Sécurité

Les risques informationnels dans les organisations

Par Giselle Castelo et Monika Bolliger*

Fuites, pertes ou divulgations d’informations … Voilà les principaux risques liés à l’information. Les entreprises, les organisations les connaissent bien, mais comment les traitent-elles ?

Nous avons fait une revue de la littérature et proposé des interviews dans 5 milieux différents (finances, organisation internationale, sécurité, recherche, santé) pour mieux connaître la gestion du risque informationnel. Quelles sont les étapes de la gestion des risques, quelle place occupe ce risque parmi les autres types de risques, quels risques informationnels existent, qui les gère, quelles lois et normes sont appliquées ? Comme tous nos prédécesseurs, nous n’avons pas la clé qui ouvre le coffre de la solution magique et notre travail s’est heurté aux limites imposées par la confidentialité et le secret professionnel dans la gestion des risques des organisations interviewées. Mais, malgré cela, nous avons pu récolter des données intéressantes et qui donnent à réfléchir.

Risques informationnels:  littérature et terrain

Les risques informationnels concernent le vol, la détérioration, la perte, la divulgation, l’accès et la disponibilité de l’information. Dans la littérature, les classifications abondent; les spécialistes proposent de classer ces risques selon leurs causes ou leurs conséquences, parfois selon les métiers ou les domaines. Certains proposent simplement de lister ceux qui peuvent survenir dans une entreprise. Nous constatons qu’ils sont plus ou moins liés à la gestion de l’information, à la communication et à l’informatique. C’est dans la phase d’identification des risques que des questions se posent au sujet des risques informationnels. Ce risque, largement mentionné dans la littérature, est-il pris en compte par les entreprises?

Nous avons demandé à nos répondants de les lister. Après réflexion, ils citent tous la perte et la fuite d’informations. Il nous semble que les archivistes et les responsables des systèmes d’information sont les métiers les plus sensibles à la problématique.

Une classification, est-ce utile, et en quoi?

Du moment que des risques informationnels sont listés, on peut dire qu’ils sont un type de risque au même titre que les risques humains, financiers, juridiques, techniques, naturels, de réputation, etc. Dans le cadre des entretiens, on constate toutefois que personne ne parle de cette catégorie de risque: un risque informationnel est toujours classé parmi les autres risques. Un risque informationnel comme la mauvaise gestion de l’information sera classé parmi les risques humains ou parmi les risques opérationnels ou internes. Ces deux dernières catégories sont assez courantes en pratique. On dira qu’elles sont des grandes catégories qui permettent de regrouper beaucoup de risques différents. Certaines entreprises, comme la banque que nous avons interviewée, combinent grandes et petites catégories : par exemple risque opérationnel (qui comprend 10 risques) et risque de réputation.

En théorie, plusieurs spécialistes comme Lemieux[1] souhaiteraient que le risque informationnel soit traité à part entière, qu’il forme une catégorie, un type de risque et qu’il ne soit pas combiné aux autres. Les acteurs auraient davantage conscience de son importance.

En parcourant la littérature, nous avons vu que l’institut financier Desjardins du Québec[2] proposait de considérer le risque informationnel de manière transversale. En effet, ce risque touche tous les secteurs de l’entreprise. Cette théorie nous séduit, mais nous oblige à regarder comment gérer ce risque dans l’entreprise.

Qui s’en occupe?

Cette problématique a fait son apparition sur le terrain. Les risques informationnels étant dilués un peu partout dans l’entreprise, personne ne pouvait nous fournir une vue d’ensemble de leur gestion. Ce sont tantôt les gestionnaires de risques, tantôt les archivistes et tantôt le SI qui ont fourni les réponses selon leur domaine de compétences.

Des pistes…

Etant donné que le risque informationnel est présent dans plusieurs départements et que son caractère transversal [Desjardins, 2011] nous semble être sa principale qualité (et difficulté), nous pensons que chaque entreprise devrait établir sa propre classification des RI, ne serait-ce que pour identifier les secteurs les plus touchés, pour ensuite avoir une vision d’ensemble du flux de l’information, où il pourrait poser problème et (ré)attribuer les rôles et responsabilités en conséquence.

 [1] LEMIEUX, Victoria L.,2004. Managing Risks for Records and Information. Lenexa : Arma International, 2004. ISBN 1-931786-18-6

[2] DESJARDINS, 2011. La gestion des risques informationnels. L’approche adoptée par Desjardins. Conférence RSI 28 mars 2011 [en ligne]. [Consulté le 3 avril 2017]. Disponible à l’adresse https://www.yumpu.com/fr/document/view/16547444/la-gestion-des-risques-informationnels-colloque-rsi

***

Ce texte a préalablement été publié le 19 février 2018 sur le blogue Recherche d’ID.

À propos du blogue Recherche d’ID: Il s’agit du carnet de recherche des étudiants du master en sciences de l’information de la Haute école de gestion de Genève. Créé en 2013 par Stéphanie Pouchot, Recherche d’ID est la vitrine idéale pour présenter les projets ou recherches des étudiants. Il est actuellement supervisé par René Schneider et Elise Pelletier.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

w

Connexion à %s