La gestion des risques informationnels - Colloque RSI

La gestion des risques 

informationnels 

L’approche adoptée par Desjardins 

Conférence RSI 28 mars 2011

Table des matières 

Desjardins en quelques mots 

La gestion intégrée des risques et la sécurité de l’information 

Les enjeux liés à l’information 

Modèle de gestion des risques informationnels (RI) 

Mise en place de la fonction de gestion des RI (GRI) 

Conclusion 

2

Présentation de 

Desjardins 

Leader dans un monde en mouvement 

3

Le Mouvement Desjardins en bref 

Fondé en 1900 au Québec par Alphonse Desjardins 

Le Mouvement Desjardins est le premier groupe 

financier coopératif du Canada 

La sixième plus importante institution financière de 

dépôts au Canada 

Excédents de 1,437 G$ 

5,8 millions de membres, 42 000 employés 

1 400 points de service 

La seule institution financière dans plus de 600 

localités 

(1) Les valeurs au bilan, les excédents et les ratios de capital sont des données au 31 décembre 2010. 

Desjardins en un coup d'oeil (1) 

• Actif total : 172,3 G$ CA 

• Total des dépôts : 112,9 G$ CA 

• Total cap. propres : 13,0 G$ CA 

• Caisses affiliées : 481 

• Centres de services : 903 

• Centres fin. aux entreprises : 51 

• Guichets automatiques : 2 728 

• Membres : 5,8 millions 

• Dirigeants élus : 6 258 

• Employés : 42 273 

• Excédents : 1 437 G$ CA 

• Ratio de cap. de 1 re cat. : 17,7 % 

• Ratio de cap. total : 18,7 % 

4

Le Mouvement Desjardins en bref 

Un conglomérat financier diversifié: 

– Assurance de personnes 

– Assurance de dommages 

– Valeurs mobilières plein exercice et à escompte 

– Fiducie 

– Capital de risque 

5

Organigramme du Mouvement Desjardins 

Réseau 

coopératif 

Réseau 

des filiales 

Caisse centrale 

Desjardins 

Capital Desjardins 

Fonds de sécurité 

Desjardins 

Desjardins 

Sécurité 

financière 

Desjardins 

Groupe 

d'assurances 

générales 

5,8 millions 

de membres au Québec et 

en Ontario 

481 caisses 

au Québec et en Ontario 

Fédération du 

Québec et de 

l'Ontario 

Valeurs 

mobilières 

Desjardins 

Disnat 

Desjardins 

Gestion d'actifs 

Fiducie 

Desjardins 

6

D'excellentes cotes de crédit de 1 er rang 

La Caisse centrale Desjardins détient les cotes de crédit de premier rang les plus élevées en 

comparaison avec ses pairs (1) 

Moody’s S&P DBRS 

Banque Royale du Canada Aaa AA- AA 

Toronto-Dominion Aaa AA- AA 

Desjardins Aa1 AA- AA 

Banque Scotia Aa1 AA- AA 

Bank of New York Mellon Aa2 AA- AAL 

Banque de Montréal Aa2 A+ AA 

CIBC Aa2 A+ AA 

U.S. Bancorp Aa3 A+ AA 

Wells Fargo A1 AA- AA 

Banque Nationale du Canada Aa2 A AAL 

JP Morgan Chase Aa3 A+ AH 

Northern Trust A1 AA- AAL 

State Street A1 A+ AAL 

PNC Financial A3 A AH 

Source: Moody’s, S&P, DBRS 

(1) Selon la moyenne des cotes attribuées par Moody’s, S&P et DBRS 

7

Présentation de Desjardins 


Performance de Desjardins reconnue à l’international 

Reçu le titre de Bank of the Year 2010 – Canada par The Banker, une référence 

internationale en matière d’information financière 

La certification internationale COPC (Customer Operation Performance Center) 

attribuée depuis 6 années consécutives à Desjardins pour ses centres de contact 

avec la clientèle, une première mondiale dans l’industrie financière 

Le 25 e rang dans le classement 2010 World’s Safest Banks (4 e position en 

Amérique du Nord) publié par Global Finance, de New York (26 e rang en 2009) 

Le 91 e rang dans le classement 2010 Top 1000 World Banks, de The Banker, 

établi sur la base de la solidité de sa capitalisation (104 e rang en 2009) 

L’une des 10 entreprises canadiennes les plus admirées pour sa culture 

organisationnelle par Waterstone Human Capital 

8



La gestion intégrée des risques chez Desjardins 

Les risques sont regroupés en 7 grandes catégories autour d’un langage 

commun. 

1. Gestion de tous les types de risques 

favorisant une compréhension des 

interrelations 

2. Processus uniforme 

3. Vision globale 

4. Intégration des risques dans les 

pratiques de gestion et systèmes 

décisionnels, dans le respect de la 

dimension coopération 

9

La gestion intégrée des risques chez Desjardins 

L’information est au cœur des activités d’une institutions 

financières. 

Les membres et clients nous confit de l’information confidentielle 

sur eux, ainsi que sur leurs avoirs nous demandant d’en assurer 

l’intégrité, la confidentialité et la disponibilité. 

Le risque de réputation peut être affecté de façon significative 

en cas de manquement à cet égard. 

10

Le risque opérationnel est une nouvelle exigence des autorités 

réglementaires depuis quelques années. 

Il se défini comme: 

Les risques opérationnels 

«Le risque d’une inadéquation ou d’une défaillance attribuable à des 

processus, à des personnes, à des systèmes internes ou à des 

événements extérieurs se soldant par des pertes, la non-atteinte des 

objectifs ou des impacts négatifs sur la réputation» 

Ce risque est inhérent à toute activité, qu’elle soit réalisée à 

l’interne ou bien qu’elle soit impartie. 

11



PRINCIPALES CATÉGORIES DE RISQUE 

OPÉRATIONNEL 

• Fraude interne 

• Fraude externe 

• Pratiques en matière d’emploi et de 

sécurité sur le lieu de travail 

• Les membres, clients, produits et 

pratiques commerciales 

• Les dommages aux actifs corporels 

• Les interruptions d’activité et 

dysfonctionnements des systèmes 

• L’exécution, la livraison et la gestion 

des processus 

Les risques opérationnels 

12



Historique de la sécurité de l’information 

2005 2007 2009 2011 

• Création de la fonction 

Gestion intégrée des 

risques (GIR) 

• Création d’une équipe 

sécurité de l’information 

au sein de la fonction 

GIR 

• Modèle de gestion 

fédéré (réf. : Forester) 

• Optimisation du 

modèle implanté en 

2005 

• Découpage selon les 

activités stratégiques, 

tactiques et 

opérationnelles 

• Stratégiques = Gestion 

des risques 

• Tactiques et 

opérationnelles = TI 

• Restructuration 

Mouvement 

• Migration du modèle 

fédéré vers la 

centralisation en deux 

pôles (GR et TI) des 

activités de sécurité 

• Découpage des 

activités selon la 

nature (GR ou TI) 

plutôt que stratégiques, 

tactiques et 

opérationnelles. 

13 

• Mise en place de 

la fonction gestion 


informationnels

Les enjeux liés à 

l’information 

Une opportunité pour revoir notre vision 

14



L’information est au cœur des activités d’une institution 

financière 

Les dirigeants portent une attention particulière à : 

– l’intégrité et la qualité de l’information financière 

– l’intégrité et la qualité de l’information de gestion 

– la divulgation non autorisée de documents stratégiques 

– la disponibilité de l’information pour assurer la continuité des 

services essentiels 

– la gestion des informations sensibles tout au long de leur cycle 

de vie 

15



Les membres, clients et employés sont préoccupés par la 

protection de leurs renseignements personnels 

Les autorités réglementaires et les agences de notation 

surveillent : 

– la qualité de notre gestion intégrée des risques 

– notre conformité légale et réglementaire 

16



Tendances de positionnement dans le domaine financier 

Principales tendances observées selon une enquête de 

Deloitte à la fin 2010 : 

– En Europe, la responsabilité de la gestion globale des risques 

informationnels se retrouve principalement sous la fonction de 

gestion intégrée des risques 

– Une fonction formelle de CIRO (Chief Information Risk Officer) a 

été identifiée dans les dix institutions financières étudiées 

– Un lien étroit semble s’établir entre le domaine de la protection 

des renseignements personnels (PRP) et la gestion des risques 


17



Constat de la situation actuelle de la protection de l’information 

Gouvernance financière 

Information de gestion 

Protection des renseignements personnels 

Gestion documentaire 

Sécurité de l’information 

18 

Plusieurs unités sont 

impliquées dans la 

gestion de l’information 

Difficile d’assurer une 

vision globale et intégrée 


informationnels



Vers une gestion intégrée de l’information afin de ... 

Gestion des risques 


Gouvernance financière 

Information de gestion 

Protection des renseignements personnels 

Gestion documentaire 

Sécurité de l’information 

19 

Créer une vision et 

atteindre une culture en 

matière de gestion des 

risques informationnels 

S’assurer d’une gestion 

saine et intégrée des 

risques informationnels 

S’assurer d’une cohésion 

et de l’efficacité dans la 

mise en place des 

mesures d’atténuation 

des risques



Les objectifs découlant des enjeux 

Gérer les risques associés à l’information de façon à contribuer 

à l’atteinte des objectifs d’affaires 

– Conserver nos avantages concurrentiels 

– Préserver notre image de marque 

– Assurer la qualité de la prestation de services 

– Assurer la qualité de la prise de décision en temps opportun 

– Contribuer à la disponibilité des services essentiels 

20



Développer un partenariat avec les secteurs d’affaires 

et de soutien dans le but : 

– De les accompagner dans leur développement 

– Tout en assurant une saine gestion des risques 

– Et en assurant le respect de la conformité aux différentes exigences 

réglementaires applicables 

21



Mission - Risques informationnels 

Contribuer à protéger l’image et la réputation du 

Mouvement Desjardins et à soutenir son 

développement en encadrant et coordonnant les 

activités visant à assurer la confidentialité, l’intégrité, 

la disponibilité des informations et la protection des 

renseignements personnels. 

Coopération et engagement 

S’engager dans l’éducation de nos membres, 

de nos clients et de la population 

Excellence de l’expérience 

membre et client 

Maintenir et renforcer la confiance 

des membres et des clients 

Leadership et mobilisation 

du capital humain 

Développer une culture de saine 

gestion de l’information 

Un groupe financier 

coopératif performant, 

productif, innovateur 

et solide 

Vision - Risques informationnels 

Croissance et innovation 

Devenir le conseiller stratégique de 

confiance auprès des différents secteurs 

22 

Offrir une expertise en gestion des risques 

informationnels et exercer son rôle de conseiller 

stratégique et en partenariat avec les secteurs 

d’affaires et de soutien Mouvement et le réseau 

des caisses et en appui aux instances du 

Mouvement. 

Rentabilité et productivité 

Avoir un programme cohérent et 

efficace axé sur le partenariat 

Solidité financière et 

gestion des risques 

Gérer les risques informationnels 

de façon intégrée

Modèle de gestion des 

risques informationnels (RI) 

Équilibrer performance et saine gestion 

23

Modèle de gestion des RI 


Le développement du modèle nécessite : 

– d’être aligné aux orientations stratégiques de l’entreprise 

– la clarification des rôles et responsabilités entre les différents 

intervenants 

– d’être en mesure de démontrer la valeur ajoutée de la GRI 

– l’intégration des pratiques avec les secteurs d’affaires et 

l’établissement d’un solide partenariat avec les fonctions de 

soutien (ex. : TI, RH, gestion de projet, approvisionnement, 

contrôles internes, etc.) 

24

Modèle de gestion des RI 


Le développement du modèle nécessite (..suite) : 

– la création d’un lieu de concertation dédié à la GRI 

– de s’assurer d’une visibilité auprès des hautes instances 

décisionnelles 

25

Mise en place de la fonction GRI 

Une approche de partenariat 

Cadre de gestion des risques informationnels (RI) 

26

Mise en place de la fonction GRI 

Une approche de partenariat 

Conformité réglementaire 

Officiers de PRP 

Vérification interne 

Principaux partenaires de la GRI 

Finance 

Programme de 

gestion des risques 


Sécurité 

technologique 

Approvisionnement 

Informations de 

gestion 

27 

Ressources humaines

Conclusion 

Bénéfices liés à l’approche GRI 

28

Conclusion 


Depuis 2005, 

– revue les rôles et responsabilités entres gestion des risques et les 

TI en matière de sécurité de l’information 

– appliqué une approche basée sur le risque intégré à la gestion du 

risque opérationnel 

– impliqué les secteurs d’affaires dans les décisions liés à la SI 

Prochains défis: 

– mettre en place une gestion des risques informationnelles qui 

implique tous les partenaires 

– agir a titre de conseiller stratégique pour les secteurs d’affaires 

29

Conclusion 


– Passer de conseiller expert à un rôle de conseiller stratégique auprès 

des gestionnaires et dirigeants 

Conseiller expert Conseiller stratégique 

Fourni des conseils dans son domaine Fourni des conseils dans son domaine 

d’expertise d’expertise tout en ayant une perspective 

d’affaires plus large des situations 

Réalise ses interventions auprès d’autres 

experts et des gestionnaires d’une 

organisation 

Réalise ses interventions auprès des 

gestionnaires supérieurs d’une organisation 

et des membres du conseil d’administration 

et de leurs comités 

30

Conclusion 


Conseiller expert Conseiller stratégique 

Assure une vigie dans son domaine 

d’expertise afin de proposer des solutions 

innovatrices 

Assure la mise en œuvre de ses 

recommandations en participant à la 

réalisation des projets 

Assure une vigie des domaines connexes à 

l’organisation afin de proposer des stratégies 

à valeur ajoutée permettant l’amélioration de 

la performance de l’organisation 

Anticipe et facilite les changements 

organisationnels qui découlent de ses 

recommandations 

31

Conclusion 


Les gains liés à l’approche GRI (suite) : 

– Meilleure cohérence dans la gestion des risques informationnels 

– Création de valeur ajoutée notamment par le biais de synergies 

– Clarification des rôles et responsabilités dans l’organisation 

– Support au développement des affaires 

32

Questions? 

33

La gestion des risques informationnels - Colloque RSI

Create successful ePaper yourself

Delete template?

Save as template?