Vous avez désormais une vision précise de la situation existante de votre département SI, avec une granularité par thématique et une vision de votre maturité.
Afin d’approfondir votre connaissance, il faut désormais flécher les zones de risques pour votre entreprise et les métiers, pour ensuite décrire un plan des actions à mener pour atteindre la “situation cible” que vous souhaitez obtenir.
En partant de votre “As is situation”, c’est-à-dire de votre analyse de la situation existante que vous venez de terminer, vous allez identifier les points d’attention et les zones de risque.
Qu’est-ce qu’une zone de risque ?
Par risque, on entend communément la possibilité qu’un événement indésirable survienne. Un risque est la combinaison d'enjeux soumis à un aléa. Vous trouverez parfois la formule suivante:
risque = aléa x enjeux
Ce qu’il faut bien comprendre dans l’exercice que vous allez réaliser, c’est qu’il faut systématique se poser la question: “Si nous ne mettons pas telle procédure en place, quels sont les risques encourus pour notre entreprise ? Quels sont les impacts ?”
Il existe peut-être dans votre entreprise une personne en charge de la gestion des risques ou d’une démarche qualité relative à l’ensemble de l’entreprise. Un conseil, rapprochez-vous d’elle.
Identifiez les risques
Pour bien identifier les risques liés à la matrice de maturité, leurs impacts et leurs conséquences, commencez par lister les catégories de risques pour votre entreprise.
Voici une liste non exhaustive, des risques que vous pouvez rencontrer en entreprise. À vous de la compléter et de vous l’approprier en y ajoutant des éléments liés au contexte de votre entreprise :
risque financier ;
risque opérationnel ;
risque réglementaire ;
risque environnemental ;
risque politique ;
risque technologique ;
risque fournisseur ;
…
Évaluez les risques
Ensuite, il faut se questionner sur les risques en eux-mêmes en cas de statu quo de la situation existante: “Que se passe-t-il si le risque devient avéré, c’est-à-dire, s’il se réalise ?”
On entre ici dans la distinction entre les notions de risque potentiel et de risque avéré. En tant que manager ou chef de projet, il est de votre responsabilité d’identifier cette distinction, de pointer clairement les impacts éventuels et de les quantifier.
Découvrez un retour d’expérience terrain sur les risques
Dans l’exemple présenté ci-dessus, notre analyse de la situation existante rapporte un point de vigilance sur la thématique de l'architecture, notamment sur le point “principes et règles d’architecture mis en œuvre”. Comment analyser le risque encouru pour la société ?
Voici un cheminement que vous pouvez emprunter pour mener à bien votre analyse de risque !
Étape 1 : Identifier les risques
Que peut-il se passer si le référentiel de normes n’est pas partagé, connu de tous et mis à jour régulièrement ?
risque financier :
les engagements contractuels avec nos adhérents peuvent être mis à mal avec une incidence financière ;
risque opérationnel :
des difficultés d’interopérabilité entre les applications, logiciels, serveurs peuvent survenir,
la continuité de service peut être mise à mal pour les utilisateurs et les clients ;
risque réglementaire :
il faut assurer le respect des normes du secteur,
les données personnelles peuvent être en situation de risque → protection des données personnelles (RGPD) ;
risque technologique :
des difficultés à effectuer les montées de version peuvent survenir si les protocoles ne sont pas respectés.
Étape 2 : Quantifier les impacts de chacun des risques
risque financier: calculer les pénalités financières liées aux contrats adhérents ;
risque opérationnel :
calculer le coût (jour-homme) pour rétablir la situation,
calculer le coût (jour-homme) de remise en service ;
risque réglementaire :
calcul coût de remise aux normes (jour-homme + prestataire),
évaluation d’une potentielle sanction en cas de litige avec le CNIL ;
risque technologique :
calcul coût prestataire pour montées de version.
Étape 3 : Prioriser les risques à traiter
Il existe plusieurs méthodes de gestion et de quantification des risques. L’objectif de cette étape est de prioriser les risques par catégorie et pouvoir focaliser ses efforts de manière efficace et productive.
Ici, deux critères sont utilisés : la probabilité d’apparition du risque et sa gravité. L’échelle utilisée est volontairement simple.
Voici l’échelle du critère de “probabilité d’apparition” :
très improbable ;
improbable ;
probable ;
très probable.
Voici l’échelle du critère de “gravité” :
conséquences mineures, insignifiantes ;
conséquences sans gravité ;
conséquences majeures, significatives ;
conséquences importantes, catastrophiques.
En résumé
il est important d’identifier les zones de risques de votre organisation au regard de votre matrice d’analyse, de les classifier en fonction de votre entreprise, de son secteur et de sa situation existante ;
il faut ensuite quantifier ces risques, cela permet d’objectiver les choses ;
dernière étape, prioriser les risques avant d’entamer les actions correctives. Ceci, évidemment, dans un souci d’efficacité !
Avant de vous lancer dans l'élaboration du plan d'action stratégique de votre service IT, je vous propose de tester vos connaissances sur les chapitres que vous venez de découvrir !