Mesure & règles de gestion des risques informatiques 26/04/2013 Par Nicoletta Boldrini article original de ZeoUnoweb.it http://www.zerounoweb.it/casiutente/it-misurare-e-governare-per-gestire-il-rischio.html Notre Banque [Banca Popolare di Sondrio] confronte la gestion des risques du Système d’Information (IT) par l'utilisation d'une saine gestion de la complexité en appliquant une approche interdisciplinaire structurée.

1. IT: Mesure et règles de gestion des risques
26/04/2013 Par Nicoletta Boldrini article original de ZeoUnoweb.it
http://www.zerounoweb.it/casiutente/it-misurare-e-governare-per-gestire-il-rischio.html
Notre Banque [Banca Popolare di Sondrio] confronte la gestion des risques du Système
d’Information (IT) par l'utilisation d'une saine gestion de la complexité en appliquant une
approche interdisciplinaire structurée.
"Implicitement la complexité est en constante évolution et devient difficile à gouverner : vous
devez savoir où vous êtes à tout moment et le mesurer.» A commencé Milo Gusmeroli,
directeur général adjoint et chef des placements de la Banca Popolare di Sondrio, en relation
avec ZEROUNO sur toutes les questions essentielles liées au management de la complexité,
confirmant qu'elle doit être contrôlée et gérée". Pour moi, la complexité de l'informatique est
une « condition intrinsèque »- continue Gusmeroli - et cela peut ouvrir une nouvelle possibilité
d’études révolutionnaires. Ne pas considérer la complexité serait une erreur, et pour le faire, il
est indispensable d'utiliser une approche interdisciplinaire structurée."
Dans le cas de la Banca Popolare di Sondrio, la base de la gouvernance IT des banques est
constituée par les cinq piliers suivants : 1) Organisation (les personnes et les structures), 2)
Méthodes (services et processus), 3) Architectures et systèmes, 4) La gestion du portefeuille de
projets, 5) la budgétisation et la gestion de la performance.
"La simplification de la complexité conduit à une plus grande capacité et une gouvernance plus
efficace de l'architecture du domaine IT où les systèmes jouent un rôle décisif", a déclaré
Gusmeroli. Dans ce contexte, la Banca Popolare di Sondrio a mis en place un groupe
«Architecture / Systèmes et sécurité» dans le cadre d’un Project Management Office (PMO) et
notre personnel a défini un système de contrôle qui prend en compte non seulement les
modèles d'architecture (SOA, par exemple), mais aussi les choix d'approvisionnement.
"L'autre domaine important que nous considérons essentiel est de comprendre les subtilités de
l'informatique (pour mesurer et gouverner) est qu’il soit le référant au catalogue des services
fournis (qui font partie du pilier de la « méthodologie »), qui, en termes de contrôle, permet au
service IT d'avoir une vue claire de la relation entre les processus bancaires, les unités
organisationnelles, les services informatiques nécessaires au support et les ressources
informatiques adéquates », explique Gusmeroli.
"L'unité dédiée à l'ensemble des projets, est le bureau de gestion de projet de Banca Popolare di
Sondrio pour ce qui est de la responsabilité de l'intégration du budget, des projets du catalogue
de services, reporting, mesure, notification et repositionnement [Il est également connecté pour
le reporting à la Banque d'Italie en termes de Contrôle Prudentiel pour la supervision des
banques - NDLR] », ajoute Gusmeroli. "Enfin, le périmètre et la gestion de la performance du
budget a en charge la réalisation du Balanced Scorecard. Il intègre toute la partie des projets
d'administration et du catalogue de services demandés par le management stratégique des
systèmes d’information. Les données doivent toujours être associées à des mesures objectives
liées aux objectifs de l'entreprise."

2. L'interprétation des phénomènes, comment gouverner le Système d’Information
Milo Gusmeroli, directeur général adjoint et chef des placements Banca Popolare di Sondrio
«C'est une organisation tellement complexe et le Système d’Information peut être efficacement
gouvernée, mais il doit être mesuré avec précision dans sa complexité», souligne Gusmeroli.
"Cette mesure est destinée, dans notre cas, à comprendre et à interpréter les phénomènes à
l'aide de systèmes de contrôle à distance."
"L'interprétation des phénomènes de la complexité et l'utilisation de l'information qu'il génère
par des systèmes de contrôle, bien que nous cherchons à atteindre le plus haut niveau de
prévisibilité du comportement des systèmes IT (et donc de risque minimum), ont un impact
direct sur l'entreprise », explique le CIO de la banque." C'est pourquoi nous introduisons un
indicateur de stabilité qui nous permet d'avoir une vue sur le niveau de complexité et les
conséquences potentielles de sorte que ce niveau peut déterminer le profil du Business".
Une orientation similaire est en cours de création à la Banca Popolare di Sondrio par la plate-
forme OntoSpace, (solution de gestion des risques construit par Ontonix qui intègre les
principes et les algorithmes de mesure de la complexité des systèmes ou processus), cela
implique nécessairement l'intégration des données, des paramètres techniques et d’autres de
nature différente. "Dans le système de contrôle, nous avons collecté de nombreuses données
ainsi que des indicateurs de performance technique de l'architecture, ce qui est l’équivalent
d'une analyse des risques opérationnels - dit Gusmeroli -. Ceux-ci sont ensuite intégrées aux
données provenant d'autres systèmes, tel que le Balanced Scorecard , pour déterminer le risque
et évaluer l’impact sur la société (son business). "
Se référant à des études de cas élaborées et en regardant par exemple l'analyse du serveur de la
banque grâce à la technologie Ontonix, la Banque a été capable de vérifier que les performances
de la robustesse du système montre une intense activité initiale (batch et côté utilisateur) qui
diminue progressivement. Le système, après une première période de tension, atteint une
situation d'équilibre et des conditions de fonctionnement normales. Poursuivant l'analyse, il a

3. également été constaté que les variables les plus critiques semblent être liées à la gestion du
stockage sur disque dur, élément que nous avons réussi à redimensionner. Le système durant les
périodes de fonctionnement élevée est plus exposé aux réactions imprévisibles, ce qui nécessite
une plus grande attention de la direction.
"L'instrument utilisé pour mesurer la complexité a également été appliquée pour mesurer le
temps de réponse des transactions et tester le comportement des applications», a déclaré le CIO.
"L'analyse des temps de réponse des applications a montré que l'élément à surveiller avec plus
d'attention sont les« moments de discontinuité », c'est à dire la transition entre les activités (par
exemple un traitement en mode ‘batch’ transféré en mode ‘on-line’)."
Symptomatique et presque «surprenant» le résultat de cette analyse a montré que 27% des
transactions contribuent à 80% de la complexité opérationnelle du système. "Maintenant, nous
avons plus d'informations pour déterminer quelles sont les applications et les transactions « clés »
de la criticité et pourquoi, afin de mieux gouverner les systèmes et les processus informatiques,
réduisant ainsi le risque conduisant à un indice élevé de stabilité."
L'analyse de la Banca Popolare di Sondrio en cours vise à ajouter d'autres fonctionnalités autour de
la complexité et de la robustesse «potentielles» et «résiduelles» des systèmes informatiques :
notamment dans le voisinage du niveau critique de complexité (pour être intégrés aux tableaux de
bord par des éléments graphiques intuitifs), lorsque le comportement du système devient
imprévisible mettant ainsi la stabilité de la banque en péril. Sur la base de cette prise de
conscience, la Banque a lancé des plans visant à surveiller et à mesurer le risque potentiel
(représenté par le niveau critique de complexité) et le risque résiduel (qui vient de la distance entre
la complexité réelle mesurée et le niveau de complexité identifié comme critique). Le risque
résiduel, mesure en fait la quantité d'indétermination [en calcul simultané], le système est capable
de résister avant de perdre des fonctionnalités et de devenir aléatoire, tandis que le risque actuel
mesure la robustesse topologique et quantifie l'aptitude du système à préserver sa fonctionnalité.
« Il va sans dire que, pour maintenir un indice de la stabilité, le système informatique doit rester à
une distance de sécurité du seuil critique de complexité élaboré par anticipation », dit Gusmeroli.