Yann Fareau

 La technologie pour maitriser les risques

 L’actualité en matière de sinistres majeurs subis par les grands groupes internationaux, ne se désemplit pas depuis plusieurs mois… Ainsi, la gestion des risques et en particulier le contrôle des risques a le vent en poupe, en essayant d’anticiper, de contrôler et de gérer les aléas. Les technologies proposent des solutionsde GRC (Gouvernance, Risk, Compliance). pour aider à cette maitrise des risques.

 A côté de la Tragédie humaine au Japon (tremblement de terre et tsunami), les entreprises ont été fortement paralysées pendant plusieurs semaines courant avril. Selon le ministre de l’industrie «20% de la production électronique mondiale vient du Japon, et même 70% pour au moins trente secteurs technologiques»; cela a été d’autant plus vrai dans le secteur automobile ; A titre d’exemple, la société Hitachi qui fabrique des débitmètres, un composant électronique essentiel aux moteurs diesel et qui équipent par exemple 68% des voitures vendues par PSA en Europe avait interrompu sa production. PSA a dû annoncer une réduction de la production avec une période de chômage technique en France. Globalement Selon une étude d’IHS la catastrophe naturelle au Japon entrainera une diminution de la production automobile de 585 000 voitures. Même l’IPAD2 a été impacté, avec des retards de livraison de plusieurs mois

 Concernant le vol d’information, il y a eu récemment l’affaire d’escroquerie en bande organisée chez Renault, ainsi que vols de données chez Sony qui ont défié la chronique…

Il faut savoir qu’une étude a valorisé le préjudice de vol de données en entreprise à 1000 milliards de dollars (selon une étude de McAfee). La France figurerait parmi les pays les plus touchés selon la cyber criminologue Laurence Ifrah.

 Dans un registre similaire, en 2008, l’assurance maladie a pu récupérer près de 132 millions d’euros de fraudeurs ; la méthode s’appuyait bien sûr l’analyse du dossier de remboursement faite par un agent d’une caisse régionale d’Assurance Maladie, les signalements et autres dénonciations anonymes, et enfin mais surtout, au travers de renseignements provenant de l’analyse des bases de données informatique.

 En quelques décennies, les opportunités de la mondialisation, associées aux évolutions technologiques et en particulier celles liées à l’information ont permis un redéploiement complet des activités des entreprises. Le paysage de l’entreprise a été bouleversé…

Le revers de la médaille est l’apparition ou l’amplification de facteurs aggravants, comme les interdépendances géographiques, le fonctionnement en flux tendus, les interdépendances opérationnelles et financières, portés par des technologies de plus en plus complexes.

Associé à cela, depuis moins de 20 ans, il y a un renforcement de la responsabilité des mandataires sociaux, en particulier dû au développement des valeurs éthiques suite à des incidents majeurs et à la diffusion rapide de l’information et sa médiatisation, amplifiés par les groupes de pressions.

Le contrôle des risques repose sur trois piliers

Pour tenter des répondre à ces enjeux, il y a eu un renforcement de la gestion des risques et en particulier du contrôle des risques ; ce dernier s’appuie sur trois piliers essentiels qui sont :

• l’anticipation,
• le contrôle,
• la gestion d’aléas.

 Le premier pilier, l’anticipation, est une science dite « molle » qui a pour objet de travailler sur les scénarios de risques « non triviaux » ; c’est à dire ceux qui sont en dehors de notre modèle opérationnel en s’appuyant sur des signaux faibles – en particulier des sujets qui sont abordés alors que rien ne le justifie. Il faut également et surtout se préparer à gérer les crises. En effet la question n’est pas de se dire si cela va arriver, mais quand et avec quelle intensité (par exemple, se préparer à des mouvements comme les révolutions dans les pays arabes ou certaines entreprises ont perdu leurs centres d’appels clients).

Cette préparation se doit d’être concrète, pour acquérir de bons reflexes, plus que de suivre à la lettre une procédure, car le diable se cache dans les détails…

 Le deuxième pilier fait partie d’une des missions essentielles des acteurs du contrôle interne. A savoir à travers la modélisation des processus et activités de l’entreprise, d’identifier les points de contrôle qui permettent à priori et/ou à posteriori de maitriser les écarts par rapport à une situation normale, dite de « références ».

Ce dispositif est régulièrement mis à jour sur la base de l’expérience. Toutefois, à ce jour, de part la réglementation, il y a un empilement des contrôles de conformité, en particulier dans le domaine financier, qui nécessite un investissement en ressource très important, mais qui ne doit pas pour autant laisser penser que l’entreprise maitrise totalement ses risques ; elle pourra toutefois argumenter en cas d’incident qu’elle avait prise les mesures en conformité avec la réglementation actuelle – responsable mais pas coupable…

 Toute maitrise du risque s’appuie sur une prise de risque « plus ou moins consciente, maitrisée et acceptée ».

 Des événements extérieurs peuvent bouleverser le modèle de l’organisme au-delà de ses hypothèses et remettre en questions ses référentiels… Toute maitrise du risque s’appuie à la base sur une prise de risque « plus ou moins consciente, maitrisée et acceptée ». Cette prise de risque, et gestion des aléas doivent être revus sur la base des incidents et expériences de l’organisme, de son secteur d’activité dans le Monde, car l’écosystème évolue et une zone d’aléa acceptable hier, sur la base des hypothèses prises (et en particulier la probabilité de survenance d’une situation) ne l’est plus forcement aujourd’hui (à titre d’exemple : crise systémique du système financier, révolution arabe, Web 2.0).

 L’entreprise doit alors disposer en autre d’une organisation de crise « adaptative » rompue à l’exercice pour en maitriser son déroulement.

 Pour accompagner les entreprises dans cette maitrise des risques, les technologies ont su apporter des réponses au travers des solutions de GRC ou SIGR (Système d’Information de gestion des Risques).

 Les 4 grandes fonctionnalités sont :

 1° Anticipation :

• Analyse des signaux faibles (base incidents et statistiques pour la mise en exergue de futures menaces),

 2° contrôle :

• Maitrise des risques, au travers des mécanismes d’auto-évaluation,
• Plan de traitement, au travers de tableau de bord de suivi des plans d’actions

 3° Gestion des aléas :

• Gestion de crise, au travers de l’organisation de jalons clefs par exemple pour assurer la continuité des activités.

 Sans la technologie, il serait impossible de traiter cette masse d’information décentralisée et manipulée par autant d’acteurs.

 Ces technologies permettent la diffusion d’attendus et la collecte des informations. Comme toutes technologies qui manipulent de l’information, l’essentiel n’est pas tant dans la modélisation (souvent très bien traitée), mais dans la pertinence des données collectées. Et c’est souvent là qu’un effort important doit être réalisé…

Article paru sur  Global Security : http://www.globalsecuritymag.fr/Yann-Fareau-Devoteam-La,20110621,24431.html