Mise en situation

Jean-Louis est DSI d’une PME de 400 personnes. Comme tous les Vendredi de 16h00 à 17h00, il dépile ses mails. Le créneau est réservé dans son agenda Outlook, Jean-Louis est organisé.

Le premier email provient de son responsable d’exploitation et concerne une demande d’achat pour un contrat de maintenance pour l’onduleur de la salle serveur. Il lui donne son accord mais lui demande de rappeler le fournisseur auparavant pour tenter d’obtenir une remise de 15%

Au suivant. Encore le responsable d’exploitation. Cette fois-ci il s’agit d’achat de mémoire pour un des serveurs. Les prix sont quatre fois ceux que l’on trouve sur des sites internet mais c’est de la mémoire certifiée par le constructeur. Il n’y a pas le choix, il faut en passer par là, Jean-Louis donne son accord.

Au suivant. Toujours une demande d’achat mais cette fois ci elle émane d’un groupe de quatre utilisateurs du service comptabilité. Ils souhaitent avoir des écrans 23 pouces au lieu des 15 pouces qu’ils ont actuellement au motif qu’ils travaillent sur des feuilles Excel gigantesques. Jean-Louis hésite un instant devant son écran 27 pouces puis répond par la négative en invoquant la double contrainte de l’absence de budget correspondant et la nécessité d’avoir un parc homogène.

Trois décisions, trois mails d’une ligne, trois minutes. Jean-Louis est efficace.

Comment ces décisions ont-elles été prises ?

La maintenance de l’onduleur est acceptée parce qu’en cas de panne au cours d’un sinistre, la découverte de l’absence de contrat de maintenance serait synonyme de faute grave pour Jean-Louis. C’est donc pour lui un risque inacceptable. Seule consolation, comme il s’agit d’un petit fournisseur, il est en position de force pour négocier.

Pour la mémoire, c’est pareil. En cas de dysfonctionnements du serveur due à des barrettes mémoire non certifiées, la faute lui serait imputée. Mais dans ce cas impossible de négocier quoi que ce soit.

Enfin pour les utilisateurs, c’est facile : leur demande est assimilée à un besoin de confort qui est réservé à une petite élite de VIP dont il fait partie. S’il y donnait suite, il risquerait d’être submergé de demandes identiques et les quelques provisions soigneusement dissimulées dans son budget n’y suffiraient pas. S’il n’y donne pas suite, il mécontente quatre utilisateurs qui sont de toutes façons déjà mécontents. La belle affaire ! Le calcul est rapide.

La situation de l’entreprise est-elle rentrée en ligne de compte ? Non.
Ces décisions sont-elles les meilleures pour l’entreprise ? Joker.

Ces choix sont donc le résultat d’une analyse de risque portant sur la situation personnelle de Jean-Louis. C’est pour cela qu’un grand nombre de DSI prendrait les mêmes décisions indépendamment du contexte de leurs entreprises. En procédant de la sorte, Jean-Louis a trouvé efficacement les meilleures décisions de son point de vue. Pour obtenir les meilleures décisions pour l’entreprise, il suffirait d’appliquer la même technique en prenant cette fois ci le point de vue de l’entreprise.

Cela revient à dire qu’il faudrait formaliser un registre des risques liés au système d’information vus de l’entreprise et évaluer l’impact de chacune de ces décisions sur ce registre avant de les finaliser. C’est possible mais cela demande de faire converger les différents systèmes de pilotage vers ce nouveau référentiel unique.

Proposition de référentiel unique

Posons d’abord quelques définitions.

  • Un risque est un évènement plus ou moins probable auquel le système d’information est exposé et susceptible d’entraîner un dysfonctionnement plus ou moins grave de celui-ci.
  • Les éléments qui contribuent à la survenance du risque sont appelées les causes.
  • Les éléments qui résultent de la survenance du risque sont appelées les effets.
  • Les actions qui visent à éviter que le risque ne se produise sont appelées actions de réduction des causes.
  • Les actions qui visent à limiter les dégâts causés par le risque sont appelées actions de réduction des effets
  • La criticité d’un risque est le produit de sa probabilité d’occurrence par le coût de son impact.

image004Le pilotage d’un système d’informations est le plus souvent constitué d’éléments hétérogènes :

  • Des Key Performance Indicators (KPI) pour les caractéristiques quantifiées comme la disponibilité,
  • Des niveaux déterminés suite à des audits comme pour la sécurité ou pour la maturité dans un domaine donné
  • Des tableaux de bord pour les projets en cours

Les tableaux de bord des projets contiennent traditionnellement un volet risques. La seule difficulté est que les référentiels peuvent être hétérogènes. L’apport de la convergence vers un référentiel unique est d’homogénéiser ces pratiques et de mettre en perspective les risques du portefeuille de projets.

Concernant les KPIs, un objectif de Service Level Agreement (SLA) peut être aisément traduit en terme de risque.

Par exemple, un taux de disponibilité de 99% revient à dire que la probabilité d’occurrence du risque d’indisponibilité doit être maintenue à moins de 1%. Les actions de réduction des effets liées à ce risque déclinent le Plan de Continuité d’Activité de l’entreprise.

Bien souvent la sécurité s’exprime naturellement en terme de risques mais se focalise sur les impacts pour asseoir sa justification. Ce n’est pas rationnel, le seul critère valable pour mesurer les risques est la criticité. Il faut dont introduire, si ça n’est pas déjà fait, la notion de probabilité d’occurrence.

Pour quantifier la criticité des risques, on peut par exemple prendre un système simple dans lequel la probabilité et l’impact sont des notes de 0 à 10. On obtient donc une criticité entre 0 et 100 avec une maille suffisamment fine pour mesurer l’efficacité de petites actions de réduction sans tomber dans le piège d’une quantification illusoirement rigoureuse.

Enfin, pour que le système fonctionne il convient qu’il soit partagé. Ce référentiel unique de risques doit être initialisé et revu régulièrement par un même collège représentant la direction de l’entreprise. Cette revue doit devenir de fait la nouvelle instance de pilotage de la DSI. Comment se déroule-t-elle ?

Pour un nouveau mode de fonctionnement

En phase de démarrage, il est nécessaire d’initialiser le registre des risques et les actions de réduction associées. C’est également une phase d’apprentissage de ce nouveau mode de fonctionnement pour les acteurs qui peut être facilitée par un coach.

En régime permanent, les risques sont revues par ordre décroissant de criticité.

Pour chaque risque, le statut des actions de réductions associées est évaluée :

  • la clôture d’une action de réduction des causes efficace doit diminuer la probabilité du risque associé,
  • la clôture d’une action de réduction des effets efficace doit en diminuer l’impact.

image005

Il en découle de nouvelles valeurs de probabilité d’occurrence, d’impact et de criticité pour chaque risque. De nouvelles actions de réduction sont décidées et attribuées.

Enfin, on identifie, formalise et quantifie les nouveaux risques apparus pendant la période écoulée.

Cette réunion est efficiente par construction :

  • les sujets sont traités par ordre de criticité, quelque soit sa durée l’essentiel aura été vu,
  • l’approche par les risques décloisonne, tout le monde se sent concerné et participe.

Une fois ce système mis en place, l’efficacité d’une action de réduction peut se mesurer par son effet escompté sur la valorisation du registre des risques ramenée à son coût. Par exemple, si pour 1 k€ d’achat d’écrans, je baisse la valeur de mon portefeuille global de risques de 10 points, on obtient ROI(écrans) = 10.

Dès lors, on peut substituer le système de décision de Jean-Louis vu précédemment à une comitologie transparente, partagée par tous et alignée sur les priorités de l’entreprise : Qu’est ce qui ferait baisser le plus la valorisation de mon portefeuille de risques à investissement constant ?

Mise en application

Faisons l’hypothèse que Jean-Louis ait mis en place ce système au sein de son entreprise. Maintenant tous les Vendredi de 16h00 à 17h00 il a sa réunion de pilotage orientée ‘risques’ avec Roland le directeur général et Antoine le directeur financier. Imaginons deux contextes différents, les mêmes trois demandes en entrée et voyons quelles seraient les décisions prises dans cette réunion.

Contexte #1

C’est la période avant les fêtes de fin d’année qui est traditionnellement le pic d’activité de l’entreprise. De plus cette année, l’entreprise a ouvert un nouveau canal de vente par internet qui amplifie le phénomène. Le serveur de base de données qui gèrent les commandes ne tient plus la charge faute de mémoire, les commerciaux se plaignent et les clients en ligne se déconnectent en abandonnant leurs paniers pleins.

Par ailleurs, pour faire atterrir le projet de nouveau canal de vente à temps pour les fêtes des dépassements budgétaires significatifs ont été autorisés : la trésorerie de l’entreprise est dans le rouge.

Le risque de perte de chiffre d’affaires se propulse en tête du hit parade.

Les décisions suivantes sont prises :

  • l’achat des écrans 23 pouces pour le service comptabilité est mis en attente,
  • la commande de la maintenance pour l’onduleur est reportée,
  • de la mémoire compatible de qualité mais non certifiée est commandée sur internet avec un délai de livraison rapide.

Un nouveau risque est ajouté au registre concernant les dysfonctionnements potentiels du serveur de base de données liés à l’utilisation de mémoire non certifiée.

Les actions d’accompagnement suivantes sont identifiées et attribuées :

  • renforcement de la supervision du serveur en question en particulier sur sa consommation mémoire et les messages d’erreur,
  • obtention d’un devis et d’un délai de livraison du constructeur pour la même quantité de mémoire,
  • en cas d’incidents à répétition, retrait des nouvelles barrettes de mémoire et commande de l’équivalent chez le constructeur.

Contexte #2

La période de clôture comptable annuelle approche. La feuille Excel qui consolide les chiffres frise les 20 mégas. Elle a déjà été endommagée plusieurs fois soit sous l’effet de son propre poids soit par une erreur de saisie. A chaque fois, pour corriger le problème, il faut partir de la dernière sauvegarde à J-1 et ressaisir les écritures. Comme leurs écrans sont petits, les comptables passent leurs temps à faire défiler la feuille pour rentrer les données et se trompent dans leurs saisies malgré eux. Les comptes doivent être impérativement certifiés dans trois semaines.

Par ailleurs, une vague de froid record est annoncée pour la semaine prochaine. La dernière fois qu’un tel événement a eu lieu dans la région, il y a eu une coupure d’électricité pendant 6 heures.

La probabilité du risque d’arrêt de l’activité suite à une coupure d’électricité et une panne de l’onduleur augmente, l’impact du risque de corruption des données de la feuille Excel également. Dans les deux cas, l’évolution de la criticité de ces risques conduit les participants à la réunion à prendre les décisions suivantes :

  • l’achat des écrans 23 pouces pour le service comptabilité est validé,
  • la commande de maintenance pour l’onduleur est validée,
  • la commande de mémoire supplémentaire est reportée au moins prochain, une étude est demandée à Jean-Louis afin de comparer l’achat d’une nouvelle machine et l’achat de mémoire supplémentaire pour la machine actuelle sur le budget de l’année prochaine.

Conclusion

Cette approche unifiée permet de mettre en perspective les différents sujets traités par la DSI et de les partager avec la direction de l’entreprise en tenant compte du contexte. En méritant leurs classements dans le registre des risques, c’est à dire en étant directement connectés aux enjeux stratégiques de l’entreprise, les sujets, même les plus austères habituellement, reçoivent une attention proportionnelle de la direction.

Sur la base d’une fréquence de réunion au minimum mensuelle, l’entreprise gagne en agilité à plusieurs niveaux

  • en diminuant le nombre de comités dédiés à un seul sujet du type réunion sécurité
  • en gagnant en réactivité par rapport à des fonctionnements calés sur des itérations annuelles sur la base de documents lourds du type plan de continuité d’activité
  • en introduisant une dose de souplesse budgétaire en cours d’exercice.

En définitive, ce système permet de se poser les bonnes questions, de rappeler à chacun en permanence les priorités et de faire collaborer les acteurs de l’entreprise en décloisonnant ses différentes fonctions.