Dans un environnement hautement concurrentiel, les entreprises tentent de comprendre, d’organiser et maĂźtriser leurs infrastructures et services technologiques tant en termes de rentabilitĂ© que pour respecter certaines exigences de gouvernance, de sĂ©curitĂ© et de conformitĂ©.
Apparu au dĂ©but des annĂ©es 2000 face Ă  la forte mĂ©diatisation de multiples catastrophes financiĂšres qui ont poussĂ© les entreprises Ă  amĂ©liorer leurs processus de contrĂŽle interne et de gouvernance, le terme GRC dĂ©signe la façon dont les organisations gĂšrent trois domaines qui aident l’entreprise Ă  atteindre ses objectifs.

« J’ai rejoint Synetis en 2017 pour y crĂ©er les practices « Gouvernance, gestion des Risques et ConformitĂ© » (GRC) et « SĂ©curitĂ© OpĂ©rationnelle » (SecOp). Mon expĂ©rience professionnelle peut ĂȘtre rĂ©sumĂ©e en trois temps forts. Le premier temps fort a Ă©tĂ© consacrĂ© Ă  diverses activitĂ©s technologiques opĂ©rationnelles de renseignement et de sĂ©curitĂ© au sein du ministĂšre des ArmĂ©es. Le second est concentrĂ© sur la conception, le dĂ©veloppement et la transformation, sĂ©curisĂ©, de systĂšmes d’informations dans de nombreux secteurs d’activitĂ©s. Cette pĂ©riode m’a permis de mieux apprĂ©hender les attentes de mes clients, d’enrichir ma connaissance des entreprises et de leurs difficultĂ©s. ImpliquĂ© trĂšs tĂŽt dans de multiples projets complexes, mon rĂŽle principal et troisiĂšme temps fort de mon parcours, est de contribuer Ă  l’amĂ©lioration des capacitĂ©s des organisations en effectuant des transformations rĂ©ussies et sĂ©curisĂ©es afin d’atteindre les objectifs qu’elles poursuivent. »
CĂ©dric GASPARD – Practice Manager GRC – Synetis.

Qu’est-ce que « la GRC » et pourquoi en avons-nous besoin ?

En tant que mĂ©tier, le rĂŽle principal de la GRC est de crĂ©er une approche synchronisĂ©e de trois domaines, en Ă©vitant la rĂ©pĂ©tition des tĂąches et en garantissant l’efficacitĂ© des approches utilisĂ©es.
La GRC fait rĂ©fĂ©rence Ă  une stratĂ©gie de gestion de la gouvernance globale, Ă  la gestion des risques de l’entreprise et Ă  la conformitĂ© aux rĂ©glementations. Pour mieux comprendre, il faut voir la GRC comme une approche structurĂ©e pour aligner l’outil informatique sur les objectifs de l’entreprise, tout en gĂ©rant efficacement les risques tout en respectant les exigences de conformitĂ©.
Une stratĂ©gie GRC bien planifiĂ©e comporte de nombreux avantages : prise de dĂ©cision amĂ©liorĂ©e, investissements informatiques optimaux, Ă©limination des silos et rĂ©duction de la fragmentation entre les divisions et les dĂ©partements, pour n’en nommer que quelques-uns.
La GRC peut vous aider à aligner vos activités informatiques sur vos objectifs, exigences, métiers, à gérer efficacement les risques et à rester au top de la conformité.

La GRC, nouveau concept révolutionnaire ?

Dans une organisation « optimisée », la GRC est considérée comme un ensemble intégré de toutes les fonctionnalités nécessaires à la prise en charge de la performance.
La GRC ne pĂšse pas sur l’entreprise, elle la soutient et l’amĂ©liore.
La gouvernance s’intĂ©resse Ă  la façon dont les entreprises sont gĂ©rĂ©es au plus haut niveau, y compris aux mĂ©canismes, processus et relations qui permettent une rĂ©partition et une comprĂ©hension sans heurts des droits et des responsabilitĂ©s des diffĂ©rents dĂ©cideurs au sein de l’entreprise.
Chaque aspect de chaque entreprise prĂ©sente un potentiel de risque (rĂ©putation, sĂ©curitĂ©, sĂ©curitĂ© financiĂšre, santĂ©, etc.
) qu’il est presque impossible d’Ă©viter. La gestion des risques est donc l’ensemble des processus qui identifient, analysent et rĂ©pondent de maniĂšre appropriĂ©e Ă  chaque risque potentiel.

Il est possible que de multiples risques conflictuels surviennent, obligeant une entreprise Ă  choisir entre minimiser les risques pour parfaire sa sĂ©curitĂ© et accepter certains risques pour accroitre ses bĂ©nĂ©fices, il est donc nĂ©cessaire de s’assurer que les bonnes dĂ©cisions soient prises ou qu’elles le soient en toute connaissance de cause. C’est lĂ  que la conformitĂ© entre en jeu ; les entreprises doivent se conformer Ă  diverses normes, lois, rĂ©glementations, etc., pour Ă©viter les pĂ©nalitĂ©s rĂ©sultant de la non-conformitĂ©.
La GRC renvoie non seulement aux acteurs en charge de son application mais Ă©galement aux institutions (politiques, lois, etc
) qui dĂ©finissent la structure de la direction et de l’administration des entreprises.

Les dirigeants et les conseils d’administration font face Ă  une problĂ©matique capitale, pour maĂźtriser la façon dont leurs entreprises fonctionnent, causĂ©e par une rĂ©glementation toujours plus complexe et des fuites de donnĂ©es confidentielles aux effets dĂ©vastateurs.

La GRC est un progrĂšs qui exige toutefois que les acteurs de la gouvernance bĂ©nĂ©ficient d’informations prĂ©cises, actualisĂ©es et exhaustives sur l’entreprise. Une condition sine qua non, pour prendre les bonnes dĂ©cisions et Ă©liminer tout risque inutile, garantir la conformitĂ© et minimiser les risques.

Parfois assimilĂ© Ă  la notion de contrĂŽle, le «C» de GRC est une rĂ©fĂ©rence Ă  la conformitĂ©. Le respect de la conformitĂ© implique des contrĂŽles informatiques, ainsi que l’audit de ces contrĂŽles pour s’assurer qu’ils fonctionnent comme prĂ©vu. Les organisations utilisent Ă©galement des contrĂŽles pour gĂ©rer, rĂ©duire les risques identifiĂ©s.

Qu’est-ce qu’une solution GRC ?

Une solution IT GRC permet de crĂ©er, coordonner des stratĂ©gies et des contrĂŽles et de les mapper sur les exigences de conformitĂ© rĂ©glementaires et internes. Ces solutions, dans le Cloud ou « On Premise », introduisent l’automatisation de nombreux processus, ce qui accroĂźt l’efficacitĂ© et rĂ©duit la complexitĂ© et le risque d’erreur.

Avant de rechercher une solution logicielle, il est primordial de prĂ©parer son environnement, d’évaluer les risques de l’organisation, d’examiner les contrĂŽles et de s’interroger sur leur efficacitĂ©.
Existe-t-il des contrĂŽles et sont-ils pertinents ? Les contrĂŽles existants fonctionnent-ils ? Ajoutez des contrĂŽles, si nĂ©cessaire, et corrigez ceux qui n’opĂšrent pas comme attendu.
Bien que la GRC ait tendance Ă  se concentrer sur l’informatique, la mise en Ɠuvre d’une stratĂ©gie implique toute une organisation et nĂ©cessite un examen minutieux de l’ensemble des personnes concernĂ©es/impliquĂ©es et des processus qui seront affectĂ©s.

Il existe de nombreuses solutions de GRC sur le marchĂ©, telles que Openpages GRC Platform  (IBM), Enterprise GRC  (Rsam), GRC Platform  (MetricStream), Archer Platform  (RSA), qui permettent aux entreprises de s’adapter au changement, de faire face aux risques et aux problĂšmes de conformitĂ© rĂ©glementaire tout en promouvant une stratĂ©gie GRC entiĂšrement intĂ©grĂ©e.Des solutions Ă  prix abordables, parfois gratuites, sont disponibles, ces derniĂšres ne disposent cependant pas de fonctionnalitĂ©s aussi Ă©tendues que les solutions payantes.

Qui est concerné par la GRC ?

À la question de savoir qui doit ĂȘtre impliquĂ© dans une adaptation rĂ©ussie de la GRC, la rĂ©ponse est simple : « tout le monde ». Il existe des Ă©lĂ©ments de gouvernance, de gestion des risques et de conformitĂ© qui partent du sommet d’une organisation aux unitĂ©s d’affaires et aux Ă©quipes. Un membre de la direction ne peut avoir pour lui seul la connaissance et la responsabilitĂ© pour toutes les questions relatives Ă  la gestion des risques et Ă  la conformitĂ©. Il y en a tout simplement trop, et leur gestion doit ĂȘtre apprĂ©hendĂ©e avec les responsables des unitĂ©s d’affaires et des responsables spĂ©cifiques de la conformitĂ©.

Il va de soi que la nĂ©cessitĂ© d’une collaboration, d’une communication efficace et la nĂ©cessitĂ© pour toutes les parties concernĂ©es d’ĂȘtre informĂ©e de l’état de la situation dans son ensemble plutĂŽt que rĂ©sumĂ©e au simple rĂŽle de chacun, est constante pour les entreprises quel qu’en soit la forme, la taille ou la complexitĂ©. Les avantages de la GRC doivent ĂȘtre communiquĂ©s Ă  tous les Ă©chelons dans le cadre d’une stratĂ©gie de gestion du changement afin de garantir que tous ont souscrit aux besoins et aux avantages escomptĂ©s.

Quels sont les principaux rÎles impliqués dans la GRC ?

Toute personne occupant un poste de niveau CEO / Board / Direction doit ĂȘtre en mesure de fournir une capacitĂ© de surveillance stratĂ©gique et de prise de dĂ©cision ainsi qu’une communication claire et en temps voulu tout au long de la chaĂźne pour permettre aux collaborateurs de s’acquitter efficacement de leurs rĂŽles. Quiconque assume la responsabilitĂ© globale des opĂ©rations financiĂšres d’une entreprise a un rĂŽle important Ă  jouer dans la mise en Ɠuvre de la GRC, notamment en ce qui concerne la dĂ©finition des indicateurs financiers des changements.

Toute grande entreprise devrait dĂ©jĂ  avoir des responsables de la gestion des risques au niveau de la direction car leurs rĂŽles en matiĂšre de GRC sont Ă©tendus. Ils doivent identifier les menaces (et les opportunitĂ©s) et proposer des rĂ©ponses stratĂ©giques afin de minimiser les risques pour l’entreprise, ainsi que d’assurer la surveillance continue.
De mĂȘme, toute personne ayant la responsabilitĂ© de la conformitĂ© doit ĂȘtre impliquĂ©e dans toutes les dĂ©cisions de planification, en Ă©laborant des stratĂ©gies permettant Ă  l’entreprise de rĂ©pondre aux exigences requises par les normes, les lois, les rĂšglements, etc.

En ce qui concerne la maniĂšre dont la GRC est mise en Ɠuvre et communiquĂ©e aux employĂ©s pour assurer leur adhĂ©sion, une grande partie de cette responsabilitĂ© revient aux ressources humaines. Sans un dĂ©partement des ressources humaines efficace, toute rĂ©forme stratĂ©gique majeure de ce type est vouĂ©e Ă  l’Ă©chec.
Les responsables informatiques sont eux responsables de toute solution technologique achetĂ©e ou dĂ©veloppĂ©e pour rĂ©pondre aux besoins de la stratĂ©gie GRC et devront certainement ĂȘtre impliquĂ©s dans le processus de prise de dĂ©cision. Ils seront Ă©galement responsables de la maniĂšre dont les informations seront collectĂ©es dans l’ensemble de l’entreprise et de la maniĂšre dont elles seront fournies, le cas Ă©chĂ©ant.

Quelles sont les Ă©tapes clĂ©s pour une mise en Ɠuvre ?

AprĂšs avoir identifiĂ© les principaux acteurs de la mise en Ɠuvre de la GRC dans votre entreprise, il reste encore beaucoup Ă  prendre en compte avant de pouvoir rĂ©ussir. Il existe cinq Ă©tapes pour s’assurer que la GRC est correctement installĂ©e au cƓur d’une stratĂ©gie d’entreprise :

DĂ©finir ses objectifs

Si cela semble Ă©vident, c’est que c’est le cas. Cette Ă©tape trop souvent nĂ©gligĂ©e peut faire toute la diffĂ©rence entre succĂšs et Ă©chec. Comment espĂ©rer rĂ©aliser un changement significatif sans connaĂźtre ce que vous souhaitez rĂ©aliser ? L’idĂ©e est ici de rassembler les parties prenantes clĂ©s et le personnel du projet afin de comprendre collectivement ce que la GRC peut reprĂ©senter pour l’organisation et de dĂ©finir des prioritĂ©s basĂ©es sur cette comprĂ©hension.

– Faire le point sur la situation actuelle

AprĂšs avoir clarifiĂ© ce que la GRC peut signifier pour l’organisation, une autre Ă©tape clĂ© consiste Ă  comprendre ce qui se passe actuellement dans les domaines de la gouvernance, de la gestion des risques et de la conformitĂ© avant de changer quoi que ce soit. Une enquĂȘte sur les activitĂ©s de rĂ©glementation permettra non seulement de mieux comprendre ce qui sera obtenu de la GRC, mais Ă©galement de rĂ©soudre toutes les autres faiblesses pouvant Ă©galement ĂȘtre rĂ©solues et qui Ă©taient auparavant hors du champ du projet.

– Choisir un pĂ©rimĂštre de test

Il est certes possible de passer directement au dĂ©ploiement de la GRC dans toutes les activitĂ©s de l’entreprise, et c’est la seule option possible pour les petites entreprises, mais l’idĂ©al serait de choisir un pĂ©rimĂštre d’essai. S’il est possible d’identifier un domaine qui bĂ©nĂ©ficiera de la GRC et qui concentrera les Ă©nergies sur sa mise en Ɠuvre, des enseignements pourront ĂȘtre intĂ©grĂ©s dans le dĂ©ploiement progressif.

– DĂ©montrer les avantages

Il est possible d’obtenir des gains rapidement qui peuvent aider dans la communication interne visant Ă  obtenir l’engagement du personnel. Il ne s’agit pas seulement de dissiper la confusion et le manque de soutien pouvant rĂ©sulter d’un changement mal communiquĂ©, mais bien de montrer aux principaux collaborateurs et responsables les avantages Ă©vidents de la GRC, couvrant des sujets tels que les facteurs Ă  l’origine, les implications personnelles, les contrĂŽles mis en place et les prochaines Ă©tapes.

– DĂ©finir ce qui reprĂ©senterait le succĂšs

C’est l’une des Ă©tapes les plus importantes, car c’est la façon de dĂ©montrer que le projet en vaut la peine. Parmi les avantages Ă©numĂ©rĂ©s, il faut choisir ceux qui sont les plus pertinents et leur attribuer un chiffre, qu’il s’agisse d’un objectif financier ou d’un objectif basĂ© sur des rĂšgles et des procĂ©dures mesurĂ©es pour montrer que la GRC amĂ©liore les choses.

Suivre ces cinq Ă©tapes et documenter les rĂ©sultats, garanti d’avoir la plupart des informations nĂ©cessaire pour avancer avec connaissance, recherche et autoritĂ© en matiĂšre de GRC. Le processus fonctionne selon un cycle d’amĂ©lioration continu, ce qui signifie qu’il y aura toujours plus Ă  apprendre. Chacune de ces 5 Ă©tapes peut et doit ĂȘtre rĂ©pĂ©tĂ©e Ă  chaque cycle.

Comment gérer au mieux la GRC ?

Lorsqu’il s’agit de mettre en Ɠuvre une stratĂ©gie GRC ou de commencer Ă  utiliser des outils et des processus connexes, les piĂšges potentiels sont nombreux. Des conseils sur les attentes des guides GRC et les leçons tirĂ©es des entreprises dĂ©jĂ  engagĂ©es peuvent aider Ă  se mettre sur la bonne voie.
Faire des recherches et s’assurer de bien comprendre ce que l’on achĂšte, dans le cas d’achat de produit pour la gestion de la GRC, qui rĂ©pond complĂštement aux attentes. Dans le cas contraire cela reprĂ©sentera un gaspillage d’argent et un surplus de travail.
Le but initial est de minimiser les dĂ©penses et la charge de travail excessive. Comprendre ce que reprĂ©sente la GRC, quels en seront les impacts et ce qu’il convient de faire pour obtenir de bons rĂ©sultats.
Adopter une approche itĂ©rative pour tout changement majeur de stratĂ©gie d’entreprise, cela s’applique Ă©galement Ă  la GRC. Il n’y a aucun moyen de la corriger Ă  100% dĂšs la premiĂšre itĂ©ration car trop de facteurs et d’acteurs sont impliquĂ©s, ce qui augmente la probabilitĂ© de devoir revoir sans cesse les diffĂ©rents aspects.

Il est donc prĂ©fĂ©rable de planifier plusieurs itĂ©rations dĂšs le dĂ©part, en particulier en tenant compte de la gestion des risques et de la conformitĂ©, qui doivent ĂȘtre surveillĂ©es et rĂ©examinĂ©es rĂ©guliĂšrement.
Travaillez en collaboration. L’Ă©quipe projet chargĂ©e de la mise en Ɠuvre de la GRC doit ĂȘtre diversifiĂ©e en termes de reprĂ©sentation des diffĂ©rents rĂŽles, faute de quoi les dĂ©cisions prises ne seront pas reprĂ©sentatives et ne pourront pas atteindre tout ce qu’elles sont censĂ©es accomplir. Cela garantit Ă©galement que les Ă©volutions soient communiquĂ©es Ă  tous ceux qui ont besoin d’en connaitre. C’est ici l’un des principaux objectifs de l’introduction de la GRC.
Communiquer ! Une bonne communication au sein de l’entreprise est essentielle pour Ă©viter les incomprĂ©hensions sur la nature de la GRC et sur ses objectifs. Ceci est indispensable dans les domaines d’activitĂ© oĂč les workflows seront directement affectĂ©s, en particulier ceux dans lesquels des changements de personnel pourraient ĂȘtre apportĂ©s pour reflĂ©ter une approche plus rationalisĂ©e.

L’annĂ©e 2018 a placĂ© la gouvernance, les risques et la conformitĂ© (GRC) sur le devant de la scĂšne. On observe une augmentation du « temps d’antenne »  attribuĂ© aux problĂšmes de risque et de conformitĂ©. De nouvelles affaires concernant les nouvelles rĂ©glementations, notamment en matiĂšre de protection des donnĂ©es personnelles tel que le RGPD, ont fait leurs apparitions.
La GRC est supposĂ©e ĂȘtre un pas dans la bonne direction, mais de mĂ©diocres communications internes peuvent en faire un problĂšme potentiel voir la rendre totalement inefficace.
PrĂ©parer et fournir les bonnes ressources, communiquer et prĂ©voir les ressources financiĂšres et humaines adĂ©quates en amont ; en plus de s’assurer que ces ressources soient disponibles, une planification rigoureuse doit ĂȘtre mise en place pour savoir comment les utiliser correctement.

Synetis – Parole d’expert© – Avril 2019