La gestion des risques informationnels - Colloque RSI
La gestion des risques informationnels - Colloque RSI
La gestion des risques informationnels - Colloque RSI
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>La</strong> <strong>gestion</strong> <strong>des</strong> <strong>risques</strong><br />
<strong>informationnels</strong><br />
L’approche adoptée par Desjardins<br />
Conférence <strong>RSI</strong> 28 mars 2011
Table <strong>des</strong> matières<br />
Desjardins en quelques mots<br />
<strong>La</strong> <strong>gestion</strong> intégrée <strong>des</strong> <strong>risques</strong> et la sécurité de l’information<br />
Les enjeux liés à l’information<br />
Modèle de <strong>gestion</strong> <strong>des</strong> <strong>risques</strong> <strong>informationnels</strong> (RI)<br />
Mise en place de la fonction de <strong>gestion</strong> <strong>des</strong> RI (GRI)<br />
Conclusion<br />
2
Présentation de<br />
Desjardins<br />
Leader dans un monde en mouvement<br />
3
Le Mouvement Desjardins en bref<br />
Fondé en 1900 au Québec par Alphonse Desjardins<br />
Le Mouvement Desjardins est le premier groupe<br />
financier coopératif du Canada<br />
<strong>La</strong> sixième plus importante institution financière de<br />
dépôts au Canada<br />
Excédents de 1,437 G$<br />
5,8 millions de membres, 42 000 employés<br />
1 400 points de service<br />
<strong>La</strong> seule institution financière dans plus de 600<br />
localités<br />
(1) Les valeurs au bilan, les excédents et les ratios de capital sont <strong>des</strong> données au 31 décembre 2010.<br />
Desjardins en un coup d'oeil (1)<br />
• Actif total : 172,3 G$ CA<br />
• Total <strong>des</strong> dépôts : 112,9 G$ CA<br />
• Total cap. propres : 13,0 G$ CA<br />
• Caisses affiliées : 481<br />
• Centres de services : 903<br />
• Centres fin. aux entreprises : 51<br />
• Guichets automatiques : 2 728<br />
• Membres : 5,8 millions<br />
• Dirigeants élus : 6 258<br />
• Employés : 42 273<br />
• Excédents : 1 437 G$ CA<br />
• Ratio de cap. de 1 re cat. : 17,7 %<br />
• Ratio de cap. total : 18,7 %<br />
4
Le Mouvement Desjardins en bref<br />
Un conglomérat financier diversifié:<br />
– Assurance de personnes<br />
– Assurance de dommages<br />
– Valeurs mobilières plein exercice et à escompte<br />
– Fiducie<br />
– Capital de risque<br />
5
Organigramme du Mouvement Desjardins<br />
Réseau<br />
coopératif<br />
Réseau<br />
<strong>des</strong> filiales<br />
Caisse centrale<br />
Desjardins<br />
Capital Desjardins<br />
Fonds de sécurité<br />
Desjardins<br />
Desjardins<br />
Sécurité<br />
financière<br />
Desjardins<br />
Groupe<br />
d'assurances<br />
générales<br />
5,8 millions<br />
de membres au Québec et<br />
en Ontario<br />
481 caisses<br />
au Québec et en Ontario<br />
Fédération du<br />
Québec et de<br />
l'Ontario<br />
Valeurs<br />
mobilières<br />
Desjardins<br />
Disnat<br />
Desjardins<br />
Gestion d'actifs<br />
Fiducie<br />
Desjardins<br />
6
D'excellentes cotes de crédit de 1 er rang<br />
<strong>La</strong> Caisse centrale Desjardins détient les cotes de crédit de premier rang les plus élevées en<br />
comparaison avec ses pairs (1)<br />
Moody’s S&P DBRS<br />
Banque Royale du Canada Aaa AA- AA<br />
Toronto-Dominion Aaa AA- AA<br />
Desjardins Aa1 AA- AA<br />
Banque Scotia Aa1 AA- AA<br />
Bank of New York Mellon Aa2 AA- AAL<br />
Banque de Montréal Aa2 A+ AA<br />
CIBC Aa2 A+ AA<br />
U.S. Bancorp Aa3 A+ AA<br />
Wells Fargo A1 AA- AA<br />
Banque Nationale du Canada Aa2 A AAL<br />
JP Morgan Chase Aa3 A+ AH<br />
Northern Trust A1 AA- AAL<br />
State Street A1 A+ AAL<br />
PNC Financial A3 A AH<br />
Source: Moody’s, S&P, DBRS<br />
(1) Selon la moyenne <strong>des</strong> cotes attribuées par Moody’s, S&P et DBRS<br />
7
Présentation de Desjardins<br />
Leader dans un monde en mouvement<br />
Performance de Desjardins reconnue à l’international<br />
Reçu le titre de Bank of the Year 2010 – Canada par The Banker, une référence<br />
internationale en matière d’information financière<br />
<strong>La</strong> certification internationale COPC (Customer Operation Performance Center)<br />
attribuée depuis 6 années consécutives à Desjardins pour ses centres de contact<br />
avec la clientèle, une première mondiale dans l’industrie financière<br />
Le 25 e rang dans le classement 2010 World’s Safest Banks (4 e position en<br />
Amérique du Nord) publié par Global Finance, de New York (26 e rang en 2009)<br />
Le 91 e rang dans le classement 2010 Top 1000 World Banks, de The Banker,<br />
établi sur la base de la solidité de sa capitalisation (104 e rang en 2009)<br />
L’une <strong>des</strong> 10 entreprises canadiennes les plus admirées pour sa culture<br />
organisationnelle par Waterstone Human Capital<br />
8
Présentation de Desjardins<br />
Leader dans un monde en mouvement<br />
<strong>La</strong> <strong>gestion</strong> intégrée <strong>des</strong> <strong>risques</strong> chez Desjardins<br />
Les <strong>risques</strong> sont regroupés en 7 gran<strong>des</strong> catégories autour d’un langage<br />
commun.<br />
1. Gestion de tous les types de <strong>risques</strong><br />
favorisant une compréhension <strong>des</strong><br />
interrelations<br />
2. Processus uniforme<br />
3. Vision globale<br />
4. Intégration <strong>des</strong> <strong>risques</strong> dans les<br />
pratiques de <strong>gestion</strong> et systèmes<br />
décisionnels, dans le respect de la<br />
dimension coopération<br />
9
<strong>La</strong> <strong>gestion</strong> intégrée <strong>des</strong> <strong>risques</strong> chez Desjardins<br />
L’information est au cœur <strong>des</strong> activités d’une institutions<br />
financières.<br />
Les membres et clients nous confit de l’information confidentielle<br />
sur eux, ainsi que sur leurs avoirs nous demandant d’en assurer<br />
l’intégrité, la confidentialité et la disponibilité.<br />
Le risque de réputation peut être affecté de façon significative<br />
en cas de manquement à cet égard.<br />
10
Le risque opérationnel est une nouvelle exigence <strong>des</strong> autorités<br />
réglementaires depuis quelques années.<br />
Il se défini comme:<br />
Les <strong>risques</strong> opérationnels<br />
«Le risque d’une inadéquation ou d’une défaillance attribuable à <strong>des</strong><br />
processus, à <strong>des</strong> personnes, à <strong>des</strong> systèmes internes ou à <strong>des</strong><br />
événements extérieurs se soldant par <strong>des</strong> pertes, la non-atteinte <strong>des</strong><br />
objectifs ou <strong>des</strong> impacts négatifs sur la réputation»<br />
Ce risque est inhérent à toute activité, qu’elle soit réalisée à<br />
l’interne ou bien qu’elle soit impartie.<br />
11
Présentation de Desjardins<br />
Leader dans un monde en mouvement<br />
PRINCIPALES CATÉGORIES DE RISQUE<br />
OPÉRATIONNEL<br />
• Fraude interne<br />
• Fraude externe<br />
• Pratiques en matière d’emploi et de<br />
sécurité sur le lieu de travail<br />
• Les membres, clients, produits et<br />
pratiques commerciales<br />
• Les dommages aux actifs corporels<br />
• Les interruptions d’activité et<br />
dysfonctionnements <strong>des</strong> systèmes<br />
• L’exécution, la livraison et la <strong>gestion</strong><br />
<strong>des</strong> processus<br />
Les <strong>risques</strong> opérationnels<br />
12
Présentation de Desjardins<br />
Leader dans un monde en mouvement<br />
Historique de la sécurité de l’information<br />
2005 2007 2009 2011<br />
• Création de la fonction<br />
Gestion intégrée <strong>des</strong><br />
<strong>risques</strong> (GIR)<br />
• Création d’une équipe<br />
sécurité de l’information<br />
au sein de la fonction<br />
GIR<br />
• Modèle de <strong>gestion</strong><br />
fédéré (réf. : Forester)<br />
• Optimisation du<br />
modèle implanté en<br />
2005<br />
• Découpage selon les<br />
activités stratégiques,<br />
tactiques et<br />
opérationnelles<br />
• Stratégiques = Gestion<br />
<strong>des</strong> <strong>risques</strong><br />
• Tactiques et<br />
opérationnelles = TI<br />
• Restructuration<br />
Mouvement<br />
• Migration du modèle<br />
fédéré vers la<br />
centralisation en deux<br />
pôles (GR et TI) <strong>des</strong><br />
activités de sécurité<br />
• Découpage <strong>des</strong><br />
activités selon la<br />
nature (GR ou TI)<br />
plutôt que stratégiques,<br />
tactiques et<br />
opérationnelles.<br />
13<br />
• Mise en place de<br />
la fonction <strong>gestion</strong><br />
<strong>des</strong> <strong>risques</strong><br />
<strong>informationnels</strong>
Les enjeux liés à<br />
l’information<br />
Une opportunité pour revoir notre vision<br />
14
Les enjeux liés à l’information<br />
Une opportunité pour revoir notre vision<br />
L’information est au cœur <strong>des</strong> activités d’une institution<br />
financière<br />
Les dirigeants portent une attention particulière à :<br />
– l’intégrité et la qualité de l’information financière<br />
– l’intégrité et la qualité de l’information de <strong>gestion</strong><br />
– la divulgation non autorisée de documents stratégiques<br />
– la disponibilité de l’information pour assurer la continuité <strong>des</strong><br />
services essentiels<br />
– la <strong>gestion</strong> <strong>des</strong> informations sensibles tout au long de leur cycle<br />
de vie<br />
15
Les enjeux liés à l’information<br />
Une opportunité pour revoir notre vision<br />
Les membres, clients et employés sont préoccupés par la<br />
protection de leurs renseignements personnels<br />
Les autorités réglementaires et les agences de notation<br />
surveillent :<br />
– la qualité de notre <strong>gestion</strong> intégrée <strong>des</strong> <strong>risques</strong><br />
– notre conformité légale et réglementaire<br />
16
Les enjeux liés à l’information<br />
Une opportunité pour revoir notre vision<br />
Tendances de positionnement dans le domaine financier<br />
Principales tendances observées selon une enquête de<br />
Deloitte à la fin 2010 :<br />
– En Europe, la responsabilité de la <strong>gestion</strong> globale <strong>des</strong> <strong>risques</strong><br />
<strong>informationnels</strong> se retrouve principalement sous la fonction de<br />
<strong>gestion</strong> intégrée <strong>des</strong> <strong>risques</strong><br />
– Une fonction formelle de CIRO (Chief Information Risk Officer) a<br />
été identifiée dans les dix institutions financières étudiées<br />
– Un lien étroit semble s’établir entre le domaine de la protection<br />
<strong>des</strong> renseignements personnels (PRP) et la <strong>gestion</strong> <strong>des</strong> <strong>risques</strong><br />
<strong>informationnels</strong><br />
17
Les enjeux liés à l’information<br />
Une opportunité pour revoir notre vision<br />
Constat de la situation actuelle de la protection de l’information<br />
Gouvernance financière<br />
Information de <strong>gestion</strong><br />
Protection <strong>des</strong> renseignements personnels<br />
Gestion documentaire<br />
Sécurité de l’information<br />
18<br />
Plusieurs unités sont<br />
impliquées dans la<br />
<strong>gestion</strong> de l’information<br />
Difficile d’assurer une<br />
vision globale et intégrée<br />
<strong>des</strong> <strong>risques</strong><br />
<strong>informationnels</strong>
Les enjeux liés à l’information<br />
Une opportunité pour revoir notre vision<br />
Vers une <strong>gestion</strong> intégrée de l’information afin de ...<br />
Gestion <strong>des</strong> <strong>risques</strong><br />
<strong>informationnels</strong><br />
Gouvernance financière<br />
Information de <strong>gestion</strong><br />
Protection <strong>des</strong> renseignements personnels<br />
Gestion documentaire<br />
Sécurité de l’information<br />
19<br />
Créer une vision et<br />
atteindre une culture en<br />
matière de <strong>gestion</strong> <strong>des</strong><br />
<strong>risques</strong> <strong>informationnels</strong><br />
S’assurer d’une <strong>gestion</strong><br />
saine et intégrée <strong>des</strong><br />
<strong>risques</strong> <strong>informationnels</strong><br />
S’assurer d’une cohésion<br />
et de l’efficacité dans la<br />
mise en place <strong>des</strong><br />
mesures d’atténuation<br />
<strong>des</strong> <strong>risques</strong>
Les enjeux liés à l’information<br />
Une opportunité pour revoir notre vision<br />
Les objectifs découlant <strong>des</strong> enjeux<br />
Gérer les <strong>risques</strong> associés à l’information de façon à contribuer<br />
à l’atteinte <strong>des</strong> objectifs d’affaires<br />
– Conserver nos avantages concurrentiels<br />
– Préserver notre image de marque<br />
– Assurer la qualité de la prestation de services<br />
– Assurer la qualité de la prise de décision en temps opportun<br />
– Contribuer à la disponibilité <strong>des</strong> services essentiels<br />
20
Les enjeux liés à l’information<br />
Une opportunité pour revoir notre vision<br />
Développer un partenariat avec les secteurs d’affaires<br />
et de soutien dans le but :<br />
– De les accompagner dans leur développement<br />
– Tout en assurant une saine <strong>gestion</strong> <strong>des</strong> <strong>risques</strong><br />
– Et en assurant le respect de la conformité aux différentes exigences<br />
réglementaires applicables<br />
21
Les enjeux liés à l’information<br />
Une opportunité pour revoir notre vision<br />
Mission - Risques <strong>informationnels</strong><br />
Contribuer à protéger l’image et la réputation du<br />
Mouvement Desjardins et à soutenir son<br />
développement en encadrant et coordonnant les<br />
activités visant à assurer la confidentialité, l’intégrité,<br />
la disponibilité <strong>des</strong> informations et la protection <strong>des</strong><br />
renseignements personnels.<br />
Coopération et engagement<br />
S’engager dans l’éducation de nos membres,<br />
de nos clients et de la population<br />
Excellence de l’expérience<br />
membre et client<br />
Maintenir et renforcer la confiance<br />
<strong>des</strong> membres et <strong>des</strong> clients<br />
Leadership et mobilisation<br />
du capital humain<br />
Développer une culture de saine<br />
<strong>gestion</strong> de l’information<br />
Un groupe financier<br />
coopératif performant,<br />
productif, innovateur<br />
et solide<br />
Vision - Risques <strong>informationnels</strong><br />
Croissance et innovation<br />
Devenir le conseiller stratégique de<br />
confiance auprès <strong>des</strong> différents secteurs<br />
22<br />
Offrir une expertise en <strong>gestion</strong> <strong>des</strong> <strong>risques</strong><br />
<strong>informationnels</strong> et exercer son rôle de conseiller<br />
stratégique et en partenariat avec les secteurs<br />
d’affaires et de soutien Mouvement et le réseau<br />
<strong>des</strong> caisses et en appui aux instances du<br />
Mouvement.<br />
Rentabilité et productivité<br />
Avoir un programme cohérent et<br />
efficace axé sur le partenariat<br />
Solidité financière et<br />
<strong>gestion</strong> <strong>des</strong> <strong>risques</strong><br />
Gérer les <strong>risques</strong> <strong>informationnels</strong><br />
de façon intégrée
Modèle de <strong>gestion</strong> <strong>des</strong><br />
<strong>risques</strong> <strong>informationnels</strong> (RI)<br />
Équilibrer performance et saine <strong>gestion</strong><br />
23
Modèle de <strong>gestion</strong> <strong>des</strong> RI<br />
Équilibrer performance et saine <strong>gestion</strong><br />
Le développement du modèle nécessite :<br />
– d’être aligné aux orientations stratégiques de l’entreprise<br />
– la clarification <strong>des</strong> rôles et responsabilités entre les différents<br />
intervenants<br />
– d’être en mesure de démontrer la valeur ajoutée de la GRI<br />
– l’intégration <strong>des</strong> pratiques avec les secteurs d’affaires et<br />
l’établissement d’un solide partenariat avec les fonctions de<br />
soutien (ex. : TI, RH, <strong>gestion</strong> de projet, approvisionnement,<br />
contrôles internes, etc.)<br />
24
Modèle de <strong>gestion</strong> <strong>des</strong> RI<br />
Équilibrer performance et saine <strong>gestion</strong><br />
Le développement du modèle nécessite (..suite) :<br />
– la création d’un lieu de concertation dédié à la GRI<br />
– de s’assurer d’une visibilité auprès <strong>des</strong> hautes instances<br />
décisionnelles<br />
25
Mise en place de la fonction GRI<br />
Une approche de partenariat<br />
Cadre de <strong>gestion</strong> <strong>des</strong> <strong>risques</strong> <strong>informationnels</strong> (RI)<br />
26
Mise en place de la fonction GRI<br />
Une approche de partenariat<br />
Conformité réglementaire<br />
Officiers de PRP<br />
Vérification interne<br />
Principaux partenaires de la GRI<br />
Finance<br />
Programme de<br />
<strong>gestion</strong> <strong>des</strong> <strong>risques</strong><br />
<strong>informationnels</strong><br />
Sécurité<br />
technologique<br />
Approvisionnement<br />
Informations de<br />
<strong>gestion</strong><br />
27<br />
Ressources humaines
Conclusion<br />
Bénéfices liés à l’approche GRI<br />
28
Conclusion<br />
Bénéfices liés à l’approche GRI<br />
Depuis 2005,<br />
– revue les rôles et responsabilités entres <strong>gestion</strong> <strong>des</strong> <strong>risques</strong> et les<br />
TI en matière de sécurité de l’information<br />
– appliqué une approche basée sur le risque intégré à la <strong>gestion</strong> du<br />
risque opérationnel<br />
– impliqué les secteurs d’affaires dans les décisions liés à la SI<br />
Prochains défis:<br />
– mettre en place une <strong>gestion</strong> <strong>des</strong> <strong>risques</strong> informationnelles qui<br />
implique tous les partenaires<br />
– agir a titre de conseiller stratégique pour les secteurs d’affaires<br />
29
Conclusion<br />
Bénéfices liés à l’approche GRI<br />
– Passer de conseiller expert à un rôle de conseiller stratégique auprès<br />
<strong>des</strong> <strong>gestion</strong>naires et dirigeants<br />
Conseiller expert Conseiller stratégique<br />
Fourni <strong>des</strong> conseils dans son domaine Fourni <strong>des</strong> conseils dans son domaine<br />
d’expertise d’expertise tout en ayant une perspective<br />
d’affaires plus large <strong>des</strong> situations<br />
Réalise ses interventions auprès d’autres<br />
experts et <strong>des</strong> <strong>gestion</strong>naires d’une<br />
organisation<br />
Réalise ses interventions auprès <strong>des</strong><br />
<strong>gestion</strong>naires supérieurs d’une organisation<br />
et <strong>des</strong> membres du conseil d’administration<br />
et de leurs comités<br />
30
Conclusion<br />
Bénéfices liés à l’approche GRI<br />
Conseiller expert Conseiller stratégique<br />
Assure une vigie dans son domaine<br />
d’expertise afin de proposer <strong>des</strong> solutions<br />
innovatrices<br />
Assure la mise en œuvre de ses<br />
recommandations en participant à la<br />
réalisation <strong>des</strong> projets<br />
Assure une vigie <strong>des</strong> domaines connexes à<br />
l’organisation afin de proposer <strong>des</strong> stratégies<br />
à valeur ajoutée permettant l’amélioration de<br />
la performance de l’organisation<br />
Anticipe et facilite les changements<br />
organisationnels qui découlent de ses<br />
recommandations<br />
31
Conclusion<br />
Bénéfices liés à l’approche GRI<br />
Les gains liés à l’approche GRI (suite) :<br />
– Meilleure cohérence dans la <strong>gestion</strong> <strong>des</strong> <strong>risques</strong> <strong>informationnels</strong><br />
– Création de valeur ajoutée notamment par le biais de synergies<br />
– Clarification <strong>des</strong> rôles et responsabilités dans l’organisation<br />
– Support au développement <strong>des</strong> affaires<br />
32
Questions?<br />
33