Partie 3 – Gestion des risques : Quels outils les risk managers et acteurs de la transformation numérique doivent-ils avoir dans leur boîte à outils ?

Cet article est également disponible en version vidéo

Découvrez notre formation Executive Certificate Expert en gestion globale des risques à l’ère numérique

Les responsables pédagogiques des formations en maîtrise des risques de CentraleSupelec Exed, Sébastien Delmotte, CEO de MAD-Environnement et Vincent Desroches, chef de la division Management de la sécurité numérique au sein de l’ANSSI, nous parlent des enjeux de compétitivité et de gestion globale des risques à l’ère numérique.

Méthodes, démarche : les outils à avoir lors de la transformation numérique d’une entreprise

La méthode AGR (analyse globale des risques) et la méthode MCRA (macrocartographie des risques par les audits) ont en commun de modéliser les activités étudiées, d’en fournir des cartographies des risques précises et structurées, d’inclure l’analyse du financement des risques et enfin de fournir des plans d’action de maîtrise des risques. Ces deux méthodes sont déclinables aux risques positifs pour évaluer les opportunités et maximiser les gains, complétées par des méthodes propres aux risques stratégiques, comme les analyses multicritères ou les méthodes atouts-attraits et FCS (facteurs clé du succès), et par les méthodes de retour d‘expérience. Dans le cas où des données et mesures sont disponibles et consolidées, les modèles probabilistes viennent consolider les analyses d’incertitudes pour permettre une meilleure pondération et hiérarchisation des risques et une meilleure répartition des responsabilités.

Concernant les risques numériques intentionnels, l’ANSSI recommande d’utiliser la méthode EBIOS Risk Manager[1], éventuellement adossée à une analyse AGR. EBIOS Risk Manager permet aux dirigeants, directions de projets, directions métiers, acteurs de la sûreté-sécurité et de la transformation numérique, d’appréhender au juste niveau les risques de cybersécurité. Elle combine approche par conformité et approche par scénarios, et alterne entre le point de vue du défenseur (événements redoutés) et celui de l’attaquant (objectifs visés). Elle permet de bâtir des scénarios d’attaques qui prennent en compte l’écosystème métier et numérique. EBIOS permet de déterminer les mesures de sécurité adaptées à la menace et aux enjeux métier de l’organisation, et de mettre en place le cadre de suivi et d’amélioration continue. 

Enfin, la prise en compte native de la sécurité numérique dans les projets peut s’appuyer avantageusement sur une démarche d’homologation de sécurité[2] qui s’intègre dans les rituels des équipes projets, y compris en développement agile[3].

Quel état d’esprit doit guider une démarche une démarche de management global des risques à l’ère numérique ?

Le management des risques à l’ère numérique doit répondre à deux préoccupations en miroir : l’anticipation des aléas et incertitudes d’une part ; l’identification des leviers de démultiplication d’efficacité et des opportunités sous-jacentes d’autre part.

Il doit servir deux intérêts :

• Un intérêt défensif de protection et défense du patrimoine au sens large (sécurité des personnes et des biens, qualité de service, cybersécurité, protection des données, respect de l’environnement…) ;
• Mais aussi un intérêt offensif de conquête de nouveaux marchés et de recherche de compétitivité économique (ex : intelligence économique dont influence).

Les méthodes évoquées ci-dessus ont fait leur preuve, et bien maniées, elles s’intègrent aisément dans l’ADN des organisations en pleine transformation, aussi bien au niveau exécutif (stratégique) que métier (opérationnel, projet).

[1] https://www.ssi.gouv.fr/entreprise/management-du-risque/
[2] https://www.ssi.gouv.fr/entreprise/guide/lhomologation-de-securite-en-neuf-etapes-simples/
[3] https://www.ssi.gouv.fr/entreprise/guide/agilite-et-securite-numeriques-methode-et-outils-a-lusage-des-equipes-projet/