Michel Richard, associé Ernst & Young: «Élaborer un plan de gestion de risques repose entre les mains de l'acheteur»

Michel Richard, associé Ernst & Young

À lire aussi

• Le match de la sécurité remporté haut la main par BlackBerry
• Clés USB: priorité à la sécurité
• Déjouer les pièges de la sécurité informatique
• ATF Gaia, première SSII française reconnue Blancco Gold Partner
• Paris, quatrième ville européenne prisée par les hackers selon Symantec

Concrètement, quelle est l’utilité d’un plan de gestion de risques informatiques, comparé au déploiement d’un logiciel antivirus sur le réseau de l’entreprise?

Ce plan représente une cartographie complète des risques. Il permet notamment d’identifier des scénarios d’incidents et de mesurer leur impact, par exemple sur l’image de l’entreprise ou sa notoriété. Un antivirus est, quant à lui, un outil palliatif qui lutte contre l’intrusion des parasites virtuels qui peuvent mettre à terre le réseau de l’entreprise. Il agit à un instant T.

Comment ce plan est-il construit?

Il s’agit d’un plan d’action de réduction des risques, s’appuyant sur des probabilités d’incidence et l’estimation des impacts financiers pour l’entreprise. Ainsi, dans le monde du transport, on a besoin d’évaluer la mise hors-service d’une billetterie en ligne pendant deux heures. Tout dépend donc des besoins de l’entreprise en matière de sécurité. En effet, une banque peut décider de consacrer plusieurs centaines de milliers d’euros dans un plan de gestion de risques optimal, chargé de lutter contre la fuite des données personnelles des clients ou encore d’empêcher l’accès frauduleux aux comptes bancaires.

La direction achats est-elle en mesure d’intervenir dans la mise en place d’un tel plan?

La décision de l’élaboration d’un plan de gestion de risques repose entre les mains de deux acteurs. Il revient au responsable des services informatiques d’imaginer des scénarios de risques qui pourraient potentiellement se produirent. Le directeur achats, lui, intervient lors du processus budgétaire. Il peut y avoir débat entre ces deux métiers quant au choix entre le coût de mise en place du plan ainsi que l’éventualité et la gravité des risques ciblés. Dans ce cas, l’arbitrage peut se faire au niveau de la direction générale si ce risque la concerne directement.