispositifs classiques, un réel développement de cette culture. La panne informatique de la banque RBS, citée en séance, avait pour origine l’implémentation d’uned) Certains outils innovants peuvent venir supporter évolution du logiciel métier. et aider les juristes, dans leur dialogue avec les http://www.reseaux-telecoms.net/actualites/lire-la- dirigeants et les opérationnels, qui sont les panne-informatique-de-la-banque-rbs-coutera-175- premiers concernés par le sujet du fait de leurs millions-de-livres-25073.html actes de gestion. La cartographie des risques juridiques vise très précisément cet objectif de rapprocher les juristes et les opérations sur des enjeux concrets qui exposent les entreprises et constituent autant de points dattention à anticiper, Tout récemment, la fraude de 14 millions d’Euros chez pour mieux maîtriser les risques juridiques. PBM illustre l’attaque par ingénierie sociale. http://www.bfmtv.com/societe/14-millions-deuros- soutires-telephone-a-une-societe-dimport-436434.html Enfin, l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) vient de publier un guide de bonnes pratiques de sécurité à l’attention des entreprises. http://www.ssi.gouv.fr/fr/bonnes- pratiques/recommandations-et-guides/securite-du- poste-de-travail-et-des-serveurs/l-anssi-publie-la- version-finalisee-du-guide-d-hygiene-informatique.html4
  5. 5. III.AGENDA : RESERVEZ D’ORESET DEJA LA PROCHAINE DATEDES MATINALES ENTREPRISESMAZARS !Programme 2013 Informations pratiques Lieu DATE THEME Tour Mazars 61, rue Henri Regnault 92075 La Défense L’Externalisation de la fonctionJeudi 21 mars 2013 comptable : un outil de création de valeur ? Horaires 8h15 : café d’accueil 8h45 – 10h : conférence - débat 10h – 10h30 : questions / réponsesMardi 23 avril 2013 Financement des ETI Contact email : matinales@mazars.fr Comment optimiser votreJeudi 6 juin 2013 BFR ? Retrouvez toute l’actualité des E.T.I. et restez en contact avec Maîtrise des risques nos experts en rejoignant le Club des ETI :Mardi 2 juillet 2013 informatiques Club des ETI CONTACTS Mazars Mazars 61, rue Henri Regnault 92075 Paris - La Défense Cedex Manuela Baudoin-Revert France Associée Audit Phone: +33 (0) 1 49 97 60 00 +33 (0) 1 49 97 65 28 Fax: +33 (0) 1 49 97 00 01 manuela.baudoin-revert@mazars.fr Eric Schwaller Associé Audit +33 (0) 1 49 97 67 21 eric.schwaller@mazars.fr Olivier Lenel Associé Consulting +33 (0) 1 49 97 63 83 Plus de détails disponibles sur olivier.lenel@mazars.fr www.mazars.fr5

×