Les risques dans leur globalité

D’un côté, la gestion des risques et de la conformité; de l’autre, la sécurité et les risques purement IT. Deux mondes jusqu’ici hermétiquement séparés. «Deux groupes qui ne se parlent pas forcément; le premier, en particulier, n’ayant pas de vue sur ce que le risque IT fait peser sur l’entreprise», commente David Milam, en charge des solutions de GRC chez SAP. D’où l’idée de CA Technologies et de SAP d’intégrer leurs solutions respectives de gestion des risques et de gestion de conformité.

Concrètement, les travaux conjoints menés par les deux éditeurs devraient permettre d’intégrer, dans la plate-forme de GRC SAP Business Objects, les informations remontées par certains des grands produits de CA Technologies dont Entreprise Log Manager, CA Introscope et Clarity PPM.

Aujourd’hui, les entreprises exécutent des processus informatiques transversaux, couvrant de multiples domaines -sécurité, disponibilité, gestion des infrastructures et des projets informatiques. Ces derniers soutiennent les processus métier essentiels au bon fonctionnement de chaque entreprise -«procure-to-pay», «order-to-cash», «hire-to-retire», etc. Cependant, la gestion des risques et de la conformité pour les processus IT demeure distincte et séparée de celle des processus métier. Ce qui augmente les coûts et les efforts humains. En outre, les entreprises ne gèrent pas toujours correctement les risques et contrôles informatiques majeurs susceptibles d'avoir un impact métier important. Or, des décisions critiques ne peuvent être prises correctement sans que les efforts de GRC IT ne soient intégrés aux initiatives de GRC d’entreprise.

Or, comme le confirme Tom MC Hale, le vice-président en charge de la sécurité chez CA Technologies, les systèmes d’information sont devenus un élément essentiel des chaînes logistiques des entreprises ou des systèmes de production. «Une défaillance ou la mise en oeuvre d’un nouveau projet IT peut constituer un risque critique pour l’entreprise. Tout le problème est que les priorités, côté IT et côté business, sont différentes. Pour moi, l’IT tend à avoir une vue opérationnelle et en temps réel du risque, alors que le défi pour les gestionnaires des risques métiers est plus stratégique.»

Il fallait donc trouver un moyen de véhiculer le risque spécifique à l’IT vers les gestionnaires métiers. Le principe adopté par les équipes des deux éditeurs est finalement assez simple: définir des indicateurs de risques clés côté IT (KRI - Key Risk Indicators) assemblés, par exemple, sur une base quotidienne, en agrégeant les informations remontées par les outils de monitoring IT. Ces indicateurs sont assemblés par les produits de CA et ingérés par les outils de GRC de SAP dans le cadre de ce que SAP appelle des «bowties».

La première intégration de produits est focalisée sur la supervision de la sécurité, la gestion de projets et de portefeuilles informatiques et sur l’assurance de la performance des services. CA Enterprise Log Manager, CA Clarity PPM et CA Wily Application Performance Management apportent le contenu aux solutions SAP BusinessObjects Risk Management et SAP BusinessObjects Process Control et assurent le «mapping» des frameworks informatiques et métier. Ces frameworks pourront ainsi être surveillés en continu, afin que les problèmes de risque et de conformité puissent être identifiés et palliés proactivement.

«En assurant la supervision continue des contrôles tant au niveau des systèmes que des couches applicatives, les responsables GRC disposent désormais de la visibilité requise pour apporter de la pertinence métier à leur système de GRC IT», complète Jim Dunham, Vice-Président Solutions GRC, SAP.

BT propose de transformer le principe de gestion des risques à partir de processus ad-hoc fragmentés en un concept formel à l'échelle de l'entreprise, permettant d'établir un plan d'action concret à l'aide de prévisions fiables et réalistes.
Prévoir rapporte! Une meilleure gestion des risques et de la conformité peut générer de réels avantages opérationnels et financiers, assure l’opérateur. Sur base de sa propre expérience au sein de son service informatique, BT avance des économies en termes de main-d'œuvre à quelque 30 000 heures par an pour les organisations de sa taille (100 000 employés et plus), soit près d'1,1 million d'EUR.

Le retour sur investissement se traduit notamment par une réduction des dépenses d'infrastructure grâce à de meilleures cotes de crédit; une réduction du capital réglementaire grâce à de meilleurs processus de gestion des risques et, enfin, une réduction des coûts de conformité de l’entreprise grâce à l'utilisation de solutions automatiques et non plus manuelles. «Plus significatif encore: la GRC permet de créer des entreprises plus flexibles, plus sûres, plus constantes et prévisibles en matière de revenus et de performances, dit-on chez BT. Par-delà le ROI, c’est la confiance des actionnaires qu’il s’agit de conforter.»

L’opérateur part de l’idée que sa propre activité consiste précisément à gérer les risques. Il est lui-même hautement réglementé, travaillant avec plusieurs régimes de conformité dans diverses zones géographiques. Et de proposer à ses clients sa propre expérience. Et même si une organisation n’est pas l’autre, BT propose d’élaborer un dossier illustrant les avantages d'une telle solution dans le but de déterminer les domaines susceptibles de générer les meilleurs résultats et le meilleur retour sur investissement possible.

L’offre repose sur BT Cockpit, un outil performant de gestion et de compte rendu, qui fournit toutes les informations nécessaires à l'évaluation, au contrôle et à la gestion des risques. Son complément, RiskPAL (Process and Activity Lifecycle) englobe les éléments clés d'un programme d'amélioration continue -RiskPAL s'inspire du cycle de Deming (Plan-Do-Check-Act), propre à la gestion et au contrôle des risques.

Le modèle d'adhésion est fondé sur une approche «1-10-90», comprenant un atelier d'introduction d'une journée suivi d'une enquête contextuelle de 10 jours, puis d'une série de déploiements de BT Risk Cockpit ou des solutions de traitement des risques de BT sur 90 jours. Ce faisant, BT garantit que le projet se déroule comme prévu et que les coûts ne dépassent pas le budget initial.