Chapitre 1 : Aspect et fondement

théorique de l’étude
 Introduction de la première partie :

Pendant plusieurs années, dans le milieu bancaire, le domaine de la gestion et de

maîtrise des risques, n’intéresse principalement qu’à tout ce qui était risque de crédit,
risque de contrepartie ou encore risque de change. La gestion des risques liés au
système d’information dans les établissements financiers était généralement confiée à
des cabinets externes spécialisés en la matière.

De nos jours, cette conception a évolué et les auditeurs internes s’intéressent de plus
en plus aux risques liés au SI, qu’il s’agisse de leur gestion ou bien de leur maîtrise.
De plus, la quasi-totalité des processus d’affaires des banques reposent maintenant sur
des systèmes d’information de plus en plus complexes et généralement automatisés.

Dans cette première partie réservée à la revue de la littérature de notre étude, nous
présenterons la notion de système d’information, ses composantes, sa fonction, les
référentiels de gestion des risques du SI et un aperçu de la méthodologie de gestion
des risques du SI. Par la suite, nous présenterons la notion d’audit interne, les
éléments constitutifs d’un bon dispositif de maîtrise des risques et l’apport de l’audit
interne à la maîtrise des risques informatiques. Nous terminerons par la présentation
de notre modèle d’analyse ainsi que les outils de collecte et d’analyse des données
retenus.

Section 1 : Généralité sur le Système d’information :

Les systèmes d’information évoluent rapidement et sont au cœur de toutes les

activités de l’organisation. En effet, selon GRAEVE & al1, « le système d’information
peut être considéré comme la moelle épinière de l’entreprise, de même que le système
de pilotage en est le cerveau et que le système opérant en est les membres ». Par
ailleurs, DEYRIEUX 2, rajoute que le système d’information peut être considéré
comme la colonne vertébrale de l’organisation.

1
GRAEVE Jean de et POTIER Jean (2001), Système d’information, Management et
Acteurs, Editions Sapienta, Paris, 135 pages.
2
DEYRIEUX André (2003), le système d’information : nouvel outils de stratégie,
direction d’entreprise et direction du système d’information, Editions Maxima, Paris,
135 pages.
De nos jours, on observe une grande dépendance entre les organisations et leur
système d’information. Ainsi, la quasi-totalité des processus de l’entreprise reposant
sur les SI, une attention particulière doit leurs être portée et encore plus en ce qui
concerne les risques susceptibles d’enfreindre leur bon fonctionnement.

1- Notion de système d’information :

Dans cette section, nous allons définir la notion de système d’information, présenter
sa fonction et ses composantes, faire une classification des types de système
d’information et terminer par la distinction entre système d’information et système
informatique

1-1- Définition d’un système d’information :

Plusieurs définitions ont été données au système d’information :

Selon LAUDON & al3 , « un SI se définit comme un ensemble de composantes inter-

reliées qui recueillent (ou récupèrent) de l’information, la traitent, la stockent et la
diffusent afin d’aider à la prise de décision, à la coordination et au contrôle au sein
d’une organisation ». Toutefois, précisons que la diffusion de l’information produite
ne se limite pas exclusivement à de l’organisation. En effet, elle peut également être
faite à l’extérieur de celle-ci dans le cadre de l’entreprise étendue selon PILLOU &
al4.

Complétons alors cette définition avec REIX & al5, pour qui le SI « est un ensemble
organisé de ressources : matériel, logiciel, personnel, données, procédures…
permettant d’acquérir, de traiter, de stocker des informations (sous forme de données,
textes, images, sons…) dans et entre des organisations ». Au regard de ces définitions
données, force est de constater qu’un SI occupe une place de choix dans
l’organisation. Présentons à présent ses fonctions.

3
LAUDON Jane et LAUDON Kenneth (2011), Management des systèmes d’information,
11ème édition, Editions Pearson, Paris, 631 pages.
4
PILLOU Jean-François et CAILLEREZ Pascal (2011), Tout sur les systèmes
d’informations Grandes, moyennes et petites entreprises, 2ème édition, Editions Dunod,
Paris, 189 pages.
5
REIX Robert, FALLERY Bernard et KALIKA Michel (2011), Système d’information et
management des risques, 6ème édition, Editions Vuibert, Paris, 475 pages.
 1-2- La fonction du système d’information dans l’organisation :

La production de l’information peut être considérée comme le rôle principal du SI.

Pour LAUDON & al, cette production tourne autour de quatre (04) activités
principales :

 l’entrée ou l’acquisition : cette activité consiste à collecter et à entrer les

données brutes dans le système. Ces données peuvent être d’origine externe
(fournisseur, client, Etat, marché boursier, etc.), ou interne (Directeur Général,
différents chefs de département, etc.) ;
 le traitement : il s’agit de la transformation (calcul, comparaison, etc.) des
données brutes en informations. Il peut se faire manuellement, c’est-à-dire
traité par l’homme lui-même ou automatiquement, c’est-à-dire effectué par des
ordinateurs (forme la plus courante) ;
 le stockage : le stockage peut être fait sur divers supports. Aujourd’hui,
l’information est stockée dans des disques durs, des serveurs, des CD Room,
clés USB, etc. ;
 la sortie ou la diffusion : c’est la restitution de l’information aux personnes
concernées. Elle peut se faire par voie orale, sur support papier ou par support
numérique (plus efficace que les autres en termes de rapidité).

1-3- Les composantes du système d’information :

Le SI est composé de données, matériels, personnes, logiciels et des procédures selon

DELMOND & al6, Le management du système d’information se construit autour de
ces éléments. Ainsi, distinguons :

 les données : ce sont « des valeurs à l’état brut représentant des événements
qui ont lieu dans ou en dehors des organisations » selon LAUDON & al, Nous
pouvons donc affirmer qu’une donnée est la matière première du SI. Elle
constitue un véritable actif, indispensable au fonctionnement de l’organisation
car tout part d’elle ;
 les personnes : il ne peut avoir de système d’information sans les personnes
d’après REIX & al, On peut distinguer deux catégories de personnes à savoir

6
DELMOND Marie-Hélène, PETIT Yves et GAUTIER Jean-Michel (2008),
Management des systèmes d’information, 2ème édition, Editions Dunod, Paris, 249 pages.
 les utilisateurs du système (employés, cadres) et les spécialistes de sa
construction (analyste, programmateur, etc.). En allant dans le même sens,
pour O’BRIEN7, les personnes peuvent être soient des utilisateurs finaux,
soient des informaticiens. Les utilisateurs finaux ou maîtres d’ouvrage sont
des personnes qui utilisent le SI ou l’information produite et les informaticiens
ou maitres d’œuvres sont quant à eux chargés du déploiement de
l’infrastructure technologique en adéquation avec les besoins des utilisateurs ;
 les matériels : sont considérés comme matériels, les dispositifs physiques
(photocopieurs, scanners, ordinateurs, moyens de communication) plus ou
moins techniques qui permettent de recevoir, d’émettre, de manipuler les
informations. Par ailleurs, les supports de l’information tels que les papiers, les
magnétiques et les optiques sont également inclus selon MONACO8;
 les logiciels et les procédures : généralement, le SI repose sur l’utilisation des
ordinateurs. Pour fonctionner, ces ordinateurs ont besoin de logiciels, c’est-à-
dire des programmes enregistrés qui commandent le fonctionnement
automatisé des machines. La définition des rôles respectifs de la machine et de
l’homme est décrite par des procédures qui constituent la partie dynamique du
SI et assurent la coordination entre les différents acteurs dans l’organisation.

1-4- Distinction entre système d’information et système informatique :

Ces deux concepts étroitement liés prêtent très souvent à confusion. La définition de
l’un est parfois attribuée à l’autre.

Pour DAYAN9 & al et DEYRIEUX, le système informatique est le support technique

du SI et sa partie croissante. Il comprend : les technologies de l’information, les
ordinateurs, les applications, les réseaux et les autres systèmes qui permettent à tous
d’accéder à l’information, de l’analyser, de la créer, de l’échanger et de l’utiliser.

7
O’BRIEN James (1995), Les système d’information de gestion, Editions du Renouveau
Pédagogique, Montréal, 768 pages.
8
MONACO Laurence (2014), Les carrés DCG 8 : Système d’information de gestion
2014-2015, Editions Guialino, Paris, 91 pages.
9
DAYAN Armand (2008), Manuel de gestion, vol.1, 2ème édition, Editions Ellipses/AUF,
Paris, 1088 pages.
En allant dans le même sens, VOLLE10, énonce que le système informatique est «
l’ensemble des moyens matériels et logiciels assurant le stockage, le traitement et le
transport des données sous forme électronique ». Il est ressort donc que le système
informatique est la partie informatisée du SI.

Section 2 : les différents risques liés au système d’information :

Le risque est inhérent à l’entreprise et constitue même son essence. Nous définirons
donc la notion de risque ainsi que ses types

2-1- Notion de risque :

L’utilisation au quotidien des applications et des systèmes liés au à l’activité bancaire

peuvent se révéler être source de risque. Les risques doivent donc être identifiés,
mesurés et maitrisés pour éviter à l’entreprise une perte financière, une affectation de
l’image de marque, et enfin une perte de crédibilité, etc.

2-2- Définition de risque :

Nombreux auteurs ont apporté une définition du risque,

Selon HAMZAOUI11 « le risque est un concept selon lequel la direction exprime ses
inquiétudes concernant les effets probables d’un évènement sur les objectifs de
l’entité dans un environnement incertain ».

Pour une meilleure compréhension de la notion de risque, il existe une équation de

risque générale.

RISQUE = MENACE * IMPACT * VULNERABILITE

o Les «menaces» désignent l’ensemble des éléments (généralement externes)

pouvant atteindre les ressources informatiques d’une organisation

10
. VOLLE Michel (2004), Lexique du système d’information, Club des maitres d’ouvrage des
systèmes d’information & Michel VOLLE, Editions GNU Free Documentations,
Paris, 23 pages.
11
HAMZAOUI, Mohamed et PIGE, Benoît (2005), Audit : gestion des risques d’entreprise et contrôle
interne : page, 243
 o Les «vulnérabilités» expriment toutes les faiblesses des ressources
informatiques qui pourraient être exploitées par des menaces, dans le but de
les compromettre:
o L’«impact» est le résultat de l’exploitation d’une vulnérabilité par une menace
et peut prendre différentes formes : perte financière, affectation de l’image de
marque, perte de crédibilité, etc.

La combinaison de ces trois facteurs fonde Ie «risque», qui permet notamment de

mesurer l’impact financier et/ou la probabilité de survenance d’un événement
indésirable.

2-3- les types de risques :

Les risques liés au réseau informatique peuvent être classées en deux groupes:

- les risques financiers;

- les risques opérationnels.

2-3-1- Les risques financiers :

Nous ne nous attarderons pas sur ce risque car il n’entre pas dans le cadre des risques
que nous étudions.

Le risque financier est celui qui parait le plus évident, dans la mesure où tout
dommage s’accompagne en principe d’une perte et d’une réparation (pour certains, les
entreprises ne connaissent qu’un risque, celui de perdre de l’argent).Il se définit
comme l’événement aléatoire pouvant avoir un impact sur le résultat de l’entreprise et
pouvant affecter son patrimoine. Le risque financier est un risque initial pouvant à son
tour l’occurrence d’autres risques.

2-3-2- Les risques opérationnels :

Les risques trouvent leurs origines dans :

Les causes accidentelles

Les erreurs
La malveillance

2-3-2-1- les risque accidentels :

Les risques accidentels de déclinent en risque matériels, pannes et dysfonctionnement

2 3-2-1-1- les risques matériels :

C’est la destruction totale ou partielle d’un ou plusieurs composants d’un système

d’information (matériel informatique ou de communication, supports de données,
environnement tels que locaux, conditionnement d’air, alimentation électrique,
installation téléphonique, ...) suite à des événements comme un choc, la coupure de
câbles électriques ou téléphoniques, l’incendie, l’inondation, la foudre, la tempête,
etc.

2-3-2-1-2- Pannes et dysfonctionnement de matériel ou de logiciel de base :

Généralement, les interruptions de service consécutives à des pannes sont de courte

durée mais ce n’est pas toujours le cas. Des défaillances de matériel ou de logiciels de
base ont provoqué des arrêts de fonctionnement de serveurs importants s’étendant sur
plusieurs jours ouvrables.

2-3-2-2- Risques liés aux erreurs :

Les risques liés aux erreurs s’articulent autour des risques liés aux erreurs de saisie, de
transmission et d’utilisation de l’information, aux erreurs d’exploitation, aux erreurs
de conception et de réalisation

2-3-2-2-1- Les risques liés aux erreurs de saisie, de transmission el d’utilisation

de l’information :

On a tendance à sous-estimer les erreurs de saisie de données. Même après

vérification, elles atteignent couramment un taux de 0,5 %. A tort, on les considère
comme une conséquence inéluctable de l’activité humaine, alors qu’elles sont à
l’origine d’un nombre élevé de problèmes et de pertes pouvant être importantes. De
bons contrôles de vraisemblance des données saisies sont une mesure indispensable

La transmission de données, qu’elle se fasse par transport de supports ou par

télécommunications, est sujette à altération de données ou détournements, sans
compter les transmissions des mauvais fichiers.
 2-3-2-2-2- Les risques liés aux erreurs d’exploitation :

Ces erreurs prennent des formes variées: effacement accidentel de fichiers, supports
ou copies de sauvegarde, chargement d’une version incorrecte de logiciel ou de copie
de sauvegarde, lancement d’un programme inapproprié, ...

II est souvent difficile d’identifier la cause exacte de ces problèmes: faute

professionnelle, malveillance, erreur, négligence, laxisme, Une analyse pointue des
processus et des éléments endogènes ou exogènes, qui ont provoqué l’erreur, prendra
du temps et risque d’être Coûteuse pour l’entreprise.

2-3-2-2-2- Les risques liés aux erreurs de conception et de réalisation :

Alors que le nombre d’erreurs des deux catégories précédentes a tendance à se

stabiliser et même à diminuer, les erreurs de conception et de réalisation sont en forte
augmentation. Il suffit pour s’en convaincre de consulter les publications
internationales qui recensent des dizaines de nouvelles vulnérabilités chaque semaine.

Dans ce sens, des logiciels conçus et réalisés il y a bon nombre d’années sont toujours
utilisés de manière opérationnelle. Leur documentation est souvent inexistante,
incomplète ou mauvaise et n’est plus à jour. Leurs auteurs ne sont plus disponibles
pour assurer la maintenance. La qualité de la programmation est généralement
médiocre. Toute évolution, adaptation ou correction de ces logiciels devient dès lors
une gageure, qui entraîne fréquemment des dysfonctionnements graves et
imprévisibles.

2-3-2-3- Les risques liés à la malveillance :

Les risques liés à la surveillance s’identifient aux risques liés au vol et sabotage de
matériel, aux fraudes, au sabotage immatériel, aux indiscrétions et détournements
d’informations et de logiciel

2-3-2-3-1- Les risques liés au vol et sabotage de matériel :

Les vols portent principalement sur les petits matériels, tels que les ordinateurs
portables et les supports informatiques (disques de serveurs..). La disparition d’un PC
ou d’un serveur peut être lourde de conséquences au cas où celui-ci n’a pas fait l’objet
d’une copie de sauvegarde récente et complète ou encore lorsque celui-ci contient des
données ou programmes confidentiels

Le sabotage va de l’endommagement d’un appareil isolé aux attentats terroristes

détruisant toute une infrastructure.

L’utilisation de matériels hors standards du marché aggrave les conséquences d’un

vol ou d’un sabotage dans la mesure où l’obtention de matériels de remplacement
peut s’avérer plus difficile.

2-3-2-3-2- Les risques liés aux fraudes :

Kenneth Lindup dans son ouvrage The Computer Security And Fraud Prevention
Audit nous décrit les différents risques liés aux fraudes dans un réseau informatique.

La pratique des fraudes est aussi vieille que le monde. L’informatique y a cependant
ajouté de nouvelles dimensions:

 le montant moyen des fraudes informatiques est sensiblement plus élevé que
celui des fraudes traditionnelles ;
 le manque d’enregistrements visibles réduit les chances de détection par
observation fortuite;
 programmes et données peuvent dans bien des cas être modifiés sans laisser de
traces et être effacés avec une rapidité extrême. Il n’est pas rare qu’un fraudeur
efface les fichiers comportant les traces de ses méfaits, ainsi que toutes ses
copies de sauvegarde;
 la sécurité est souvent sacrifiée au profit de l’efficience;
 la complexité de certains systèmes est telle que les utilisateurs ne disposent
plus de la compétence requise pour vérifier l’exactitude des résultats produits;
 les contrôles organisationnels classiques (séparation de fonctions et de
connaissances, doubles contrôles, ...) ont été négligés lors de l’introduction des
nouveaux systèmes;
 de nombreux systèmes informatiques ont été réalisés sans prendre la sécurité
en compte lors de leur conception ;
 le personnel technique peut contourner des contrôles essentiels;

2-3-2-3-3- Les risques liés au sabotage immatériel :

Le sabotage immatériel concerne l’altération ou la destruction, totale ou partielle, des
données, des programmes ou de leurs sauvegardes. Ses conséquences peuvent être
aussi graves et parfois même davantage que celles d’un sinistre matériel, car il peut
provoquer des destructions en profondeur et avoir pour effet de neutraliser pendant un
temps long le fonctionnement du système informatique.

Le sabotage immatériel recouvre diverses notions:

 la modification non autorisée de programmes;

 le cheval de Troie qui est une partie de programme pernicieuse ajoutée à un
autre programme dont le comportement externe paraît normal;
 les bombes logiques, qui sortent leurs effets destructeurs de données ou de
programmes lors de la réalisation d’un événement (p.ex. survenance d’une
date particulière, destruction de fichiers lorsque le matricule de l’auteur
licencié disparaît du fichier du personnel,...). tine forme particulièrement
dommageable de bombe logique consiste à altérer graduellement un nombre
limité d’enregistrements d’une grande base de données. Lorsque le problème
est découvert, parfois au terme de nombreux mois, il y a fort à parier que
l’entreprise ne disposera plus d’aucune copie de sauvegarde fiable et devra
procéder à un contrôle exhaustif et coûteux de l’entièreté
de la base de données;

2-3-2-3-4- Les risques liés aux indiscrétions, détournements d’informations:

Il s’agit d’actes qui ont pour effet que des personnes non autorisées ont accès aux
informations maintenues par le système information. Ces informations peuvent être
des données ou des programmes (correspondances, contrats, secrets industriels, plans
commerciaux, calculs de prix de revient, offres, données personnelles, financières,
médicales,...). Au fur et à mesure que des données de plus en plus confidentielles sont
confiées à des ordinateurs, ceux-ci deviennent les cibles privilégiées de cette forme
actuelle d’espionnage industriel.

Les systèmes-experts font l’objet d’une convoitise particulière car ils contiennent une
part essentielle du savoir-faire et de la politique suivie par une organisation.

Ces accès non autorisés aux données confidentielles de l’entreprise peuvent être
perpétrés par des tiers qui font une intrusion dans le réseau de l’entreprise. Toutefois,
le propre personnel de l’entreprise est souvent à l’origine de ces méfaits. Il devient
courant qu’un employé quitte une entreprise pour se faire engager par un concurrent
ou pour démarrer une activité concurrente, non sans avoir pris soin de copier les
fichiers essentiels qui lui procureront un avantage concurrentiel et déloyal. La
multiplication de supports amovibles de petite taille mais de grande capacité de
stockage, tels que les sticks mémoire ou les disques portables à interface USB, a
grandement facilité la mise en œuvre de ces actes de copiage. Parfois, les fichiers sont
même exportés en annexe à des courriers électroniques transmis par le propre système
de messagerie de l’entreprise victime.

2-3-2-3-5- Les risques liés aux détournements de logiciels :

La copie de logiciels pour PC est une activité qui bat toujours son plein nonobstant les
succès récents de poursuites judiciaires engagées contre les pirates et la diminution de
l’attrait du copiage résultant des baisses de prix consenties par les éditeurs de
logiciels.

Les conséquences pour les établissements bancaires prises en flagrant délit de

détention de programmes illicites sont lourdes. Elles devront en effet s’acquitter de:

o l’acquisition des licences manquantes;

o le paiement d’indemnités pouvant s’élever à 200 % du prix des licences;
o le défraiement des frais de la procédure (frais de justice, d’huissier, d’expert
judiciaire, etc.);

Section 3 : la gestion des risques liés au SI :

3-1- Définition du processus de gestion du risque :

« La gestion est la mise en œuvre de moyens humains et matériels d’une organisation

pour atteindre des objectifs préalablement fixés. La croissance des bureaucraties
professionnelles dans nos sociétés a transformé l’appareil administratif
d’organisations en une puissante machine de gestion des organisations dont les
opérations visent l’efficacité et la prévisibilité dans l’atteinte de ses objectifs. »
(ANDRE-DAVID.J, 2013 : 31)12.

12
ANDRE, David J. Wetherall (2010), Computer Networks, 5th
Selon ROWE 13(2002 : 281) la gestion du risque consiste soit à réduire la probabilité
d’occurrence d’évènement indésirables soit à en réduire l’impact s’ils devaient
survenir.

La gestion des risques a pour but de créer un cadre de référence aux entreprises afin
d’affronter efficacement le risque et l’incertitude. Le processus d’identification,
d’évaluation et de gestion des risques fait partie du développement stratégique de
l’entreprise et doit être conçu et planifié au plus haut niveau, soit au conseil
d’administration. Une approche intégrée de la gestion des risques doit évaluer,
contrôler et faire le suivi de tous les risques auxquels l’entreprise est exposée.

Elle est définie par l’ISO comme l’ensemble des activités coordonnées visant à diriger
et piloter un organisme vis-à-vis du risque. On dégage en général trois finalités à la
gestion des risques pour les SI :

 Améliorer la sécurisation des systèmes d’information ;

 justifier le budget alloué à la sécurisation du système d’information ;
 prouver la crédibilité du système d’information à l’aide des analyses
effectuées.

3-1-1- La politique de gestion des risques au SI :

La politique de gestion des risques de SI est généralement incluse dans la politique de

sécurité des systèmes. Il s’agit d’un document qui présente les buts et les orientations
du management. Une politique de sécurité contient quatre thématiques clés que sont :

 la gestion des risques fondée sur l’évaluation et la réduction des risques ;

 la qualification de l’information fondée sur une classification de l’information
destinée à adapter le niveau de protection de celle-ci ;
 la conformité des systèmes avec les politiques et standards de sécurité en
vigueur ;

Edition, 960 Pages — Etats Unis d’Amérique

13
  la sensibilisation à la politique de sécurité SI fondée sur une communication
adéquate auprès de chaque employé (en modes « push et pull ») ;

La politique de gestion des risques du SI, formule les objectifs du dispositif de gestion
des risques en cohérence avec la culture de l’entreprise, le langage commun utilisé, la
démarche d’identification, d’analyse et de traitement des risques et le cas échéant, le
seuil de tolérance.

3-1-2- Les stratégies de mitigation des risques liés au SI :

Les risques informatiques peuvent avoir d'importantes répercussions sur la réalisation,

le bon fonctionnement et la rentabilité de l’entreprise. Une fois le risque identifié, il
convient de choisir la position ou l’option face à ce risque. En effet, il s’agit des
différentes parades ou postures qu’il est possible d’adopter vis-à-vis du risque par
rapport au seuil de tolérance fixé par le CA. L'atténuation (mitigation) des risques est
une méthode systématique utilisée par la haute direction pour réduire le risque.
L’atténuation des risques peut être atteinte par l'une des options suivantes :

 acceptation du risque : il consiste à accepter le risque potentiel et de

continuer l'exploitation du système informatique ;
 évitement : il s’agit d’éviter le risque informatique en éliminant la
cause et/ou la conséquence des risques (par exemple, renoncer à
certaines fonctions du système ou arrêter le système lorsque les risques
sont identifiés) ;
 mitigation du risque : il s’agit de limiter le risque par la mise en
œuvre des contrôles qui minimiseront l'impact négatif d'une menace et
l'exercice d'une vulnérabilité (par exemple, l'utilisation de soutien, de
prévention, de contrôle de détection). Dans certains cas, il s’agira
simplement de mettre en œuvre des contrôles pour réduire le risque à
un niveau acceptable ;
 transfert de risque : il consiste à transférer le risque en utilisant
d'autres options pour compenser la perte, tels que l'achat d'assurance, la
sous-traitance. Dans la pratique, on observe souvent chez certaines
entreprises que pour atténuer le risque de perte de données, elles
préfèrent faire appel aux sociétés spécialisées dans le stockage des
données. D’autres sociétés font parfois appel aux structures
 spécialisées dans la production de service internet afin de limiter le
risque d’indisponibilité de connexion internet.

3-1-3 Référentiels de gestion des risques du SI :

Plusieurs référentiels existent et gouvernent les systèmes d’information.

De façon générale, « un référentiel est une collection de bonnes pratiques sur un sujet
donné. Lorsque celui-ci fait l’objet d’une large diffusion et qu’il est reconnu sur le
marché on parle alors de standard » (CIGREF14, 2009). Dans le domaine du SI, un
référentiel est un ensemble cohérent et outillé de données du système d’information
de l’entreprise, partagé par une communauté d’acteurs et qui possède les cinq
caractéristiques suivantes :

o centralité : il doit être reconnu comme la référence sur le sujet qu’il traite ;
o stabilité : ses données ne changent pas beaucoup avec le temps ;
o qualité : les processus associés à un référentiel assure une certaine maîtrise de
la fiabilité des données ;
o unité de sens : le sens sémantique de ses données ont une certaine
homogénéité ;
o interopérabilité : il est techniquement coordonné avec le système
d’information et lui procure un certain nombre de services selon BIZINGRE15
& al. (2013 : 13).

C’est dire donc que le référentiel joue un rôle centralisateur et octroie à celui qui s’y
conforme, une validité reconnue. Il est généralement élaboré par une organisation
regroupant un ensemble d’experts. Dans le cadre de notre travail, nous ne
présenterons que ceux qui ont une importance particulière dans le processus de
gestion/maîtrise des risques informatiques.

14
CIGREF (2009), le contrôle interne du système d’information des organisations,
Editions CIGREF, Paris 152 pages.
15
. BIZINGRE Joël, PAUMIER Joseph et RIVIERE Pascal (2013), Référentiel du système
d’information, Editions Dunod, Paris, 317 pages.
 3-1-3-1- COSO (Committee of Sponsoring Organizations of the Treadway
Commission):

Le COSO publie en 1992 une définition standard du contrôle interne et crée un cadre
pour évaluer et améliorer le dispositif de contrôle interne. Pour atteindre ses objectifs,
le COSO 1 a présenté cinq composantes sur lesquelles une organisation peut
s’appuyer. Il s’agit :

 de l’environnement de contrôle ;
 d’évaluation des risques ;
 d’activités de contrôle ;
 d’information et communication ;
 du pilotage
 3-1-3-2 COBIT (Control Objectives for Information and related
Technology):

Publié en 1996 par l’IT Gouvernance Institute et l’ISACA, le COBIT est une
méthodologie d’évaluation des services informatiques au sein de l’organisation. Il
propose un ensemble de bonnes pratiques de gouvernance IT.

Le COBIT propose au management un cadre de référence des pratiques de contrôle et

de maîtrise de l’informatique, applicable pour évaluer un environnement informatique
existant ou en phase d’implémentation. Ses processus concernent les domaines
fonctionnels que sont : planification et organisation (domaine 1), acquisition et mise
en place (domaine 2), distribution et support (domaine 3), et surveillance et évaluation
(domaine 5). Dans son guide de mise en œuvre, le COBIT propose également des
outils d’analyse et d’évaluation de risques des environnements informatisés selon
DESROCHES & al. (2007 : 219-220).

De plus, cette démarche s’appuie sur un référentiel de processus et sur des indicateurs
d’objectifs KGI (Key Goal Indicators) et de performance KPI (Key Performance
Indicators) permettant de mettre le processus sous contrôle afin de disposer des
données permettant à l’entreprise d’atteindre ses objectifs. Les trente-quatre (34)
processus du COBIT permettent de couvrir trois cent dix-huit (318) objectifs selon
PILLOU 16& al. (2011 : 79).

L’utilisation du COBIT permet aux systèmes d’information de l’entreprise :

 de s’aligner sur le métier de l’entreprise ;

 d’apporter un plus aux métiers ;
 de gérer au mieux ses ressources ;
 de gérer les risques de façon efficace.

Le COBIT est l’élément de base pour une bonne gouvernance d’activité et

institutionnelle de l’entreprise. La mise en œuvre de ses bonnes pratiques crée de la
valeur ajoutée.

3-2- Définition, objectifs et acteurs de la cartographie des risques :

Nous définissons la cartographie des risques selon les points de vue de différents
auteurs, ensuite nous déclinerons les objectifs assignés à la cartographie des risques et
nous terminerons en montrant les différents acteurs concernés par la cartographie des
risques

3-2-1- Définition de la cartographie des risques :

Selon l’IFACI17« une cartographie des risques est une représentation graphique de la
probabilité d’occurrence et de l’impact d’un ou de plusieurs risques. Les risques sont
représentés de manière à identifier les plus significatifs (probabilité et/ou impact le
plus élevé) elles moins significatifs (probabilité et/ou l’impact le plus faible) ». Selon
l’objectif assigné, l’analyse est réalisée de manière plus ou moins détaillée et
approfondie. La cartographie des risques peut soit représenter la probabilité ou
l’impact global, soit intégrer un élément venant modifier la probabilité ou l’impact.

Pour l’AMRAE, la cartographie des risques est un moyen permettant de classer, de

comparer et de hiérarchiser les risques entre eux, et de mettre en place des plans
d’action pour les traiter en fonction des ressources disponibles.

16
PILLOU Jean-François et CAILLEREZ Pascal (2011), Tout sur les systèmes d’information Grandes,
moyennes et petites entreprises, 2ème édition, Editions Dunod, Paris, 189 pages.
17
IFACI (2013), Cadre de Référence International des Pratiques Professionnelles de l’Audit Interne,
Editions Ebzone, Paris, 238 pages.
La cartographie des risques ou « risk mapping » n’est que le résultat du processus
général de la gestion des risques. Cette cartographie, permet en fonction de
l’évolution du contexte et des activités de l’entreprise, d’appliquer les actions de
transformation du profil des risques qui s’imposent. Il s’agit également de pouvoir
mesurer la performance de la gestion des risques et veiller au respect des attentes des
parties prenantes en terme de profil de risque et des règles de gestion des risques.
C’est aussi un outil, un moyen de suivi et de communication affinée.

Selon SANIGO & al. (2001 :4), la cartographie des risques est un outil qui permet:

 de classer, de comparer, de hiérarchiser les risques entre eux;

 de mettre en place des plans d’action pour les gérer en fonction des ressources
disponibles;
 d’en assurer le suivi;
 de communiquer les informations sur les risques dans l’organisation.

Pour POULIOT18, la cartographie des risques est un outil de gestion des ressources
humaines, financières, matérielles puisqu’elle permet l’affectation des ressources aux
risques prioritaires et susceptibles d ‘empêcher l’atteinte des objectifs.

Et enfin pour MOREAU et MATTE19, la cartographie des risques, de la même

manière que les états financiers présentent l’image fidèle d’une entité, présente les
risques d’une organisation.

La synthèse des définitions des différents auteurs fait de la cartographie des risques un
outil d’aide à la décision permettant:

l’identification et la hiérarchisation des risques, point de départ de toute

cartographie:
le choix de deux axes (probabilité el gravité ou impact) en vue d’une
représentation graphique des risques:
la mise en place de plans en vue de la maîtrise de ces risques et/ou de la
réduction de leurs impacts;

18
PILLOU Jean-François et CAILLEREZ Pascal (2011), Tout sur les systèmes d’information Grandes,
moyennes et petites entreprises, 2ème édition, Editions Dunod, Paris, 189 pages.
19
MOREAU, Franck (2002), Comprendre et gérer les risques, Editions d’organisations,
Paris. P222
3-2-2- Les objectifs de la cartographie des risques :

La clarté des objectifs constitue un élément essentiel de la gestion du profil de risque

dans l’entreprise est par conséquent nécessaire dans l’élaboration d’une cartographie
des risques.

Véritable inventaire des risques de l’organisation, la cartographie des risques permet

d’atteindre les objectifs suivants :

o inventorier, évaluer et classer les risques de l’entreprise;

o informer les responsables afin que chacun soit en mesure d’adapter le
management de ses activités;
o permettre à la Direction Générale, et avec l’assistance du Risk Manager
d’élaborer une politique de risque qui va s’imposer à tous;
o l’établissement de plan d’action de gestion: évaluation de l’impact final des
décisions d’action, formalisation des actions sur une fiche d’action, document
qui trace le type d’actions correspondant à quelques risques: qui prend la
responsabilité? Quand cette action doit être entreprise? Une fois les risques
majeurs déterminés dans l’entreprise, il revient aux responsables la charge de
définir la stratégie en vue de les prévenir ou de les atténuer;
o répondre aux dispositions réglementaires;

Les objectifs définis, nous allons voir par la suite quels sont les acteurs à qui s’adresse
la cartographie des risques.

3-2-3- Les acteurs de la cartographie des risques :

L‘élaboration d’une cartographie des risques fait intervenir tous les agents de
l’organisation mais à des degrés différents. Selon RENARD,20 les acteurs les plus
impliqués sont:

le risk manager: il identifie les risques, en dessine la cartographie, les

mesure et, à partir de là, définit la politique qui sera appliquée dans le double
domaine de la prévention et de la protection;

20
RENARD Jacques (2010), Théorie et Pratique de l’Audit Interne, 7 ème édition, Editions
d’Organisation, Paris, 469 pages.
 le management opérationnel: il applique cette politique et met en place les
moyens pour maîtriser les risques inacceptables et limiter les risques
acceptables (contrôle interne);
l’auditeur interne: il apprécie la qualité de la cartographie et les moyens mis
en place, il en détecte les lacunes et les insuffisances et formule des
recommandations pour y mettre fin;

A ces acteurs identifiés par RENARD il convient d’ajouter la participation de la

Direction

Générale qui définit les objectifs de l’organisation, les politiques et les moyens à
mettre œuvre pour les atteindre. Ces acteurs pourraient se faire aider par un cabinet de
consultants ou expert thématique plus spécialisé.

3-3- Les types de cartographie des risques :

Le type de cartographie du risque à mettre en œuvre dans une organisation est

fonction du risque étudié. Selon DE MARESCHALL21, deux grandes options peuvent
être envisagées:

 la cartographie globale ou l’étude de l’ensemble des risques qui menacent

l’organisation concernée
 la cartographie thématique ou l’étude des risques spécifiques liés à un
domaine particulier.

3-3-1- La cartographie globale :

La cartographie globale vise à recenser l’ensemble des risques qui pèsent sur une
entité (service, entreprise, groupe). Cette démarche permet, pour une entité, de réunir
el surtout de hiérarchiser et de comparer des risques très différents les uns des autres,
dans une perspective de bonne gouvernance.

3-3-2- La cartographie thématique :

Pour DE MARESCHALL, la cartographie thématique s’attache à recenser et

hiérarchiser les risques liés à un thème précis. Son principal intérêt est de pouvoir
réunir et comparer sur un même thème factuel:

21
DE MARSCHALL Gilbert (2003), La cartographie des risques, Edition AFNOR, p 45
  soit différentes organisations pour un même type de risques;
 soit différents domaines de risques liés au thème étudié pour une même
organisation.

L’accent sera mis sur ce deuxième type de cartographie car nous intéressant le plus.
Ce type de cartographie peut se présenter sous la forme d’un polygone, d’un spectre,
d’une matrice ou tout simplement d’un tableau. De manière standard, les risques sont
représentés selon deux composantes: la fréquence (probabilité) et la gravité.

3-4- Démarche d’élaboration d’une cartographie des risques :

Le choix des méthodes et d’outils nécessaires à la mise en place d’une cartographie

des risques demeure une épreuve difficile, car la cartographie des risques est propre à
chaque entreprise et dépend du cycle de management mis en œuvre dans l’entreprise.

La diversité des domaines explorés qui vont de l’entreprise, du niveau local au niveau
global, nécessite des approches d’élaboration de la cartographie des risques
différentes. Pour RENARD il existe trois démarches à savoir le bottom up, e top down
et l’approche combinée. Pour I’AMRAE (2002), cinq autres méthodes s’ajoutent aux
trois précitées qui sont: l’approche par le benchmarking, l’approche par l’auto-
évaluation, l’approche par analyse et synthèse rationnelle des risques, les points
d’entrée et la macro cartographie. La synthèse de ces différents auteurs permet d’avoir
huit approches qui sont: le bottom up, le top down, l’approche combinée, l’approche
par le benchmarking, l’approche par l’auto-évaluation, l’approche par analyse et
synthèse rationnelle des risques, les points d’entrée et la macro cartographie.

3-4-1- Le bottom up :

L’identification des risques est effectuée de manière relativement libre et ouverte par
les personnes les plus proches possibles de l’activité. Il s’agit d’effectuer une
remontée des risques du terrain aux personnes en charge de l’élaboration de la
cartographie. Ce type d’identification se fait généralement par l’intermédiaire
d’interview, le bottom up est une approche utilisée pour une démarche de
cartographie globale.

3-4-2- Le top down :

L’approche « top down » s’appuie sur les pertes historiques, lesquelles constituent
une bonne mesure des pertes futures. L’identification des risques est dans ce cas
effectuée de manière plus fermée, c’est-à-dire à l’aide d’un questionnaire à choix
multiples. Souvent utilisée pour une démarche de cartographie thématique, elle peut
se faire par questionnaire. En effet, le sujet ciblé peut permettre l’élaboration de
questionnaires relativement exhaustifs par les personnes en charge de la cartographie.
Ce processus permet donc de descendre chercher l’information.

3-4-3- L’approche combinée :

Dans cette démarche les risques sont identifiés tant par la hiérarchie que par les
opérationnels. Les approches bottom up et top down deviennent particulièrement
complémentaires pour assurer une mesure pragmatique des risques opérationnels.
Pour RENARD, la meilleure méthode est celle qui concilie les deux approches et qui
consiste pour chaque responsable de se faire assister soit par le risk manager soit par
l’audit interne dans la définition des risques de son activité.

3-4-3- L’approche par le benchmarking :

Elle consiste à mener une campagne de collecte des meilleures pratiques en matière
de gestion des risques. Elle permet de se faire une idée générale quant aux risques à
prendre en compte et la façon de les considérer.

3-4-4- L’approche par l’auto-évaluation :

La mise en œuvre de cette approche consiste à confier la responsabilité du contrôle

interne aux opérationnels en les chargeant de l’autoévaluation de la qualité du
dispositif de contrôle interne mis en place. La valeur ajoutée de l’autoévaluation est,
en terme de contrôle interne, l’appropriation de la démarche de contrôle interne par
les opérationnels.

3-4-5- L’approche par analyse et synthèse rationnelle des risques :

Elle Consiste à partir de l’existant et des données chiffrées de chercher les meilleures
pratiques (benchmarking), et à faire des comparaisons.

3-4-6- Les points d’entrées :

Cette approche consiste à l’analyse des objectifs de l’entreprise, des pôles de valeur et
des différents processus.

3-4-7- La macro cartographie :

Elle est effectuée à l’échelle de l’entreprise et tend à recenser, quantifier et

cartographier l’ensemble des risques d’une organisation, tous sujets confondus.

3-5- Les différentes étapes d’élaboration d’une cartographie des risques :

La présentation de la synthèse des points de vue et des démarches proposés par

différents auteurs permettra à travers une synthèse de bâtir notre propre démarche
référentielle.

3-5-1- La phase de préparation :

Pour RENARD, cette phase nécessite une bonne compréhension de l’entité car il faut
savoir où trouver la bonne information et à qui la demander. Les travaux préparatoires
ainsi que la conception et la mise en place des fondements de la démarche sont
réalisés au cours de cette phase avant de passer à l’action. Le risk manager doit faire
preuve de qualité de synthèse et d’imagination.

3-5-2- La phase de planification :

Elle est la phase la plus importante d’où son apparition chez les différents auteurs.
Elle permet aux dirigeants de prendre des décisions en matière de gestion des risques
et également prendre en compte les priorités du management. Cette phase se déroule
en plusieurs étapes à savoir:

- identification et analyse des risques

- évaluation des risques

- hiérarchisation et mesure des risques

- identification et évaluation du contrôle interne existant;

- matrice des risques.

3-5-3- Identification et analyse des risques :

Cette phase permet de lister l’ensemble des risques inhérents qui pèsent sur
l’organisation et identifier les zones où les risques préjudiciables sont susceptibles de
se produire. Elle constitue une phase primordiale à tout processus d’élaboration de la
cartographie des risques.

L’entreprise doit avoir des compétences spécifiques et une bonne compréhension des
activités. La méthodologie d’identification des risques inclue une combinaison de
techniques et d’outils. Nous exposerons les techniques tandis que les outils feront
l’objet du chapitre suivant. L’identification des risques requière une connaissance
appropriée et une compréhension des activités de l’entreprise.

Les techniques d’identification des risques se présentent ainsi :

o exposure analysis ou identification des risques qui affectent les actifs. Elle
consiste à la mise en évidence des risques qui pèsent sur les actifs constitutifs
de la valeur de l’entreprise. Ce sont les risques qui pèsent sur les biens (MC
NAMEE22, 1998: 13);
o the environmental analysis ou identification des risques qui affectent les
opérations. C’est une technique dans laquelle la détermination des risques se
fait en fonction des variétés que peut subir l’environnement dans lequel se
trouve l’entreprise.
o threat scenarios ou identification basée sur les scénarios, qui consistent à
mener des enquêtes systématiques auprès d’experts de chaque ligne de métier
et de spécialistes de gestion des risques;
o identification par l’analyse historique: cette approche consiste à remonter les
risques qui ont menacé le domaine à l’étude, par le passé, et d’en tenir compte
lors de la mise à jour de la conception de la carte des risques;
o identification basée sur l’atteinte des objectifs: elle consiste à identifier
d’abord les objectifs de l’activité ou de l’organisation pour ensuite leur
affecter la menace correspondante. L’efficacité de cette approche repose sur
une identification claire et partagée des objectifs en amont. Cependant, cette
identification est un exercice assez complexe;

22
MC NAMEE, David (1998), Business risk assessment, The Institute of Internal
Auditors, Altamonte Spring, P.107
 o identification par les tâches élémentaires: c’est une démarche que l’auditeur
connait bien. C’est elle qu’il utilise pour construire son questionnaire de
contrôle interne ;
o identification basée sur les check-lists: elle consiste à lister l’ensemble des
risques possibles en se basant sur les activités ou les évènements. Elle permet
de s’assurer qu’aucun risque n’a été omis et complète les autres techniques.
Elle doit être utilisée avec discernement.

L’identification des risques terminée, il va falloir évaluer les risques afin de maintenir
un degré acceptable de ces derniers.

3-5-4- Evaluation des risques :

Les entreprises sont confrontées à un ensemble de risques qui peuvent être soient
internes, soient externes. Ces risques doivent être évalués en vue de déterminer de
quelle manière ils seront gérés afin d’amoindrir leur impact sur l’atteinte des objectifs
préalablement définis par l’organisation L’évaluation se fait à deux niveaux: d’abord
au niveau du risque brut sans tenir compte du dispositif de contrôle interne puis au
regard de la façon dont le contrôle interne va atténuer le risque de l’entreprise. Cela
présuppose que le risque ait déjà été identifié dans l’entreprise et qu’il soit déjà géré.

Compte tenu de l’évolution permanente de l’environnement micro et macro-

économique du contexte réglementaire et des conditions d’exploitation, il convient
d’évaluer et de maîtriser les risques spécifiques liés au changement. La méthodologie
d’évaluation des risques d’une entité s’appuie sur un ensemble de techniques
quantitatives et qualitatives

La méthode quantitative :

Selon l’IFACI, les techniques quantitatives sont habituellement plus précises et sont
utilisées dans des activités plus complexes afin d’apporter un complément aux
techniques qualitatives. Cette méthode traite de la probabilité d’occurrence et de la
mesure de la gravité des risques caractérisant un évènement redouté. La diversité des
risques rend cette méthode un peu difficile or tous les risques ne sont pas évalués sur
un impact financier. il existe des risques, comme les risques intangibles OU
immatériels, pour lesquels il est extrêmement difficile d’avoir une idée de l’impact
financier, mais la démarche permet de réfléchir sur l’impact que pourrait avoir le
risque s’il venait à se réaliser.

Leur but est de:

- hiérarchiser les risques;

- évaluer le niveau de sécurité du système ou du sous-système dans la phase

considérée;

- construire la sécurité du système de façon efficace et cohérente ;

La collecte de données objectives et inhérentes à chaque processus, provenant de

sources diverses, est nécessaire pour la mise en œuvre de cette méthode. La
complexité de cette méthode est due à la diversité des risques, en effet tous ne peuvent
être appréciés sur une échelle commune. Sur chaque période des coefficients sont
calculés et combinés aux tendances des risques afin d’obtenir un indicateur statistique
final pour chaque catégorie de risque.

Après pondération, ces indicateurs sont eux-mêmes regroupés pour donner un facteur
de risque quantitatif global unique; selon COLATRELLA, il existe une méthode
d’évaluation selon deux critères: d’une part, la probabilité de survenance et d’autre
part, la gravité ou impact financier. La probabilité peut résulter d’une estimation de la
loi statistique ou d’une modélisation plus complexe fondée sur une description des
processus représentée par un graphique. Cette méthode est utilisée par les actuaires et
demeure compliquée pour les auditeurs qui, selon RENARD (2002: 10), n’ont pas à
rentrer dans les calculs de savants. Ce qui explique, selon lui, un recours inéluctable
aux méthodes qualitatives.

La méthode qualitative :

Les techniques qualitatives sont utilisées très souvent lorsque les risques n’offrent pas
de possibilité de quantification ou lorsqu’il n’existe pas suffisamment de données
fiables donnant droit à une évaluation quantitative ou encore le coût de collecte et
d’analyse de ces données s’avère très élevé. L’évaluation qualitative est inversement
liée à la qualité du contrôle interne. Pour COOPERS & al. Des appréciations du type
«faible », « moyen » et «élevé » sont attribuées aux risques. Ces appréciations sont
établies, pour ce qui est de la probabilité, au regard des forces et faiblesses
potentielles de l’organisation. Son but consiste à identifier:

- les évènements à risque apparaissant suite à la défaillance d’éléments du système;

- les causes des évènements;

- les conséquences des évènements sur le système à travers des scénarios;

- les actions en diminution des risques qui peuvent être prises

L’évaluation impact probabilité, qui peut être réalisé en deux temps, découle du poids
du risque. L’évaluation du risque inhérent avant la mise en place du dispositif de
contrôle interne est opérée dans un premier temps avant de procéder à celle de
l’efficacité du contrôle interne, autrement dit la manière dont ce contrôle interne va
transformer le risque inhérent en risque résiduel (voir la matrice ci-dessus).

Figure 1 : Matrice d’évaluation des risques

Impact

Fort Risques inhérents

Risques résiduels

Modéré

Faible Risque cibles

Fort Modéré Faible

probabilité

Dans un second temps on procède à la quantification des risques associés à chaque

évènement redouté susceptible de freiner l’entreprise dans l’atteinte de ses objectifs.
Ce qui permet de les classer en fonction de leur acceptabilité, c’est-à-dire cibler ceux
qui méritent une attention particulière ou dont la priorité est moindre. L’élaboration
d’une matrice de risque est utile pour mesurer 1e risque posé par divers dangers.

3-5-5- hiérarchisation et mesure des risques :

A ce niveau, il s’agit de procéder à la hiérarchisation et à la mesure des risques

 Hiérarchisation des risques :

La quantification des risques associés à chaque évènement redouté susceptible de

freiner l’entreprise dans l’atteinte de ses objectifs, permet de les hiérarchiser en
fonction de leur acceptabilité.

MC NAMEE, classe les risques selon:

- the absolute ranking ou classement des risqué en fonction du score;

- the relative ranking ou classement des risques suivant trois niveaux: faible, moyen,
élevé;

- the matrice ranking ou regroupement des risques suivants les opérations dans une
matrice en leur attribuant des appréciations faible, moyen ou élevé;

Le classement des risques en fonction de leur score est obtenu par la combinaison de
tous les paramètres. Cette hiérarchisation est obtenue par le biais des échelles définies
à l’étape précédente, c’est-à-dire au niveau de l’évaluation tout en faisant attention au
seuil de tolérance aux risques de l’organisation ainsi que le risque intrinsèque

Elle doit en effet, être affinée par l’appréciation des contrôles internes ayant déjà été
mis en œuvre pour la réduction des effets de ces différents risques.

 Mesure des risques :

Le management, une fois les risques évalués, doit déterminer quel traitement
appliquer à chacun de ces risques, les solutions possibles peuvent être envisagées:

 soit l’évitement signifiant « cesser les activités à l’origine du risque ». Eviter

le risque au cas où le risque ne s’est pas encore matérialisé, sinon éliminer
complètement le risque par des actions correctives;
  soit la réduction, c’est-à -dire prendre des mesures afin de réduire la
probabilité d’occurrence ou l’impact du risque, ou les deux à la fois;
 soit le partage, autrement dit diminuer la probabilité ou l’impact du risque en
transformant ou en partageant le risque;
 soit l’acceptation du risque, ne prendre aucune mesure pour modifier la
probabilité d’occurrence du risque et de son impact. L’acceptation laisse à
penser que le risque inhérent se situe dans la fourchette de tolérance au risque

Le risque est classiquement évalué sous la forme d’une combinaison des facteurs de
probabilité et de gravité .D’où Risque = Probabilité (f)* Gravité (g).
 Figure 2 : Hiérarchisation des risques opérationnels :

Impact

Très
significati
f

Majeur

Modéré

Mineur

Non
significati
f

Rare peu probable possible probable certain

probabilité

Source : KPMG France

L’espérance mathématique de la gravité est donnée par le produit f*g. C’est un

indicateur de l’acuité du risque aussi appelé criticité. Dans la démarche quantitative la
criticité du risque est obtenue par le produit de sa probabilité et de son impact soit:
Criticité = Impact *probabilité

 Identification et évaluation du contrôle interne :

L’identification du contrôle interne existant au sein d’une entité revient à relever tous
les contrôles possibles avant l’élaboration de la cartographie. Il s’agit d’évaluer la
manière par laquelle les éléments, les concepts et principes de management des
risques sont appliqués à l’échelle de l’entreprise et d’avoir une liste exhaustive des
contrôles. Pour cela le travail se concentre sur les préventions, les détections ou
corrections, les couvertures des risques bruts, leur mode de fonctionnement, les
responsables en charge de leur application et de leur suivi, les indicateurs de
performance et les facteurs clés de succès. La gestion des risques évalués par
l’élaboration et la mise en œuvre de mesures propres à améliorer les systèmes de
contrôle interne, permettra d’atténuer el d’éliminer les risques, et de tirer parti des
opportunités.

La complexité réside dans le fait de rapprocher ce qui est fait et ce qui doit être fait
c’est-à dire évaluer le contrôle interne. Malgré la multitude de critères proposés par
les auteurs pour l’évaluation du contrôle interne, tous sont unanimes sur la pertinence
de l’utilisation de la méthode qualitative.

Les critères retenus sont l’efficacité, la fiabilité, la qualité de la conception et la mise

en œuvre. Le contrôle interne est évalué sur une échelle allant de I (inexistant) à 5
(efficace) et entre ces deux extrêmes nous avons l’échelle 3 (acceptable).

 Matrice des risques :

C’est la représentation des risques et de leurs causes sous la forme d’un tableau. Les
risques sont représentés en fonction de leurs niveaux, de leurs catégories et de leurs
domaines d’influence. Cette matrice ne constitue que la représentation de la
hiérarchisation des risques résiduels. En fonction des zones à risques, elle revêt des
choix à opérer en matière de gestion des risques. La matrice étant une fois élaborée,
les risques sont mis en exergue et cela facilite la prise de décision.

3-5-6- La phase d’action :

L’identification, l’évaluation et la hiérarchisation des risques ainsi que l’identification

du contrôle interne existant faits, les dirigeants de l’entreprise sont amenés à
concevoir des plans d’actions en vue d’évaluer le dispositif de contrôle interne pour
réduire les risques résiduels ou les transformer en risques cibles. L’objectif du plan
d’action est de créer une plate-forme opérationnelle de progrès. La plate-forme doit
préciser le planning des opérations, les responsables et les moyens de mise en œuvre.
3-5-7- La phase de reporting sur les risques résiduels :

Pour PIGE (2003 :15), le reporting est l’ensemble des informations de gestion qu’un
responsable rend disponible à un niveau supérieur pour mesurer sa performance. Outil
d’aide à la décision, le reporting permet le suivi des risques et présentera le tableau
d’évaluation des risques inhérents et résiduels. Un système de reporting doit permettre
de disposer d’informations fiables dans les délais réduits en vue d’une meilleure
appréciation des risques de l’entreprise.

3-5-8- La phase de vérification de l’efficacité du plan d’action :

Le plan fait l’objet d’une mise à jour permanente afin de faciliter l’évaluation des
risques, ou les activités de déploiement complémentaire. La phase de vérification de
l’efficacité au plan d’action permet de mettre à la disposition des dirigeants, les
informations par l’évolution des risques résiduels, en dépit du contrôle interne
existant, et d’éviter la survenance de nouveaux risques.

3-5-9- Amélioration et mise à jour de la démarche :

Le suivi et la perpétuelle amélioration d’un système mis en place est nécessaire afin
de perfectionner l’existant et de prévenir l’apparition de nouveaux facteurs qui
peuvent nuire à la bonne marche de l’entité L’évolution de l’environnement fait que la
démarche doit être mise à jour afin d’être sur la même longueur d’onde de nouvelles
pratiques et des dernières apparitions.
Conclusion du premier chapitre :
Parvenu au terme de ce chapitre, nous avons présenté la notion de système
d’information, ses composantes et ses fonctions ainsi les différents risques du SI puis
on a passé à la définition de la cartographie des risques comme un outil de gestion et
de maîtrise des risques. Nous avons mis en relief la démarche d’élaboration d’une
cartographie des risques ainsi que le processus de mise en place d’une cartographie
des risques selon diverses approches. le chapitre suivant sera ainsi consacré à
l’élaboration d’une démarche référentielle de cartographie des risques adaptés à
l’entreprise.