RSM France
Languages

Languages

Ne laissez pas l'IT vous compliquer la vie

Les évolutions réglementaires, comme les évolutions du marché, peuvent représenter des contraintes pour les entreprises et leur système d'information. A charge pour elles d'en cartographier les risques, de sorte à les maîtriser et d'investir sur le futur.


En IT, comme dans bien d'autres domaines, le risque zéro n'existe pas. S'il ne saurait être utile de tendre vers cet objectif, s'engager dans un plan de maîtrise des risques IT se révèle en revanche indispensable. Et ce bien que ce processus ne soit pas si répandu que cela au sein des entreprises.
« Un sujet de risque IT est nécessairement créateur de valeur, affirme Jean-Michel Mathieu, fort de 40 ans d'expérience en audit des systèmes d'information et senior advisor chez RSM en France depuis janvier 2017. Mais il est frappant de constater qu'une telle idée n'a pas encore fait son chemin auprès des dirigeants d'entreprise. Il y a encore beaucoup à faire pour que ceux-ci admittent d'emblée qu'oeuvrer sur ces thématiques n'est pas une perte d'argent, mais bien un axe d'amélioration, un investissement. » Y compris dans les grands groupes, les plus avancés sur la question avec des comités d'audit et des risques.



Etre Attentives aux « Clignotants »

Comment les entreprises peuvent-elle, justement, appréhenter ces risques? Avant toute chose, elles doivent être attentive à certains « clignotants ». Qu'il s'agisse de bonnes pratiques de contrôle interne (contrôle d'accès, détection préventive, etc.) ou de sécurité informatique, par exmple. «Jusqu'à présent, elles ont essentiellement travaillé leurs lignes de défense, en particulier les grands groupes, relève Jean-Michel Mathieu. Idem pour les petites entreprises, dont le réflexe initial consiste à s'appuyer sur les procédures ou habitudes de travail - généralement non documentées. Quoi qu'il en soit, le sujet est très souvent abordé de façon technologique, alors qu'il pourrait être sensiblement amélioré grâce à une meilleure formation du personnel sur l'usage qu'il est fait du matériel. »


Nécessité de cartographier les risques

A cela s'ajoute les sujets lié à des menaces ponctuelles ou des questions réglementaires. En attestent deux événements majeurs de l'année 2017 : les attaques répétées de cybercriminalité (certaines obligeant même des groupes à interrompre leur activité) et l'annonce de la prochaine entrée en vigueur du Règlement général sur la protection des données (RGPD), pour lesquels l'impréparation est flagrante.

« Ces deux faits marquants mettent en évidence l'importance de la fonction de Responsable de la sécurité des systèmes d'informations (RSSI), mais aussi le fait qu'ils doivent avoir l'attention des dirigeants ainsi que les moyens de leur action », analyse Jean-Michel Mathieu. En ligne de mire : la nécessité de cartographier en permanence les risques auxquels l'entreprise peut être confrontée, afin d'être parée à toute éventualité. Cela est d'autant plus important qu'au quotidien, d'autres questions se posent, comme l'automatisation des processus (au sujet desquels on constate une grande résistance au changement, en France), l'aide au choix des solutions ERP ou encore la mise en place d'un plan de continuation d'activité. Autant d'axes de progrès que les entreprises peuvent s'approprier.

 

Si vous avez des questions spécifiques, vous pouvez contacter nos bureaux.

Pour nous contacter