Evaluation des risques en entreprise : le SIGR avant tout ?

0
431

Pandémie de Covid-19, guerre en Ukraine, événements climatiques de plus en plus intenses, difficultés sur l’énergie, sans oublier les fréquentes cyberattaques… les crises se succèdent, rendant la gestion des risques plus que jamais essentielle pour les entreprises.

Certaines entreprises ont pris les moyens pour se prémunir de ce risque, mais beaucoup sont encore trop attentistes. Il existe pourtant des solutions pour outiller les risk managers, notamment par le biais des SIGR.

Dans le contexte actuel, les professionnels de la gestion du risque jouent un rôle essentiel au sein de l’entreprise. Mais leurs métiers ont besoin d’être mieux outillés, d’autant que les équipes de risk management sont souvent de taille restreinte.

L’Association pour le management des risques et des assurances de l’entreprise (AMRAE) a publié, le 30 août, l’édition 2022 de son panorama des systèmes d’information de gestion des risques. Selon ce quatorzième panorama, six entreprises sur dix sont aujourd’hui équipées d’un système d’information de gestion des risques (SIGR). 66 % des risk managers se disent satisfaits de leur solution.

Un marché dynamique

52 % des éditeurs observent une hausse des appels d’offres témoignant du dynamisme du marché et des besoins importants en matière de logiciels chez les professionnels de la gestion des risques.

En effet, si l’analyse des données constitue le noyau dur de ces métiers de gestion du risque, l’acquisition de ces mêmes données demeure une activité chronophage, sur laquelle les SIGR peuvent apporter des gains de temps précieux. Interrogés sur les principaux avantages des SIGR, les risk managers citent d’ailleurs en premier le fait de consacrer moins de temps à la consolidation des données et davantage à l’analyse, suivi par le partage d’information et la transversalité facilités. « Les SIGR sont aussi des outils collaboratifs et de communication », a rappelé Michel Josset, président de la commission prévention et dommages de l’AMRAE durant la présentation. En termes de délais d’implémentation, la moyenne se situe autour de trois mois.

Le prix n’est pas le critère différenciant

Autre constat intéressant, le prix n’apparaît qu’en cinquième place dans les critères de sélection d’un SIGR, derrière la facilité d’usage, la capacité de reporting, la couverture fonctionnelle et la configurabilité.

Toutefois, les budgets associés à la mise en œuvre d’un SIGR demeurent relativement modestes, se situant autour de 100k€ dans plus de la moitié des organisations interrogées. Les coûts de fonctionnement oscillent quant à eux entre 60k€ pour un périmètre restreint et 150k€ sur un périmètre fonctionnel étendu.

Toutefois, les risk managers disposent très souvent de plusieurs outils, selon François Beaume. « Malgré des budgets contraints, cela démontre que les risques managers réussissent à convaincre de la nécessité de s’outiller », a pointé François Beaume, vice-président de l’AMRAE.

Mieux cartographier et identifier les risques

Pour bien gérer les risques, encore faut-il bien les identifier. Autre étude, celle de Trend Micro, publiée fin août 2022, sur le comportement des entreprises face à l’expansion de la surface d’attaques, témoigne que, pour près d’un tiers des responsables et décideurs IT,  l’évaluation des risques est le principal domaine de la gestion de la surface d’attaque avec lequel ils ont le plus de difficultés

Cette étude met notamment en lumière la complexité de cartographier correctement le périmètre à risque pour les entreprises et la difficulté à mettre en place le bon niveau de sécurité, en raison d’équipes de direction trop éloignées de ces problématiques. Ainsi, plus de 80 % des responsables IT se sentent davantage exposés aux rançongiciels, aux attaques par hameçonnage ou et aux attaques via l’Internet des objets (IoT).

Toutefois, plus d’un sur deux (54 %) estime ne pas réaliser d’évaluations suffisamment élaborées pour prémunir l’entreprise contre ses risques. Une faiblesse qui semble ne pas s’arrêter là, les environnements technologiques sont jugés trop complexes et le manque de sensibilisation de leur Direction exacerberaient selon eux davantage encore les problèmes de sécurité.

Laissez un commentaire

Saisissez votre commentaire ici!
Veuillez entrer votre nom S.V.P