Interview Novembre 2005

Interview


Paul Marie Rongiconi
Expert Risque Informatique Cabinet GMC (*)

Pas d’évaluation fiable sans une connaissance métier de l’informatique !

Que recouvre exactement le risque informatique et quel est votre rôle en la matière ?

Notre cabinet d’expertise et de conseil (informatique, électronique, industrie) a développé depuis 8 ans un pôle spécialisé dans l’évaluation des préjudices associés à ce type d’activités et de risques. Ce pôle s’appuie sur la compétence d’ingénieurs experts ayant suivis et mis en pratique une double compétence informatique et financière (MBA de finance, Expertise Comptable, interventions sur les Marchés Financiers). Cette double compétence est devenue aujourd’hui indispensable pour analyser efficacement les circonstances techniques d’éventuels incidents tout en identifiant les sources opérationnelles de valeur ou de perte pour l’entreprise.

Y a t il des missions types pour un incident informatique ? si oui quelles sont-elles ?

Nous identifions quatre grandes familles de litiges en informatique, à savoir : les pertes de données (système de sauvegarde défaillant). Elles sont surtout constatées dans les PME, beaucoup plus rare dans les grandes structures. La difficulté consiste à évaluer la véritable valeur des données au regard de l’exploitation quotidienne de l’entreprise (court terme) et de ses futurs orientations (moyen/long terme). L’estimation précise du coût requiert inévitablement une analyse en profondeur de l’utilisation des données dans les processus d’exploitation. Cette analyse technico-opérationnelle est dans tous les cas un préalable à la mise en oeuvre de mesures de contournement ou d’exception. L’évaluation des pertes de données requière une analyse des processus d’exploitation, de la criticité des données par rapport à leur antériorité, du coût, de la pertinence de la reconstitution et de l’impact à court terme de l’absence des données (trésorerie, fiscale, etc). Le second type de litige porte sur les interruptions de service. Elles restent encore fréquentes malgré la qualité des infrastructures d’hébergement professionnelles et ont très souvent pour origine des phénomènes cumulés (panne du réseau EDF cumulée au dysfonctionnement d’un générateur). Leur évaluation nécessite une analyse historique de l’activité, souvent une extrapolation statistique, l’analyse du rattrapage de l’activité post incident et de l’impact d’image.

Le troisième type de litige porte sur les erreurs de traitement. Elles sont le plus souvent liées à une erreur de paramétrage, à une absence ou insuffisance de test ou encore à une erreur d’analyse. Leur évaluation passe par l’analyse financière de l’impact (purement métier) et de l’historique des erreurs comparables. Enfin, la dernière famille de litige est relative aux projets mal menés. Il s’agit sans ambiguïté de la cause la plus complexe à analyser puisqu’elle intègre une dimension humaine importante, souvent déterminante. Deux grandes catégories de conséquences sont observées : surcoûts et gains manqués. L’évaluation du préjudice requiert plus encore ici une immersion totale dans l’entreprise pour en identifier les facteurs générateurs de valeur. Cette mission exige la définition a priori des objectifs financiers liés au projet et une parfaite maîtrise du métier du client.

Comment évaluer financièrement l’échec ou le succès d’un projet informatique ?

Par opposition aux méthodes comptables traditionnelles, des méthodes alternatives d’évaluation sont maintenant disponibles. La plus prometteuse d’entre elles est la méthode d’évaluation par « Options Réelles ». Elle est particulièrement adaptée à l’évaluation d’un projet puisqu’elle permet, par opposition à la Valeur Actualisée Nette habituellement utilisée, d’y intégrer l’incertitude liée à la vie d’un projet et la valeur ajoutée des décisions qui y sont associées (deadline, dérapage budgétaire, fenêtres de déploiement, évolution du dimensionnement, etc.).

(*) http://gmconsultant.com/home/public/accueil.php

Interview réalisée par Isabelle Pottier

isabelle-pottier@lexing.law

Retour en haut