Jean-Grégoire Bernard HEC Montreal
Pour limiter les résultats indésirables dans le cadre d’un projet de TI, il importe d’appliquer une méthodologie efficace de gestion du risque et de développer une culture vigilante qui vise l’identification et la résolution de problèmes. Mise en contexte.
En 2002, la division néerlandaise de la filiale Quest de la multinationale ICI implante une solution de gestion de type ERP de SAP pour supporter les processus de sa chaîne logistique. Quest était alors un client de SAP depuis 1972. Au cours des neuf mois qui ont suivi l’entrée en service de la solution, l’entreprise vit des problèmes majeurs quant à l’expédition, la manutention, et le stockage de ses produits à un point tel que l’entreprise a perdu des clients majeurs au début de 2003.
Une grande partie de la solution ERP fut ensuite abandonnée. Les pertes encourues? 45 millions de livres sterling, une perte de 39 % de la valeur boursière de l’entreprise, la démission des chefs de la direction de Quest et de la compagnie mère ICI, et la vente de la filiale Quest à un compétiteur.
En 2005, suite à l’acquisition de la compagnie K-Mart, la compagnie Sears, Roebuck and Co. annule un contrat d’impartition d’une durée de 10 ans et d’une valeur de 1.6 milliard de dollars américains auprès du fournisseur de services Computer Sciences Corp. (CSC), seulement 11 mois après l’avoir signé. Les pertes encourues? 96 millions de dollars américains en frais d’annulation, une relation tendue avec un fournisseur de service, et une dispute légale toujours en cours alors que CSC tente d’obtenir un dédommagement de 80 millions de dollars américains.
Plus tôt cette année, TJX, la compagnie mère des chaînes de magasins Winners et HomeSense, a annoncé avoir été victime d’une faille de sécurité dans ses systèmes. Au moins 45,7 millions de numéros de cartes de crédit et de débit, ainsi que des renseignements personnels, des clients de TJX ont été volés par des pirates informatiques pendant plusieurs années. Les pertes encourues? À ce jour, près de 256 millions de dollars américains, mais certains analystes de Gartner et Forrester prévoient des pertes de 1 milliard de dollars américains.
Bref, il peut être très coûteux de ne pas faire attention aux risques liés aux TI. De plus, ces histoires d’horreur ne sont que la pointe de l’iceberg, la plupart des échecs et des problèmes liés aux TI n’étant pas recensés dans les médias. Que ce soit pour éviter l’échec d’un projet d’implantation de progiciel, la signature d’un contrat d’impartition contraignant, ou des failles de sécurité informatique, la gestion du risque est maintenant devenue une nécessité.
Une gestion du risque adéquate requiert deux éléments. Premièrement, il faut se doter d’une méthodologie rigoureuse et systématique, qui permet d’identifier la nature du risque encouru, d’évaluer son importance, et de stimuler la prise de décision quant aux opportunités d’atténuation. Deuxièmement, l’entreprise doit miser sur une culture vigilante, où la communication est fréquente et honnête, où les contributions de chacun sont respectées, et où l’expertise a plus de valeur que l’autorité.
Une méthodologie rigoureuse
La gestion du risque lié aux TI nécessite une approche différente de celle qui peut être adoptée pour gérer le risque financier d’une entreprise. Puisque les données historiques et les balises permettant les comparaisons sont rares, une méthodologie particulière est requise pour évaluer le risque, telle que celle développée par mes collègues Benoit Aubert, Suzanne Rivard, et Michel Patry de HEC Montréal.
Une méthodologie de gestion du risque commence généralement par l’identification des résultats que le projet cherche à accomplir ou à éviter. Par exemple, pour l’implantation d’un progiciel de gestion intégrée comme SAP ou Oracle, il y a le respect de l’échéancier ou du budget. Une fois que les résultats du projet sont énumérés, il faut attribuer à chacun de ces résultats, une cote représentant l’impact que pourrait avoir la réalisation de ce résultat indésirable.
Deuxièmement, il faut identifier les facteurs qui peuvent influencer la probabilité que ces résultats ne se concrétisent pas. En d’autres mots, il faut définir les caractéristiques de ces projets, comme la complexité des processus et l’expertise de l’équipe de projet. Ces facteurs proviennent généralement soit de la nature du projet ou du contexte dans lequel le projet est mené. Certains facteurs de risque sont plus influents envers un résultat plutôt qu’un autre, c’est pourquoi il est important d’identifier les liens qui existent entre les facteurs et les résultats indésirables.
Troisièmement, il faut attribuer une cote à chaque facteur de risque qui reflète la présence ou l’absence de ce facteur pour le projet. Cette cote se substitue à l’usage des probabilités, que la recherche en psychologie cognitive démontre que nous avons de la difficulté à interpréter intuitivement.
Cette procédure permet d’obtenir une carte d’exposition au risque à partir de laquelle il est possible d’effectuer des arbitrages entre les différents résultats indésirables du projet. C’est à ce moment qu’il est possible d’évaluer l’efficacité de différentes pratiques de gestion pour réduire le risque.
Certaines pratiques de gestion permettent d’atténuer la probabilité qu’un résultat indésirable se réalise. Par exemple, augmenter le budget de formation des utilisateurs permet de réduire la probabilité de résistance à l’utilisation du progiciel.
D’autres pratiques permettent d’atténuer l’impact d’un résultat indésirable sur la viabilité de l’entreprise. Par exemple, la prise d’une assurance en cas de sinistre ou la mise en place de plans de contingences permettent de réduire l’impact de la concrétisation d’un sinistre, mais n’affectent en rien la probabilité d’un sinistre.
Cette méthodologie peut être accomplie par quelques experts, ou encore par le biais d’un comité de représentants des unités d’affaires impliquées dans le projet ou le système à l’étude. Il est important cependant d’effectuer un suivi et de mettre à jour régulièrement l’évaluation du risque. Utilisée activement, la méthodologie devient un véritable tableau de bord qui permet de rechercher les problèmes inattendus et de prévenir leur escalade.
Plusieurs études menées par les chercheurs de HEC Montréal et du CIRANO ont permis d’identifier les facteurs de risque liés à l’impartition de services informatiques (a), à l’implantation de progiciels de gestion intégrée (b), et aux risques d’affaires (c).
Une culture vigilante
Une entreprise ayant une culture propice à la gestion des risques aura tendance à valoriser les trois pratiques suivantes.
1 La communication est fréquente, honnête, opportune, et axée sur la résolution de problèmes. Pour s’assurer de conserver un portrait global et complet du risque, il est important de faciliter une communication ponctuelle entre chacun des acteurs impliqués dans le projet à l’étude.
Il est malheureusement très facile de sous-estimer les besoins en communication, car il est nécessaire de prendre la perspective des autres pour pouvoir comprendre ce que nous tentons de leur communiquer. Or, la recherche en psychologie sociale démontre que nous avons beaucoup de difficulté à prendre la perspective des autres, puisque nous avons tendance à projeter nos connaissances chez autrui. Dans un contexte d’affaires où le temps est compté, où les relations interpersonnelles peuvent être tendues, où les expertises sont hétérogènes, cette difficulté est accentuée.
2 Le respect des contributions de chacun est valorisé. Il est important que le contexte dans lequel se déroule la gestion du risque n’en soit pas un où « on tire sur le messager ». En d’autres mots, il est important que les personnes qui participent à l’exercice de gestion du risque puissent parler sans peur d’être blâmées et en toute confiance; c’est-à-dire qu’ils aient un sentiment de sécurité. La recherche de critiques, des problèmes, et des erreurs est encouragée.
De plus, la notion de respect ne se limite pas à fournir un forum où les opinions dissidentes sont émises sans rétribution; cela signifie aussi être prêt à faire confiance et à considérer ces informations comme légitimes. Si on tire sur les messagers et on entend sans écouter, le silence s’installera et seules les nouvelles qui permettent de faire bonne impression feront surface.
3 L’expertise a plus de valeur que l’autorité. Pour que la gestion du risque soit une réussite, il est aussi important que les solutions aux problèmes soient sollicitées auprès de ceux qui ont le plus d’expertise pour les résoudre et non auprès de ceux qui ont le plus d’autorité dans la hiérarchie du projet ou de l’entreprise. Cela signifie que l’opinion d’un technicien ou d’un analyste à propos d’une vulnérabilité ou d’un facteur de risque peut avoir préséance sur celle d’un directeur. Cette approche n’est pas facile à réaliser en pratique, mais les entreprises qui maîtrisent la gestion du risque la chérissent.
L’adoption active d’une méthodologie pour la gestion des risques est un effort important, mais insuffisant pour assurer son efficacité. La gestion des risques est une activité qui demande un certain apprentissage, car elle demande une façon de penser qui n’est pas tout à fait naturelle dans un contexte d’affaires où la prudence est souvent perçue comme de la résistance plutôt que de la vigilance. Il est donc primordial de s’assurer que la culture de l’entreprise ou de l’unité d’affaires soit propice pour ce genre d’exercice. Sinon, l’exercice de gestion des risques sera futile.
(a) Aubert, B.A., Patry, M., Rivard, S. (2001). « Managing IT Outsourcing Risk: Lessons Learned ». CIRANO, Cahier scientifique no.2001s-39. http://www.cirano.qc.ca
(b) Bernard, J.G., Rivard, S., Aubert, B.A. (2002). « L’exposition au risque d’implantation d’un ERP: éléments de mesure et d’atténuation ». HEC Montréal, Cahier de la Chaire de gestion stratégique des technologies de l’information no.02-06. http://www.hec.ca/chairegestionti/cahierschaire.html
(c) Aubert, B.A., Bernard, J.G. (Eds.) (2004). «Mesure intégrée du risque dans les organisations ». Presses de l’Université de Montréal, Montréal, QC.
Jean-Grégoire Bernard est professeur adjoint à HEC Montréal et chercheur au CIRANO, le Centre interuniversitaire de recherche, de liaison et de transfert des savoirs en analyse des organisations.
Le facteur humain est toujours un élément critique dans le déroulement de tous projets. Sa prise en compte et sa gestion sont des impératifs aussi critiques que stratégiques. Le facteur humain est assez puissant et insidieux pour faire échouer le mieux géré des projets, mais dont les gestionnaires tentent justement d’ignorer sa dimension humaine.
Gérard Blanc
L’analyse de risque, un élément fondamental de la sécurité informatique
Trop souvent négligée, particulièrement par la PME, l’analyse de risque n’en constitue pas moins un outil essentiel dans la chaîne de la sécurité informatique.
Philippe Giroux
Risk management et informatique étudiés par l’AFAI
L’AFAI (Association Française de l’Audit et du Conseil Informatique) a mis à jour son étude sur les risques informatiques dans la démarche de « risk management », essentiellement dans les très grandes entreprises.
Le Clusif met en garde contre les faiblesses humaines
Le Clusif (Club de la Sécurité des Systèmes d’Information Français) a organisé une réunion de sensibilisation sur les techniques d’attaques non-technologiques qui seraient en forte expansion. Regroupées sous le terme de « social engineering », ces attaques visent à obtenir des informations utiles qui seront utilisées, par exemple, pour mener une attaque plus classique sur le SI.
Bertrand Lemaire
Nous avons rassemblé pour vous des sites de référence et des documents d’information qui vous permettront d’en savoir plus sur la gestion du risque.
Le Centre de la sécurité des télécommunications, un organisme du gouvernement du Canada, a publié une Guide de la gestion des risques d’atteinte à la sécurité des technologies de l’information. Bien que le guide date d’une dizaine d’années, il est néanmoins intéressant du point de vue des principes et de l’approche.
Le ministère américain du commerce chapeaute un organisme responsable des normes et des technologies, le National Institute of Standards and Technology qui a élaboré un guide pour la gestion des risques relatifs aux systèmes de technologies de l’information.
De nombreuses firmes ont choisi d’impartir l’exploitation de leurs technologies de l’information. Bien que l’impartition permette de retirer des bénéfices importants, elle comporte certains risques. Les professeurs Suzanne Rivard, de HEC Montréal, et Bouchaib Bahli, de l’Université Concordia se sont penchés sur la question il y a quelques années dans un rapport qui propose une définition du risque d’impartition dans laquelle le risque se conçoit comme un ensemble formé de scénarios, de la probabilité d’occurrence de chaque scénario, de l’impact de chaque scénario et des mécanismes de mitigation se rapportant à chacun.
Le Software Engineering Institute (SEI) de l’Université Carnergie-Mellon, bien connu pour le modèle CMMI, a créé un mini-portail qui rassemble une foule d’information sur le concept de gestion de risque en TI
La firme Infosec Technologies a fait un répertoire de différents sites de référence en matière de gestion du risque dans le contexte des projets de TI.
L’encyclopédie en ligne Wikipedia consacre, bien sûr, des pages (ici en français et ici en anglais) à la gestion du risque. Le contexte est toutefois plus général (la gestion du risque est souvent associée au milieu financier, et en particulier au monde bancaire), mais les principes s’appliquent généralement à tous les domaines.
Nos collègues de l’édition australienne du magazine CIO ont réalisé récemment une série de trois articles sur la gestion des risques des projets. Le premier article donne une perspective générale, le deuxième aborde les facteurs critiques du succès et le troisième analyse les risques de conception des solutions.
L’édition américaine du même magazine regroupe tous ces articles qui touchent de près ou de loin la gestion du risque en TI sur cette page.
