À L’EXTERNE : UNE QUESTION DE NÉCESSITÉ

Le processus décisionnel de la gestion des risques informationnels suppose également une structure d’échanges où les interactions formelles et informelles se situent dans un contexte global où les acteurs externes représentent une pièce de l’engrenage essentielle au bon fonctionnement du mécanisme. Et lorsqu’il est question de la dynamique relationnelle externe, nous ne faisons pas exclusivement référence à la sous-traitance. En effet, en matière de gestion des risques informationnels, ce sont parfois les autorités publiques ou certaines instances gouvernementales qui sont impliquées, les firmes-

27 _{Références aux valeurs organisationnelles telles que l’intégrité, la réputation, l’engagement, la} confiance, l’éthique, le sens de la justice, le professionnalisme et la sécurité, pour ne nommer que celles- là.

conseils (vérifications, gestion des risques, systèmes d’information), les cabinets d’avocats spécialisés, les clients ou les fournisseurs pour ne mentionner que ceux-là. À titre d’exemple, deux gestionnaires, pour des raisons sécuritaires et aussi, nous a-t-on avoué, pour des raisons de protectionnisme, entretiennent des relations privilégiées avec les services secrets, dont les pays ne peuvent être mentionnés ici. Cependant, la méfiance est toujours de mise selon l’expérience qu’en a fait l’interviewé 8 : «On se méfie toujours des gouvernements. Quand tu vas voir une agence gouvernementale, il te demande de l’information, il t’en donne jamais, c’est toujours pareil». Les interviewés 1, 2, et 4 nous ont aussi parlé de l’implication de certains ministères dont les responsabilités sont en lien avec les activités de l’entreprise. Ces mêmes interviewés nous ont aussi fait part de l’existence de partenariats formels et informels avec certains corps policiers. Poursuivant des objectifs relativement différents, ces gestionnaires nous ont dépeint leurs relations comme étant harmonieuses et réciproques en termes d’échange d’informations. Par ailleurs, plusieurs gestionnaires se sont prononcés à l’effet que la sous-traitance de certaines activités devient inévitable. Discutons d’abord de la nécessité d’avoir recourt à une firme de vérificateurs externes. Dans la section précédente, nous avons abordé la question du respect des normes et des lois entourant par exemple, les processus de gestion des risques et la protection des données bancaires. Nous n’avons pratiquement qu’effleuré ces deux normes alors qu’il en existe une quantité faramineuse. «La vérification interne devient trop complexe, les risques sont trop grands et les attentes de la haute direction et du comité de vérification augmentent» (Stephen Hack, CPA, associé chez Ernst & Young)28_{. C’est pourquoi de nombreuses entreprises font appels aux} services diversifiés de firmes comptables dont les activités s’étendent au niveau mondial. Comme nous l’avons souligné à quelques reprises, ces firmes se sont spécialisées dans la gestion des risques en entreprise : la sécurité des données et les risques technologiques en font partie.

28 _{Propos recueillis par Scroppo, Fina. Version numérique de l’édition janvier-février 2006 de CA}

«Notre responsabilité, c’est d’embaucher une firme externe qui vient donner une opinion indépendante sur la sécurité des données. Nous on est sujet à une vérification de Sarbanes-Oxley, c’est une législation américaine parce que la compagnie a aussi des activités aux États-Unis. Et ça, ça audite ou vérifie, c’est toutes les règles de gouvernance, toutes les prises de décision à propos des données sensibles» (Interviewé 14).

Quant à la norme PCI, un gestionnaire, dont l’entreprise concentre ses activités au Canada, nous a appris que : «Lorsque quelqu’un est accrédité PCI, plus besoin d’inspection externe, c’est de l’auto-audit. Mais on doit rencontrer des normes strictes et ce sont des examens annuels pour renouveler la certification» (Interviewé 12).

Au total, huit entreprises de notre échantillon recourent aux services de vérificateurs externes pour la gouvernance des risques. Diverses raisons expliquent ce choix (si on peut l’exprimer ainsi), notamment une internationalisation des activités, un manque d’expertise à l’interne ou encore, une clause contractuelle (ce qui est souvent le cas avec les contrats gouvernementaux). Plusieurs de ces firmes de vérification possèdent également l’expertise dans une multitude d’autres domaines comme la gestion des TI et sont par conséquent, en mesure d’offrir des services tels que les tests d’intrusion. Ces tests consistent à tenter de pénétrer un système informatique et d’en découvrir les failles. Quelques-uns des gestionnaires avec lesquels nous nous sommes entretenus nous ont fait part qu’ils projettent de solliciter ce type de service d’une firme indépendante.

«La seule chose c’est que bientôt on va se faire auditer, faire des tests de pénétration pour tout ce qui fait face à internet, nos sites (…). Parce que présentement, on le fait de l’interne, on scanne nos sites mais ça l’a une limitation, on y va vraiment ad hoc» (Interviewé 11).

La sous-traitance de l’expertise en TI est requise dans d’autres cas, notamment pour réévaluer le périmètre réseau : «On est en train de signer un nouveau contrat pour qu'il

fasse ce qu'on appelle le périmètre du réseau pour voir ce qui rentre et ce qui sort» (Interviewé 8) ou pour en redéfinir l’architecture : «On a mandaté une firme pour nous accompagner dans l’établissement de l’architecture du réseau, s’assurer que ça soit sécuritaire» (Interviewé 3). D’autres pensent même se tourner vers l’application en nuage : «(…) on est en train d’évaluer ce qu’il y a sur le marché pour ça. J'étais réticent au début mais de plus en plus il y a des compagnies qui sont sérieuses qui offrent des solutions qui sont blindées» (Interviewé 8). L’interviewé 5 quant à lui, possède l’expertise à l’interne alors il ne voit pas la nécessité de payer pour un service qu’il est en mesure de se procurer au sein même de son entreprise: «J’ai pris la décision parce que j’avais l’expertise à l’interne, sinon j’serais allé à l’extérieur». À cela, nous ajouterons les firmes d’avocats, qui fournissent aussi une expertise particulière au niveau de la protection des données et des renseignements personnels. Deux interviewés (8 et 12) nous ont mentionné avoir eu recours à une firme d’avocats pour «paramétrer» leurs actions en cette matière.

Par ailleurs, il est essentiel de souligner la présence de tierces parties qui, sans influencer directement le processus décisionnel du gestionnaire de la sécurité, représentent, et nous reprenons ici les termes de l’interviewé 10, «le maillon faible» de la chaîne : les clients et les fournisseurs. S’il est possible de choisir un autre fournisseur par crainte que celui- ci ne respecte pas nos standards de sécurité, il n’en est rien pour les clients. Ce que nous rapportent certains interviewés, c’est que bien que l’environnement de l’entreprise soit contrôlé contre toute intrusion inopportune (ou presque), l’environnement des clients et des fournisseurs demeurent inconnu. «Ils attendent que quelque chose arrive pour agir» (Interviewé 9). Cette affirmation reflète d’ailleurs l’une des préoccupations majeures des répondants de divers sondages que nous avons consultés. Comme la sous-traitance devient un moyen de plus en plus efficace pour avoir recours à une expertise particulière durant une période prédéterminée, il faut considérer que le degré d’exposition au risque augmente en conséquence de ce que l’organisation perd en termes de contrôle des processus de sécurité (Deloitte 2013). Dans le meilleur des cas, il sera possible de négocier une clause de confidentialité comportant certains paramètres liés à la sécurité de l’information.

Finalement, soulignons que malgré l’influence structurante importante que les assureurs peuvent avoir sur la gestion des risques en entreprise, aucun des sujets interviewés n’en a même fait mention. L’occasion s’est pourtant présentée à quelques reprises, notamment lorsqu'il a été question de contraintes, des acteurs externes ou des tierces parties. Nous aurions pu nous attendre à ce que les sujets membres d’un comité de gouvernance en face allusion mais cela n’a pas été le cas. Même du côté des PME, les assureurs n'ont jamais été mentionnés. Est-ce parce que les assureurs traitent directement avec le département légal ou le directeur général dans le cas des PME? Et bien que dans certains cas, le domaine d'activités de l’entreprise pourrait susciter moins d’obligations de la part des assureurs, d’autres ne pourraient y échapper. Quoi qu’il en soit, à l’heure actuelle, nous ne pouvons que spéculer.

En résumé, les relations qu’entretient le gestionnaire de la sécurité avec les autorités publiques, les firmes conseils, les bureaux d’avocats, les clients et les fournisseurs ne dépendent pas uniquement de la taille de l’entreprise et de sa capacité à engager des ressources compétentes. Les propos des interviewés nous convainquent que d’une part, la demande de services est fonction de la conjoncture et de besoins souvent provisoires et spécifiques. D’autre part, les activités de l’entreprise obligent les gestionnaires à s’engager dans un rapport de convenance afin d’assurer la réputation de l’organisation et la conformité aux lois et normes en vigueur mais aussi, dans certains cas, afin de protéger les intérêts de la population et par extension, ceux de l’État.