Les cadres obsolètes de gestion des risques font l’objet de critiques croissantes
Dans de nombreuses organisations, la gestion des risques est embourbée dans un cadre qui ne peut pas suivre le rythme des défis auxquels sont confrontées la plupart des équipes de gestion des risques d'entreprise. Il doit être modernisé.
C'est le verdict rendu par les analystes principaux Cody Scott et Alla Valente dans un récent blog de Forrester Research, qui critique l'approche des trois lignes de défense (3LOD), largement utilisée pour évaluer les risques organisationnels.
« Les moyens conventionnels de gestion des risques n'ont pas suivi le rythme de la demande, de la vélocité ou de la pression à laquelle sont confrontées la plupart des équipes de gestion des risques d'entreprise », écrivent les analystes.
« Pire encore », ont-ils poursuivi, « de nombreux programmes de gouvernance, de risque et de conformité se concentrent hyper sur la conformité, ignorent complètement le risque et se démènent pour mettre en place une gouvernance pour chaque nouveau risque, technologie ou menace émergente. Le modèle 3LOD n’est pas conçu pour résoudre ce problème. «
Ils ont expliqué que 3LOD a été développé en tant que cadre de gouvernance d'entreprise pour mettre en œuvre les exigences de séparation des tâches en vertu de la loi Sarbanes-Oxley (SOX) de 2002. Puis, en 2013, l’Institut des auditeurs internes (IIA) l’a promu comme une solution pour améliorer la gestion des risques. « Mais comme vous le diront tous ceux qui ont essayé de le mettre en œuvre comme base pour la gestion des risques d'entreprise, le 3LOD n'est pas un modèle de gestion des risques », ont écrit les analystes.
Cadre rigide
Le cadre est conçu pour répondre aux exigences de conformité fixées par SOX, et non pour gérer les risques commerciaux, a noté Ian Amit, fondateur et PDG de Gomboc, un fournisseur de solutions automatisées de sécurité des infrastructures cloud à New York.
« Il n'est pas suffisamment adaptatif pour fonctionner dans la plupart des organisations modernes, où les lignes hiérarchiques et la hiérarchie ne sont plus aussi rigides qu'elles l'étaient en 2000 », a-t-il déclaré à Technews.fr.
« Le cadre 3LOD est une approche assez ancienne que le secteur financier utilisait et utilise probablement encore », a ajouté Brian Betterton, directeur de la pratique des services de risque et stratégiques chez GuidePoint Security, un fournisseur de services de cybersécurité à Herndon, en Virginie.
« 3LOD n'est pas ce que j'appellerais une approche moderne, mais certains l'apprécient car elle crée une séparation et divise ainsi la gestion des risques en trois fonctions », a-t-il déclaré à Technews.fr. « Pour moi, 3LOD est plus une approche d’audit que de gestion des risques. »
Il a également souligné qu'en raison de la nature de l'audit de ses contrôles, l'entreprise se concentre sur un point dans le temps et non sur l'approche continue que l'on retrouve dans les solutions axées sur les risques commerciaux.
La conformité l’emporte sur le risque
De nombreux programmes de gestion des risques sont hyper axés sur la conformité plutôt que sur les risques réels pour plusieurs raisons.
« Les approches traditionnelles de gestion des risques ont tendance à se concentrer sur la conformité – réussir l’audit et cocher les cases – plutôt que sur le risque commercial réel », a déclaré Amit. « Ces approches sont souvent adoptées par des organisations dont les dirigeants sont plus soucieux de préserver le statu quo actuel que de générer des revenus ou de l’innovation. »
« Souvent, les programmes de gestion des risques se concentrent davantage sur la conformité, car elle est tangible et liée à des objectifs clairs », a ajouté Nicole Sundin, CPO d'Axio, une société de gestion des cyber-risques à New York.
« Le travail de conformité est généralement lié à un objectif commercial ou à une exigence externe », a-t-elle déclaré à Technews.fr. « Dans ce contexte, la conformité devient un effort ponctuel visant à répondre à un besoin commercial spécifique, plutôt qu'un processus continu d'identification et d'atténuation des risques évolutifs. »
En outre, la plupart des programmes de gestion des risques sont motivés par des objectifs de conformité, a ajouté Chandrasekhar Bilugu, CTO de SureShield, une société de logiciels de gestion de la sécurité, de la conformité et de l'intégrité, à Atlanta. « Les organisations abordent rarement la gestion des risques en tant que processus indépendant, déconnecté des mandats de conformité, car elle manquerait du parrainage nécessaire de la direction », a-t-il déclaré à Technews.fr.
Heath Renfrow, RSSI et co-fondateur de Fenix24, une société de reprise après sinistre et de restauration basée à Chattanooga, Tennessee, a affirmé que les programmes de gestion des risques axés sur la conformité ne sont rien d'autre que des exercices sur papier sans aucun moyen solide de quantifier les risques pour les cadres supérieurs. décisions fondées sur les risques. « Vous ne pouvez pas gérer des risques que vous ne comprenez pas », a-t-il déclaré à Technews.fr.
Betterton a noté que dans les organisations moins matures, les programmes de gestion des risques ont tendance à se concentrer sur la conformité plutôt que sur les risques. « Les organisations moins matures considèrent la conformité comme leur principal risque et, par conséquent, passent à côté de tous les risques qu'elles peuvent avoir », a-t-il déclaré.
Pour de nombreuses organisations, il est également plus facile de satisfaire aux exigences de conformité que d’évaluer les besoins en matière de sécurité. « La conformité signifie que vous vous conformez à une règle ou à un règlement qui doit être suivi. Il existe des définitions claires de ce qui doit être suivi », a expliqué Ira Winkler, RSSI chez CYE, une société d'optimisation de la cybersécurité basée à Tel Aviv, en Israël.
« Cependant, ce que signifie être en sécurité varie considérablement », a-t-il déclaré à Technews.fr. « Si vous n'avez aucune idée de ce que la sécurité signifie pour votre organisation, même si vous avez une définition claire de ce que signifie être conforme, vous allez évidemment d'abord atteindre la conformité, car il est difficile d'être en sécurité quand vous ne comprenez pas exactement ce que signifie la sécurité. ce que cela signifie.
Fondement d’une gestion moderne des risques
Scott et Valente ont cité trois piliers pour une approche moderne de la gestion des risques.
L'approche doit être dynamique et capable d'aborder le risque dans trois dimensions : le risque systémique externe à l'organisation et hors de son contrôle ; le risque écosystémique externe à l’organisation mais pouvant être contrôlé à des degrés divers, comme le risque lié aux tiers et à la chaîne d’approvisionnement ; et les risques d’entreprise internes à l’organisation et directement contrôlables, tels que la cybersécurité et les risques financiers.
De plus, l’approche doit être continue car les risques et les opportunités évoluent avec le temps. Les évaluations statiques des risques à un moment donné ne reflètent pas la réalité, ont expliqué les analystes. Au lieu de cela, les équipes ont besoin d'un processus continu pour identifier le contexte de risque, l'évaluer à mesure que les plans et les objectifs se développent, prendre des décisions et surveiller les résultats.
L’approche doit également reconnaître que le cyber-risque constitue un risque commercial. Les analystes ont noté qu'en général, le responsable des risques sélectionne le modèle de gestion des risques, tandis que le RSSI doit s'assurer que le modèle est fonctionnel pour les besoins de cybersécurité de l'organisation. Sans travailler en étroite collaboration, les professionnels de la sécurité et du risque vivent dans la peur d’un audit à l’autre alors que des événements à risque prévisibles et évitables se matérialisent à plusieurs reprises.
« Le responsable des risques et le responsable de la sécurité de l'information doivent être sur la même longueur d'onde lors de la mise en œuvre d'un cadre de gestion des risques, car tous deux sont responsables de l'identification et du traitement des différents aspects des risques au sein de l'organisation », a observé Sunlin.
« Le CRO se concentre généralement sur les risques commerciaux et opérationnels globaux, tandis que le RSSI se concentre sur les risques de cybersécurité. Cependant, les deux rôles ont des responsabilités qui se chevauchent en matière de gestion des risques, et leurs équipes possèdent des informations cruciales qui doivent être partagées pour gérer et atténuer efficacement les risques.
« La collaboration entre le CRO et le RSSI garantit une approche holistique de la gestion des risques, permettant à l'organisation d'identifier, d'évaluer et de résoudre de manière proactive les menaces potentielles dans tous les domaines », a-t-elle déclaré. «Lorsque leurs efforts sont alignés, cela favorise une stratégie de risque unifiée et globale qui réduit les vulnérabilités et améliore la résilience globale de l'entreprise.»
Le modèle de Forrester
Scott et Valente ont également vanté le modèle de gestion continue des risques de Forrester, qu'ils ont salué comme « un modèle de gestion holistique des risques ».
L'approche de Forrester n'est pas complètement nouvelle, a noté Amit. « Cela imite la manière dont les organisations modernes gèrent les risques », a-t-il déclaré.
« L'introduction d'outils permettant à une organisation d'obtenir des données plus fréquentes sur ses contrôles et processus internes, ainsi que sur les menaces externes, permet une gestion des risques plus granulaire et plus continue que périodique », a-t-il expliqué.
Il a également souligné que les exigences d’audit et de conformité obligent les organisations à mettre en œuvre une collecte de preuves et des contrôles plus continus, ce qui leur permet, à leur tour, de pratiquer une gestion des risques plus prononcée sur une base continue.
Fondamentalement, les gens doivent comprendre ce que sont la gestion des risques et la sécurité, a conseillé Winkler. « La définition de la sécurité est d’être à l’abri de tout risque, et on ne peut jamais être à l’abri de tout risque. »
« Les professionnels de la sécurité doivent comprendre que leur métier consiste essentiellement à gérer les risques, ce qui implique de prendre les meilleures décisions pour optimiser leurs dépenses par rapport au montant de la perte potentielle », poursuit-il. « Cela nécessite une bonne science décisionnelle et des outils mathématiques pour nous aider. Cela fera passer leur travail d’un art à une science.