Gérer les risques opérationnels et de sécurité de l’information

Article intéressant sur le partenariat entre Labgroup et le CRP Henri Tudor, publié dans la première édition 2013 de la Revue Technique Luxembourgeoise.

Gérer les risques opérationnels et de sécurité de l’information
avec une approche intégrée

A la recherche d’une solution intégrée lui permettant de répondre à la fois aux exigences de gestion des risques de sécurité de l’information et de gestion des risques opérationnels, Labgroup s’est tourné vers le CRP Henri Tudor. «En tant que Professionnel du Secteur Financier, nous devons répondre à des exigences de la Commission de Surveillance du Secteur Financier (CSSF) et sommes soumis à des contrôles relatifs à notre gestion des risques opérationnels liés au traitement de l’information. Par ailleurs, dans la perspective de la création d’un statut de Prestataire de Services de dématérialisation et/ou de Conservation (PSDC), prévu dans la nouvelle loi sur l’archivage électronique, il faudra aussi répondre à des directives strictes en termes de gestion des risques liée à la sécurité de l’information», explique Manu Roche, Chief Operations Officer de Labgroup Luxembourg. Ces deux approches de gestion du risque, traitant de risques de nature différente, s’appuient respectivement sur la circulaire 12/544 de la CSSF et sur le référentiel de l’ILNAS, organisme d’accréditation pour le statut de PSDC, qui se base notamment sur les normes ISO/IEC 27001, ISO/IEC 27002 et ISO/IEC 27005.

Intégrer deux approches

«Nous recherchions, sur la place, des acteurs capables de nous aider à intégrer ces deux approches en une seule, et ainsi nous faciliter la tâche par rapport aux obligations aux-quelles nous sommes soumis tout en nous permettant de réaliser des économies», poursuit Manu Roche. N’ayant pu trouver des acteurs à même de les accompagner dans la définition de cette approche unique, Labgroup a finalement trouvé dans le CRP Henri Tudor un interlocuteur de choix et s’est donc inscrit dans une démarche d’innovation.

«Cela fait de nombreuses années que nous étudions les différents référentiels réglementaires ou normatifs», explique Nicolas Mayer, Senior R&D Engineer au CRP Henri Tudor. La multiplication des types de risques, et des normes à mettre en oeuvre pour les gérer, a créé une réelle complexité au niveau de la gestion de l’entreprise. Dans la mesure où la gestion des risques opérationnels et la gestion des risques de sécurité de l’information constituent deux domaines intimement liés, il y a donc une réelle valeur ajoutée à les traiter en parallèle, au sein d’une même approche. Cette mutualisation a pour conséquence d’améliorer la gouvernance de ’entreprise et de lui permettre de répondre de manière plus pertinente et efficace à ses problématiques de conformité.

Gain de temps et d’argent

Depuis septembre, le CRP Henri Tudor et Labgroup travaillent main dans la main pour développer une approche unique qui permettra aux entreprises de répondre aux exigences de la CSSF ainsi qu’à la règle technique de l’ILNAS.

«La méthode est opérationnelle et nous l’avons outillée avec un logiciel qui permet de guider l’utilisateur dans la démarche, d’en documenter les étapes et les résultats et de fournir une base de connaissance relative aux risques encourus et à la manière de les réduire. Le logiciel garantit également la production d’une analyse comparable et reproductible dans le temps et donne le cadre des rapport à fournir», explique Nicolas Mayer.

Aujourd’hui, la méthode et l’outil sont testés au niveau de Labgroup. «L’objectif est d’être prêt pour obtenir l’accréditation PSCD au printemps prochain», explique Manu Roche. Pour l’entreprise, disposer d’un même outil pour la gestion des risques opérationnels et de sécurité, c’est la garantie d’un gain de temps et d’argent, mais aussi un moyen de s’assurer une ligne de conduite commune répondant aux différentes exigences réglementaires.

Vers une approche plus large

Pour le CRP Henri Tudor, cette fructueuse collaboration constitue un solide appui pour aller vers une approche plus large encore. «Nous avons pu montrer, par cette collaboration, que l’on pouvait innover de manière très pragmatique sur l’intégration de différents référentiels relatifs à la gestion des risques. L’objectif est de poursuivre dans cette voie, afin de parvenir à une intégration globale de la gestion des différents risques auxquels les organisations sont confrontées, et ce au sein d’une solution», explique Nicolas Mayer.

Propos recueillis par Sébastien Lambotte

Lire l’article sur le site de la Revue Technique.

Plus d’informations sur le site www.tudor.lu