GRC

Gouvernance et gestion des risques (en anglais Governance, Risk and Compliance ou GRC) est un terme de plus en plus fréquemment utilisé, décrivant une approche intégré de ces domaines.

Gouvernance
La gouvernance est l’ensemble des processus, réglementations, lois et institutions influant la manière dont l’entreprise (ou tout autre institution) est dirigée, administrée et contrôlée. En d’autres termes, un système de gouvernance est sensé permettre aux ayants droit et partenaires d’une institution de voir leurs intérêts respectés et leurs voix entendues dans le fonctionnement de celle-ci.

Directement décliné des principes de gouvernance d’entreprise, la gouvernance des technologies de l’information (en anglais IT Governance), est un dispositif visant à réguler et optimiser le management des systèmes d’information d’une organisation.

Gestion des risques
Un "danger éventuel, plus ou moins prévisible, inhérent à une situation ou à une activité" est un risque. En droit c'est l'"éventualité d'un événement futur, incertain ou d'un terme indéterminé, ne dépendant pas exclusivement de la volonté des parties et pouvant causer la perte d'un objet ou tout autre dommage". D'où l'assurance tous risques, mais le risque zéro n'existe pas. Cependant le risque renvoie à l'aléa, au danger, à la menace, au péril. Alors, comment donc l'éviter, le réduire, l'éliminer ?

Ainsi questionné, la gestion des risques est le processus par lequel une organisation identifie, évalue et maîtrise les risques qui pèsent sur les actifs de l’entreprise, ses valeurs au sens large, y compris, et peut-être même avant tout, sur son personnel. Le degré ou la matérialité des risques peut être atténué par la mise en place de contrôles.

Au-delà de la gestion financière des risques et du clivage risques financiers/non financiers, l'analyse approfondie des risques de l'entreprise impose une veille étendue qui peut s'assimiler à de l'intelligence économique. Cette prévention des risques pesant sur les actifs aboutit à établir une grille des risques avec à chaque fois des veilles ciblées adaptées à chaque type de risques (politique, juridique, social, environnemental, etc.).

Le phénomène de cause à effet est de plus en plus délicat à analyser avec l'effet systémique que peut présenter désormais la mondialisation financière et l'économie ouverte ou globalisée.

ERP ou PGI

Un Progiciel de gestion intégré (PGI) (en anglais Enterprise Resource Planning ou ERP) est un « logiciel qui permet de gérer l'ensemble des processus opérationnels d'une entreprise, en intégrant l'ensemble des fonctions de cette dernière comme la gestion des ressources humaines, la gestion comptable et financière, mais aussi la vente, la distribution, l'approvisionnement, le commerce électronique. »

Le terme ERP provient du nom de la méthode MRP (Manufacturing Resource Planning) utilisée depuis les années 1970 pour la gestion et la planification de la production industrielle.

Le principe fondateur d'un ERP est de construire des applications informatiques (paie, comptabilité, gestion de stocks…) de manière modulaire (modules indépendants entre eux) tout en partageant une base de données unique et commune. Cela crée une différence importante avec la situation préexistante (les applications sur mesure existant avant les ERP) car les données sont désormais supposées standardisées et partagées, ce qui élimine les saisies multiples et évite (en théorie) l'ambiguïté des données multiples de même nature.

L'autre principe qui caractérise un ERP est l'usage systématique de ce qu'on appelle un moteur de workflow (qui n'est pas toujours visible à l'utilisateur), et qui permet, lorsqu'une donnée est entrée dans le système d'information, de la propager dans tous les modules du système qui en ont besoin, selon une programmation prédéfinie.

Ainsi, on peut parler d'ERP lorsqu'on est en présence d'un système d'information composé de plusieurs applications partageant une seule et même base de données, par le biais d'un système automatisé prédéfini éventuellement paramétrable (un moteur de workflow).

Les ERP/PGI (opposés aux applications dédiées) présentent plusieurs avantages :

  • optimisation des processus de gestion (flux économiques et financiers) ;
  • cohérence et homogénéité des informations (un seul fichier articles, un seul fichier clients, etc.) ;
  • intégrité et unicité du Système d'information ;
  • partage du même système d’information facilitant la communication interne et externe ;
  • minimisation des coûts : pas d’interface entre les modules, synchronisation des traitements, maintenance corrective simplifiée car assurée directement par l'éditeur et non plus par le service informatique de l'entreprise (celui-ci garde néanmoins sous sa responsabilité la maintenance évolutive : amélioration des fonctionnalités, évolution des règles de gestion, etc.) ;
  • globalisation de la formation (même logique, même ergonomie) ;
  • maîtrise des coûts et des délais de mise en œuvre et de déploiement ;

Ce dernier point est essentiel et la mise en œuvre d'un ERP/PGI dans une entreprise est fréquemment associée à une révision en profondeur de l'organisation des tâches et à une optimisation et standardisation des processus, en s'appuyant sur le « cadre normatif » de l'ERP/PGI.

Les ERP/PGI vont pouvoir gérer et prendre en charge :

  • plusieurs entités ou organisations (filiales, etc.) ;
  • plusieurs périodes (exercices comptables par exemple) ;
  • plusieurs devises ;
  • plusieurs langues pour les utilisateurs et les clients (cas des multinationales) ;
  • plusieurs législations ;
  • plusieurs plans de comptes;
  • plusieurs axes d'analyse en comptabilité analytique.

Les ERP/PGI ne sont cependant pas exempts d'inconvénients :

  • d'abord, cela est compliqué à comprendre pour la mise en œuvre (4A de l'IPBL)
  • coût élevé (cependant, il existe des ERP/PGI qui sont des logiciels libres, les seuls coûts étant alors la formation des utilisateurs et le service éventuellement assuré par le fournisseur du logiciel);
  • périmètre fonctionnel souvent plus large que les besoins de l'organisation ou de l'entreprise (le progiciel est parfois sous-utilisé) ;
  • lourdeur et rigidité de mise en œuvre ;
  • difficultés d'appropriation par le personnel de l'entreprise ;
  • nécessité d'une bonne connaissance des processus de l'entreprise (par exemple, une petite commande et une grosse commande nécessitent deux processus différents : il est important de savoir pourquoi, de savoir décrire les différences entre ces deux processus de façon à bien les paramétrer et à adapter le fonctionnement standard de l'ERP/PGI aux besoins de l'entreprise)
  • nécessité parfois d'adapter certains processus de l'organisation ou de l'entreprise au progiciel ;
  • nécessité d'une maintenance continue ;
  • captivité vis à vis de l'éditeur : le choix d'une solution est souvent structurant pour l'entreprise et un changement de PGI peut être extrêmement lourd à gérer.

Une offre « packagée » commence toutefois à apparaître, avec des produits d'inspiration bureautique, reposant sur les bases de données les plus diffusées du marché : MSSQL, MySQL, Oracle, DB2. Ces produits sont généralement diffusés par des éditeurs spécialisés en Gestion de la Production. Les inconvénients cités ici sont alors moindres.

De plus, l'émergence récente de plusieurs ERP libres permet de minimiser les inconvénients de coût (liés à l'acquisition des licences logicielles), de rigidité et surtout de captivité. L'utilisation de formats ouverts facilite également les échanges de données, en interne et vers l'extérieur.

Pour finir, la pérennité de l'éditeur est un élément majeur à vérifier avant de s'engager dans un projet ERP. Le vrai coût est celui du temps passé en interne, plus que celui de l'achat des licences. La validité du modèle économique du partenaire retenu, dans le temps, est un critère fondamental. Quel que soit le produit retenu, à méthode de travail égale et périmètre fonctionnel identique, les coûts ne sont pas forcément très éloignés d'une société à l'autre quand on compare les acteurs historiques qui durent dans cet environnement très concurrentiel.

Les progiciels de gestion intégrés permettent à l'entreprise une meilleure maîtrise de ses activités de production. Le paradigme sur lequel ils se basent repose essentiellement sur une optimisation de l'utilisation des ressources, qu'elles soient humaines ou matérielles. Le PGI induit donc une orientation stratégique vers la réduction des coûts comme vecteur essentiel de la création de valeur donc de la croissance de l'entreprise. Ce modèle est critiqué depuis le début des années 1990 car il met l'entreprise (et éventuellement ses fournisseurs) au centre de l'attention, au détriment du client. Les principaux éditeurs de PGI se sont donc efforcés d'intégrer des fonctionnalités marketing afin d'évoluer vers le nouveau modèle de la gestion de la relation client.

Les progiciels de gestion intégrés ont connu leur essor en profitant de l'évolution nécessaire des systèmes d'information pour le passage de l'an 2000 puis pour la mise en place de l'euro. En effet, il était séduisant de remplacer tous les logiciels de gestion de l'entreprise par un intégré offrant « l'état de l'art » plutôt que d'engager des corrections des programmes existants plus ou moins anciens.

Si cette démarche a parfois donné lieu à des démarrages dans l'urgence, l’enjeu de la mise en place d'un PGI aujourd'hui n'est plus de passer l'an 2000, mais d'optimiser la gestion des flux logistiques et financiers de l'entreprise. Dans ce contexte, les logiciels de niche deviennent de plus en plus concurrentiels face à de grands PGI qui, certes, ont une vaste couverture fonctionnelle, mais qui, une fois sortis de leur cœur de métier, traitent de manière plus complexe (voire moyenne) certaines fonctions.

IRM ou SSI

La sécurité des systèmes d’information (SSI) (en anglais Information Risk Management ou IRM) est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires et mis en place pour conserver, rétablir, et garantir la sécurité de l'information et du système d'information.

Les systèmes d'information s'appuient en règle générale sur des systèmes informatiques pour leur mise en œuvre. Ils comprennent les données de télécommunications (voix analogique, voix sur IP…) et dans certains cas, les données sur papier.

De tels systèmes se prêtent à des menaces de types divers, susceptibles d'altérer ou de détruire l'information (on parle d'« intégrité de l'information »), ou de la révéler à des tiers qui ne doivent pas en avoir connaissance (on parle de « confidentialité de l'information »), ou bien par exemple de porter atteinte à sa disponibilité (on parle alors de « disponibilité du système »). Depuis les années 1970, l'accès rapide aux informations, la rapidité et l'efficacité des traitements, les partages de données et l'interactivité ont augmenté de façon considérable — mais c'est également le cas des pannes — indisponibilités, incidents, erreurs, négligences et malveillances en particulier avec l'ouverture sur internet.

Certaines de ces menaces peuvent aussi, indirectement, causer d'importants dommages financiers. Par exemple, bien qu'il soit relativement difficile de les estimer, des sommes de l'ordre de plusieurs milliards de dollars US ont été avancées suite à des dommages causés par des programmes malveillants comme le ver Code Red. D'autres dommages substantiels, comme ceux liés au vol de numéros de cartes de crédit, ont été déterminés plus précisément.

Outre les aspects financiers, des bris de sécurité informatique peuvent causer du tort à la vie privée d'une personne en diffusant des informations confidentielles sur elle (entre autres ses coordonnées postales ou bancaires), et peuvent pour cette raison être sanctionnés lorsqu'une négligence de l'hébergeur est établie : si, par exemple, celui-ci n'a pas appliqué un correctif dans des délais raisonnables.

Indirectement aussi, certaines menaces peuvent nuire à l'image même du propriétaire du système d'information. Des techniques répandues de « defacing » (une refonte d'un site web) permettent à une personne mal intentionnée de mettre en évidence des failles de sécurité sur un serveur web. Ces personnes peuvent aussi profiter de ces vulnérabilités pour diffuser de fausses informations sur son propriétaire (on parle alors de désinformation).

Avant de tenter de se protéger, il convient de déterminer quelles sont les informations sensibles de l'entreprise, qui peuvent être des données, ou plus généralement des actifs représentés par des données. Chaque élément pourra avoir une sensibilité différente. Les actifs contiennent aussi et surtout le capital intellectuel de l'entreprise, qui constitue un patrimoine informationnel à protéger. Il faut évaluer les menaces et déterminer les vulnérabilités pour ces éléments sensibles.

La sécurité peut s'évaluer suivant plusieurs critères :

  • Disponibilité : garantie que ces éléments considérés sont accessibles au moment voulu par les personnes autorisées.
  • Intégrité : garantie que les éléments considérés sont exacts et complets.
  • Confidentialité : garantie que seules les personnes autorisées ont accès aux éléments considérés.
  • Traçabilité (ou « Preuve ») : garantie que les accès et tentatives d'accès aux éléments considérés sont tracés et que ces traces sont conservées et exploitables.

Une fois les éléments sensibles déterminés, les risques sur chacun de ces éléments peuvent être évalués en fonction des menaces qui pèsent sur les éléments à protéger. Il faut pour cela évaluer :

  • l'impact de chaque menace sur chaque élément,
  • la probabilité d'occurrence de ces menaces (ou leur potentialité).

Les principales menaces effectives auxquelles un système d’information peut être confronté sont :

  • Un utilisateur du système : l'énorme majorité des problèmes liés à la sécurité d'un système d'information est l'utilisateur, généralement insouciant ;
  • Une personne malveillante : une personne parvient à s'introduire sur le système, légitimement ou non, et à accéder ensuite à des données ou à des programmes auxquels elle n'est pas censée avoir accès en utilisant par exemple des failles connues et non corrigées dans les logiciels.
  • Un programme malveillant : un logiciel destiné à nuire ou à abuser des ressources du système est installé (par mégarde ou par malveillance) sur le système, ouvrant la porte à des intrusions ou modifiant les données ; des données personnelles peuvent être collectées à l'insu de l'utilisateur et être réutilisées à des fins malveillantes ou commerciales ;
  • Un sinistre (vol, incendie, dégât des eaux) : une mauvaise manipulation ou une malveillance entraînant une perte de matériel et/ou de données.

Une fois les risques énoncés, il est souhaitable de déterminer des objectifs de sécurité. Ces objectifs sont l'expression de l'intention de contrer des risques identifiés et/ou de satisfaire à des politiques de sécurité organisationnelle. Un objectif peut porter sur le système cible, sur son environnement de développement ou sur son environnement opérationnel. Ces objectifs pourront ensuite être déclinés en fonctions de sécurité, implémentables sur le système d'information.

La sécurité d'un système d'information peut être comparée à une chaîne de maillons plus ou moins résistants. Elle est alors caractérisée par le niveau de sécurité du maillon le plus faible.

Ainsi, la sécurité du système d'information doit être abordée dans un contexte global :

  • la sensibilisation des utilisateurs aux problématiques de sécurité, ou dans certains cas « prise de conscience » (les anglophones utilisent le terme awareness) ;
  • la sécurité de l'information ;
  • la sécurité des données, liée aux questions d'interopérabilité, et aux besoins de cohérence des données en univers réparti ;
  • la sécurité des réseaux ;
  • la sécurité des systèmes d’exploitation ;
  • la sécurité des télécommunications ;
  • la sécurité des applications, cela passe par exemple par la programmation sécurisée ;
  • la sécurité physique, soit la sécurité au niveau des infrastructures matérielles (voir la « stratégie de reprise »).

Pour certains, la sécurité des données est à la base de la sécurité des systèmes d'information, car tous les systèmes utilisent des données, et les données communes sont souvent très hétérogènes (format, structure, occurrences, …).

La sécurité des systèmes d'information se cantonne généralement à garantir les droits d'accès aux données et ressources d'un système, en mettant en place des mécanismes d'authentification et de contrôle. Ces mécanismes permettent d'assurer que les utilisateurs des dites ressources possèdent uniquement les droits qui leurs ont été octroyés.

La sécurité informatique doit toutefois être étudiée de telle manière à ne pas empêcher les utilisateurs de développer les usages qui leur sont nécessaires, et de faire en sorte qu'ils puissent utiliser le système d'information en toute confiance. C'est la raison pour laquelle il est nécessaire de définir dans un premier temps une politique de sécurité, c'est-à-dire :

  • élaborer des règles et des procédures, installer des outils techniques dans les différents services de l'organisation (autour de l'informatique) ;
  • définir les actions à entreprendre et les personnes à contacter en cas de détection d'une intrusion ;
  • sensibiliser les utilisateurs aux problèmes liés à la sécurité des systèmes d'informations;
  • préciser les rôles et responsabilités.

La politique de sécurité est donc l'ensemble des orientations suivies par une entité en termes de sécurité. À ce titre, elle se doit d'être élaborée au niveau de la direction de l'organisation concernée, car elle concerne tous les utilisateurs du système.