La RSA Conference Europe consacre la gestion du risque Jerome Saiz le 28 octobre 2008 à 11h02, dans la rubrique Conformité & Bonnes pratiques Commentaires fermés sur La RSA Conference Europe consacre la gestion du risque art coviellogestion du risquepokerrisk managementrsa conferencersa conference 2008rsa2008 L’édition européenne de la conférence RSA met l’accent sur la gestion des risques plutôt que l’approche réactive aux incidents de sécurité. Une notion qui, étonnamment, devrait parler aux amateurs de poker… « Les entreprises qui ne gèrent pas leurs risques disparaîtront », expliquait Art Coviello, le patron de RSA, lors de la conférence d’inauguration de l’événement. Et celles qui ne sombrent pas tout de suite seront, toujours d’après Art Coviello, incapables de soutenir l’innovation. Or, cette dernière lui apparaît comme une planche de salut pour les entreprises frappées par la crise financière du moment. Qu’il ait raison on non, il livre en tout cas un bel argument aux RSSI afin de justifier leur action auprès de la Direction. La sécurité qui tire profit de la crise, c’était d’ailleurs aussi le propos d’Eric Domage (IDC) qui expliquait à l’occasion des Assises de la sécurité comment les investissements sécurité en période de crise peuvent aider la sécurité à se faire valoir auprès de la Direction. Mais il y a investissement et investissement. Selon Art Coviello, trop d’entreprises se contentent d’investir dans la sécurité en réponse à des incidents isolés, plutôt que d’investir là où une analyse de risque indique que c’est nécessaire. Une telle approche ne peut que donner lieu à des silos protégés et non à ce qui devrait être l’objectif de la sécurité : une protection destinée à assurer le business en veillant sur ses rouages critiques. Mais Art Coviello ne se contente pas d’encourager les RSSI à devenir des « experts du risque » : il les exhorte aussi à devenir des experts du métier. Et si l’argument n’a rien d’original, il prend tout son sens une fois combiné à l’expertise du risque : en maîtrisant ces deux domaines, le RSSI pourra piloter en fonction des risques encourus face aux gains potentiels des projets du business. Car se contenter d’être un expert du risque en ignorant les gains espérés d’un projet business ne peut qu’amener à faire des choix imparfaits. Tout comme au poker, le gain potentiel influe sur l’acceptation du risque : il faut « avoir la côte ». Et le RSSI qui ne prendrait ses décision qu’en se basant sur une analyse de risque serait à l’image du joueur de poker qui ne joue qu’en fonction des statistiques de ses mains, en ignorant les côtes du pot. Il serait, sur le long terme, perdant. Vous avez aimé cet article? Cliquez sur le bouton J'AIME ou partagez le avec vos amis! Notez L'article Participez ou lancez la discussion!