La crise sanitaire des derniers mois nous a contraint à réfléchir davantage à la gestion des risques et à bousculer notre capacité d’adaptation : identifier les risques de son Système d’Information (SI), c’est anticiper des crises éventuelles !

Quelle méthode adopter pour la gestion des risques informatiques ?

Comme l’évoquait Jean-François Clervoy dans un interview récente, les astronautes se préparent à 30% du temps sur les processus envisagés et à 70% du temps sur la gestion de l’imprévisible. L’objectif n’est pas de les déstabiliser, mais qu’ils soient en capacité à s’adapter à des nouvelles situations.

Mettre en œuvre une Gestion des risques dans son entreprise, c’est définir une stratégie globale visant à protéger son image, ses savoir-faire, son capital humain, ses données, … Mais aussi et surtout, à diminuer les temps d’interruptions de son Système d’Information !

ANTAŬEN vous accompagne étape par étape dans votre gestion des risques

De manière générale, la première étape consiste à s’assurer de la maîtrise de vos assets informatique. Pour cela, il est nécessaire d’identifier plusieurs éléments :

• Votre existant : technique, applicatif ;
• Vos contrats : maintenances, supports ;
• Vos besoins : les besoins métiers sont formalisés au travers d’une Analyse d’Impacts Business (BIA) afin de définir les applications et les services critiques pour votre entreprise.

Une fois les criticités identifiées, on cherchera à vérifier que les infrastructures portant ces applications répondent aux besoins et que l’ensemble des contrats de services des applications et des infrastructures sont en adéquation avec les exigences.

Ensuite, des tests permettent de vérifier le bon fonctionnement : allant des tests unitaires jusqu’à des tests plus complet. La planification régulière de ces tests est une habitude permettant de trouver des repères en cas d’apparition d’une véritable crise (comme un sportif, on doit s’entrainer pour être prêt pour les compétitions !).

Dans les étapes suivantes, on commencera à étudier la gestion de crise en se posant différentes questions :

• Qui porte les différents rôles ?
• Quels sont les processus d’activation et de dissolution de la cellule de crise ?
• Qui pilote les tests ?

Nous avons l’habitude de vouloir tout cadrer, tout certifier, tout processer, … C’est une bonne chose, néanmoins, démarrer la mise en œuvre d’un plan de progression pas à pas est souvent pertinent avant de toucher des certifications ISO 22301 (nos habitudes tiennent plus du latin que du germanique).

La dernière étape est celle du bilan après chaque exercice. L’objectif ici est d’analyser ce qui s’est passé afin de trouver les points d’amélioration !

« Nous surestimons toujours le coût de la bonne décision
et sous-estimons toujours le coût final de la mauvaise décision »

Henry Ford

Une question, un projet ? Contactez-nous via le formulaire ci-dessous :