Reference

1
A
B
C
D
E
F
G
2
A

B
C
D
E

3
A
B
C
D
4
A
B
C
D
E
5
A
B
C
D
E
6
A
B
C
D
E
F
G
H
I
J
K
L

7
A
B
C
D
E
8
A
B
9
A
B
C
D
E
F
G
H
10
A
B
C
D
E
F
G
11
A
B
C
D
E
F
G
H
I
12
A

B
C
D
E

G
13
A
B
C
D
14
A
B
C
15
A
B
C
16
A
B
C
D
E
F
G
17
A
B
C
18
A
19
A
B
A
B
Catégorie de risque / Risques
Prise de décision en matière d’investissement dans les TI, définition du portefeuille et maintenance
Les programmes sélectionnés pour la mise en œuvre ne cadraient pas avec la stratégie et les priorités de l’entreprise
Échec des investissements liés aux TI à l’appui de la stratégie numérique de l’entreprisee
Sélection du mauvais logiciel (en termes de coût, de performances, de fonctionnalités, de compatibilité, de redondance, etc.) po
Sélection d’une mauvaise infrastructure (en termes de coût, de performance, de fonctionnalités, de compatibilité, etc.) pour la
Duplication ou chevauchements importants entre différentes initiatives d’investissement
Incompatibilité à long terme entre les nouveaux programmes d’investissement et la protection de l’entreprise
Mauvaise affectation, gestion inadéquate et/ou concurrence pour les ressources non conformes aux priorités opérationnelles
Gestion du cycle de vie des programmes et des projets
Omission de la haute direction de mettre fin à des projets qui échouent (en raison de l’explosion des coûts, des retards excessif
opérationnelles modifiées)
Dépassements de budget pour les projets IT
Manque de qualité des projets IT
Livraison tardive des projets IT
Échec des sous-traitants tiers à livrer les projets conformément aux accords contractuels (toute combinaison de budgets dépass
manquantes, livraison tardive)
Coûts et surveillance des TI
Grande dépendance et utilisation d’applications et de solutions ad hoc créées par l’utilisateur et gérées par l’utilisateur
Surcoût et/ou inefficacité des achats liés aux IT en dehors du processus d’approvisinnement IT
Des exigences inadéquates conduisant à des accords sur les niveaux de service (SLA) inefficaces
Manque de fonds pour les investissements liés aux IT
Expertise, compétences et comportement en TI
Manque ou inadéquation des compétences liées à la TI au sein de la TI (p. ex., en raison des nouvelles technologies ou des mé
Manque de compréhension opérationnelle par le personnel de la TI qui a une incidence sur la prestation de services ou la qualit
Incapacité de recruter et de maintenir en poste le personnel des TI
Manque de formation I&T
Dépendance excessive des services IT à l’égard du personnel clé
Architecture d’entreprise/ informatique
Une architecture d’entreprise (AE) complexe et flexible, qui entrave l’évolution et l’expansion et entraîne des occasions d’affaire
Défaut d’adopter et d’exploiter en temps opportun une nouvelle infrastructure ou d’abandonner une infrastructure obsolète
Non adoption et exploitation en temps utile de nouveaux logiciels (fonctionnalités, optimisation, etc.) ou abandon d’applications
Une architecture d’entreprise (AE) non documentée entraînant des inefficacités et des duplications
Nombre excessif d’exceptions aux normes d’architecture d’entreprise
Incidents liés à l’infrastructure opérationnelle des TI
Endommagement accidentel de l’équipement informatique
Erreurs commises par le personnel des TI (pendant la sauvegarde, les mises à niveau des systèmes, la maintenance des systèm
Informations incorrectes saisies par le personnel des TI ou les utilisateurs du système
Destruction du centre de données (sabotage, etc.) par le personnel
Vol d’appareil avec des données sensibles
Vol d’un composant d’infrastructure clé
Configuration erronée des composants matériels
Altération intentionnelle du matériel (dispositifs de sécurité, etc.)
Abus des droits d’accès des rôles antérieurs pour accéder à l’infrastructure informatique
Perte de supports de sauvegarde ou de sauvegardes non vérifiées pour leur effectivité
Perte de données par le fournisseur de cloud
Interruption de service opérationnel par les fournisseurs de cloud

Actions non autorisées

Altération du logiciel
Modification intentionnelle ou manipulation de logiciels conduisant à des données incorrectes
Modification ou manipulation intentionnelle de logiciels menant à des actions frauduleuses
Modification involontaire d’un logiciel entraînant des résultats inexacts
Configuration involontaire et erreurs de gestion du changement
Problèmes d’adoption et d’utilisation des logiciels
Non adoption de nouveaux logiciels d’application par les utilisateurs
Utilisation inefficace des nouveaux logiciels par les utilisateurs
Incidents matériels
Instabilité du système à la suite de l’installation de nouvelles infrastructures, entraînant des incidents opérationnels
Incapacité des systèmes à gérer les volumes de transactions lorsque les volumes d’utilisateurs augmentent
Incapacité des systèmes à gérer la charge lorsque de nouvelles applications ou initiatives sont déployées
Défaillance des services publics (télécommunications, électricité)
Défaillance matérielle due à une surchauffe et/ou à d’autres conditions environnementales telles que l’humidité
Endommagement des composants matériels entraînant la destruction des données par le personnel interne
Perte/divulgation de supports portables contenant des données sensibles (CD, clés USB, disques portables, etc.)
Délais de résolution ou de support prolongés en cas d’incidents matériels
Défaillances logicielles
Incapacité d’utiliser le logiciel pour obtenir les résultats souhaités (p. ex., défaut d’apporter les changements requis au modèle
Mise en œuvre de logiciels immatures (adopteurs précoces, bogues, etc.)
Problèmes opérationnels lorsque le nouveau logiciel est rendu opérationnel
Dysfonctionnement régulier du logiciel d’application
Logiciel d’application obsolète (obsolète, mal documenté, difficult à étendre, non intégré dans l’architecture actuelle, etc.)
Impossibilité de revenir aux anciennes versions en cas de problèmes opérationnels avec une nouvelle version
Données corrompues induites par logiciel (base) conduisant à des données inaccessibles
Attaques logiques (piratage, logiciels malveillants, etc.)
Utilisateurs non autorisés (internes) qui tentent d’entrer par effraction dans les systèmes
Interruption de service en raison d’une attaque par déni de service (DoS)
Défaut de site Web
Malware attack
Espionnage industriel
Hacktivism
Employé mécontent met en œuvre une bombe à retardement qui entraîne des pertes de donnée
Données d’entreprise volées par un accès non autorisé obtenu par une attaque d’hameçonnage
Attaques de gouvernements étrangers sur des systèmes critiques
Incidents tiers/fournisseurs
Rendement inadéquat de l’impartiteur dans le cadre d’ententes d’externalisation à grande échelle et à long terme (p. ex., en ra
fournisseur en ce qui a trait à la viabilité financière, à la capacité de prestation et à la durabilité du service du fournisseur)
Acceptation de conditions d’affaires déraisonnables de la part des fournisseurs de TI
Soutien et services inadéquats fournis par les fournisseurs, non conformes à la SLA
Non-respect des accords de licence de logiciel (utilisation et/ou distribution de logiciels non autorisés)
mpossibilité de transférer à d’autres fournisseurs en raison d’une dépendance excessive ou excessive à l’égard du fournisseur c
Achat de services de TI (en particulier de services infonuagiques) par le secteur d’activité , avec consultation/participation des T
service aux services internes
SLA inadéquat ou non appliqué pour obtenir les services convenus et pénalités en cas de non-conformité
Non-conformité
Non-respect des règlements nationaux ou internationaux (p. ex., protection des renseignements personnels, comptabilité, fabrication, env
Manque de sensibilisation aux changements réglementaires potentiels qui pourraient avoir une incidence sur l’entreprise
Obstacles opérationnels causés par les régulations
Non-respect des procédures internes
Questions géopolitiques
Manque d’accès en raison d’un incident perturbateur dans d’autres prémisses
Ingérence du gouvernement et politiques nationales ayant une incidence sur l’entreprise
Mesures ciblées de la part de groupes ou d’organismes parrainés par le gouvernement
Action syndicale
Installations et bâtiment inaccessibles en raison de la grève syndicale
Fournisseurs tiers incapables de fournir des services en raison de la grève
Le personnel clé n’est pas disponible dans le cadre d’une action industrielle (p. ex., grève des transports ou des services publics
Actes de la nature
Tremblement de terre détruisant ou endommageant des infrastructures informatiques importante
Tsunami détruisant des prémisses critiques
Tempêtes majeures et cyclones tropicaux ou tornades endommageant l’infrastructure critique
incendie majeur
Inondations
Montée de la nappe phréatique rendant l'emplacement critique inutilisable
Hausse de la température rendant les emplacements critique non rentables à l'exploitation
Innovation technologique
Incapacité à identifier les tendances technologiques nouvelles
Incapacité à apprécier la valeur et le potentiel des nouvelles technologies
Défaut d’adopter et d’exploiter les nouvelles technologies en temps opportun (fonctionnalité, optimisation des processus, etc.)
Environnemental
Équipement non écologique (p. ex., consommation d’énergie, emballage)
Gestion des données et de l’information
Découverte de renseignements sensibles par des personnes non autorisées en raison de la conservation, de l’archivage et de l’é
Modification intentionnelle illicite ou malveillante des données
Divulgation non autorisée de renseignements sensibles par courriel ou par les médias sociaux
Perte de propriété intellectuelle et/ou fuite d’informations concurrentielles
Analyse des risques fournisseurs

Probabilité P Impact I C= P* I

Catégorie de risque Evaluation

Problèmes d’adoption et d’utilisation des logiciels 3 - Haut 3 3 - Haut 3 9

 Adéquation du
Total Evaluation M R= C / M 2
contrôle 11%

Niveau du risque
Evaluation
residuel Penderation 1
89%
Risque élevé 1 - Faible 1 9.00 Risque critique 2 18

24 193

8.04
0.96
 1
89%
 Fiche Evaluation fournisseur
Date
Fournisseur
Reference Description Evaluation N
A Frustration entre les différentes entités de TI à l’échelle de l’organisation en raison de la perception d’une o
faible contribution à la valeur opérationnelle t
3 - Problème sérieux ###
e
B Frustration entre les services opérationnels (c.-à-d. le client des TI) et le service des TI en raison
d’initiatives ratées ou d’une perception de faible contribution à la valeur opérationnelle 3 - Problème sérieux ###

C Incidents importants liés aux technologies de l’information, comme la perte de données, les atteintes à la
sécurité, les échecs de projet, les erreurs d’application, etc., liés aux TI 3 - Problème sérieux ###

D Problèmes de prestation de services par le ou les sous-traitants des TI 3 - Problème sérieux ###
E Non-respect des exigences réglementaires ou contractuelles en matière de TI 1 - Pas de problème ###
F Vérifications régulières ou autres rapports d’évaluation sur le rendement médiocre des TI ou les problèmes
de qualité des TI ou de service signalés 3 - Problème sérieux ###

G Des audits réguliers ou d'autres rapports d'évaluation sur les problèmes de rendement, de TI ou de qualité
du service signalés. 1 - Pas de problème ###

H Chevauchement entre différentes initiatives et autres formes de gaspillage de

ressources. 1 - Pas de problème ###

I Ressources informatiques insuffisantes, personnel insuffisant ou épuisement/mécontentement du

personnel. 1 - Pas de problème ###

J Les changements ou les projets axés sur la TI ne répondent souvent pas aux besoins opérationnels et sont
livrés en retard ou en dépassement de budget 3 - Problème sérieux ###

K Réticence des membres du conseil d’administration, des cadres supérieurs ou de la

haute direction à communiquer avec les TI, ou manque de commanditaires metiers 3 - Problème sérieux ###
engagés pour les TI

L Modèle opérationnel de TI complexe ou mécanismes décisionnels peu clairs pour les

décisions de TI. 3 - Problème sérieux ###

M Coût excessivement élevé des TI 3 - Problème sérieux ###

N Mise en œuvre des nouvelles initiatives ou innovations bloquées ou échouées par
l'architecture et le système informatique existants. 3 - Problème sérieux ###

O Écart entre les connaissances meteirs et techniques qui mène à des utilisateurs
professionnels et des spécialistes informatiques et/ou technologiques parlant 1 - Pas de problème ###
différentes langues.

P Problèmes réguliers en ce qui concerne la qualité des données et l'intégration des

données de diverses sources. 3 - Problème sérieux ###

Q Niveau élevé d’informatique pour l’utilisateur final, ce qui crée (entre autres problèmes) un manque de
surveillance et de contrôle de la qualité des applications qui sont développées et mises en service
2 - Problème ###

R Les départements métiers mettent en œuvre leurs propres solutions d’information avec peu ou pas
d’implication du département informatique de l’entreprise 1 - Pas de problème ###

S Ignorance ou non-respect des règlements en matière de sécurité et de protection des renseignements

personnels 1 - Pas de problème ###

T Incapacité d’exploiter les nouvelles technologies ou d’innover en utilisant IT 3 - Problème sérieux ###
2.28 ###
Note 2
Niveau Acceptable
Probabilité
1 - Faible
2 - Moyen
3 - Haut

Impact
1 - Faible
2 - Moyen
3 - Haut

Adéquation du contrôle
1 - Faible
2 - Moyen
3 - Haut

Problème
1 - Pas de problème
2 - Problème
3 - Problème sérieux

Note à attribuer
5
4
2
-3
-5
Quelle est la probabilité que le risque se réalise?
Il est peu probable que des événements se produisent d'ici un an. (ex : 1x/ plusieurs années)
Événement qui est susceptible de se produire dans l'année. (ex : 1x/ans)
Événements susceptibles de se produire d'ici un an.

Quel est l'impact sur la banque si le risque se concrétise?

Peu ou pas d'effet sur la banque; faible coût / atteinte à la réputation.
Effet modéré sur la banque; coût modéré / dommages à la réputation.
Effet significatif sur la banque; graves dommages aux coûts / à la réputation.

Quelle est la probabilité que les contrôles en place atténuent le risque?

Les contrôles en place n'atténuent pas de manière significative le risque inhérent
Les contrôles en place atténuent dans une certaine mesure le risque inhérent.
Les contrôles en place atténuent considérablement le risque inhérent.

Quelle est le niveau d'attenuation des problèmes liés à l'activite ?

Les problemes n'atténuent pas de manière significative les activites
Les problemes atténuent dans une certaine mesure les activites
Les problemes atténuent considérablement les activites

Niveau
Très satisfaisant 
Satisfaisant 
Acceptable 
Mauvais
Très mauvais
 Identifier et évaluer les contrats et
Mise en place d’une BDD fournisseur
les relations avec les fournisseurs

Sélectionner les fournisseurs

 Gérer les contrats et les relations
avec les fournisseurs

Gérer les risques liés aux

fournisseurs

Piloter la performance et la
conformité des fournisseurs

Gestionnaire d’actifs SI
Actualisation de données
fournisseurs.
Gère tous les contrats concernant les
Gestionnaire
actifs des contrats
SI, acquisition, maintenance,
sous-traitance, licences …etc.
Veiller, en permanence, au respect des
contrats en matière de date de fin de
validité et de renouvellement,
notamment des licences d’utilisation et
de maintenance ;

Suivre, en permanence, avec les

structures qui bénéficient des prestations,
la qualité des prestations fournies et le
niveau du répondant du prestataire ;
COMMISSION TECHNIQUE

Se charge de la conformité de charge

offre au cahier des charges et l’étude et
l’évaluation, sur le plan technique, des
offres reçues
Commission des Marchés / commission
des achats 

Instances qui approuvent, sur base de

la présentation et la discussion des
résultats des analyses et des études
des offres effectuées par les
concernés, la sélection d’un
fournisseur pour la réalisation d’une
prestation demandée par la Banque

c1c1
 Decision Management strategique Gestionnaire des contrats

CDG CM CA SCGIT DGA IT Divisionnaire IT DSIT DSABDD DD

Identifier les
fournisseurs et les
contrats associés puis
les classer selon le type,
l’importance et la
criticité. Établir des
critères d’évaluation
des contrats et des
fournisseurs, puis
évaluer l'ensemble du
portefeuille de contrats
et de fournisseurs
existants et de
rechange

Sélectionner des
fournisseurs selon une
pratique juste et
formelle afin d’assurer
la meilleure solution
viable, basée sur les
exigences spécifiées.
Les exigences doivent
être optimisées sur la
base des informations
fournies par les
fournisseurs potentiels
Formaliser et gérer les
relations avec chaque
fournisseur. Gérer,
maintenir et piloter les
contrats et la livraison
de services. Assurer que
les contrats nouveaux
ou modifiés se
conforment aux normes
de l’entreprise et aux
exigences juridiques et
réglementaires. Gérer
les différends
contractuels

Identifier et gérer les

risques liés à la capacité
des fournisseurs à offrir
continuellement des
services sûrs et
efficaces

Examiner
périodiquement la
performance
d’ensemble des
fournisseurs, la
conformité aux
exigences
contractuelles ainsi que
le rapport qualité/prix,
et régler les problèmes
identifiés
 Gestionnaire d’actifs SI Controle

Infra & System Reseau Base de Donnes Services BI & Digitalisation DSSI

R R R R
3
Management
Decision
strategique

Divisionnaire IT
DGA IT
SCGIT
CDG

CM

CA
Identifier et évaluer les contrats et les relations avec les fournisseurs
Sélectionner les fournisseurs C/I A
Gérer les contrats et les relations avec les fournisseurs C/I
Gérer les risques liés aux fournisseurs I A
Piloter la performance et la conformité des fournisseurs I A
 DSIT

R
R
R
A
A
DSABDD
des contrats
Gestionnaire

DD

Infra & System

Reseau

R
R

C
C
Base de Donnes

Services
Gestionnaire d’actifs SI

BI & Digitalisation

I
C
C DSSI

I
Controle

AUDIT
 Identifier et évaluer les contrats et les
relations avec les fournisseurs
CDG
Decision CM
CA
SCGIT
Management
strategique
DGA IT I
Divisionnaire IT
DSIT
Gestionnaire
des contrats
DSABDD A
DD
Infra & System
Reseau
Gestionnaire
Base de Donnes R
d’actifs SI
Services
BI & Digitalisation

Controle DSSI C
 Gérer les contrats et les Piloter la performance et la
Sélectionner les fournisseurs
relations avec les fournisseurs conformité des fournisseurs

I A I

A R I

R C A

C C R

C I I
Reference Risk Category Example Risk Scenarios
1 IT-investment A. Programs selected for implementation misaligned with corporate
decision making, strategy and priorities
portfolio definition and B. Failure of IT-related Investments to support digital strategy of
maintenance the enterprise
C. Selection of wrong software (in terms of cost, performance,
features, compatibility,
redundancy, etc.) for acquisition and implementation
D. Selection of wrong infrastructure (in terms of cost, performance,
features,
compatibility, etc.) for implementation
E. Duplication or important overlaps between different investment
initiatives
F. Long-term incompatibility between new investment programs
and enterprise
architecture
G. Misallocation, inefficient management and/or competition for
resources without
alignment to business priorities

2 Program and projects A. Failure of senior management to terminate failing projects (due
lifecycle management to cost explosion, excessive delays, scope creep, changed business
priorities)
B. Budget overruns for I&T projects
C. Lack of quality of I&T projects
D. Late delivery of I&T projects
E. Failure of third-party outsourcers to deliver projects as per
contractual agreements
(any combination of exceeded budgets, quality problems, missing
functionality,
late delivery)

3 IT cost and oversight A. Extensive dependency on, and use of, user-created, user-
defined, user-maintained applications and ad hoc solutions
B. Excess cost and/or ineffectiveness of I&T-related purchases
outside of the I&T
procurement process
C. Inadequate requirements leading to ineffective Service Level
Agreements (SLAs)
D. Lack of funds for I&T related investments
4 IT expertise, skills and A. Lack or mismatch of IT-related skills within IT (e.g., due to new
behavior technologies or working methods)
B. Lack of business understanding by IT staff that affects service
delivery/project quality
C. Inability to recruit and retain IT staff
D. Recruitment of unsuitable profiles because of lack of due
diligence in the recruitment
process
E. Lack of I&T training
F. Overreliance for I&T services on key staff

5 Enterprise/IT A. Complex, inflexible enterprise architecture (EA), obstructing

architecture further evolution and expansion, and leading to missed business
opportunities
B. Failure to timely adopt and exploit new infrastructure or abandon
obsolete infrastructure
C. Failure to timely adopt and exploit new software (functionality,
optimization, etc.)
or to abandon obsolete applications
D. Undocumented EA leading to inefficiencies and duplications
E. Excessive number of exceptions on enterprise architecture
standards

6 IT operational A. Accidental damaging of IT equipment

infrastructure B. Errors by IT staff (during backup, during upgrades of systems,
incidents during maintenance
of systems, etc.)
C. Incorrect information input by IT staff or system users
D. Destruction of data center (sabotage, etc.) by staff
E. Theft of device with sensitive data
F. Theft of a key infrastructure component
G. Erroneous configuration of hardware components
H. Intentional tampering with hardware (security devices, etc.)
I. Abuse of access rights from prior roles to access IT infrastructure
J. Loss of backup media or backups not checked for effectiveness
K. Loss of data by cloud provider
L. Operational-service interruption by cloud providers
7 Unauthorized actions A. Tampering with software
B. Intentional modification or manipulation of software leading to
incorrect data
C. Intentional modification or manipulation of software leading to
fraudulent actions
D. Unintentional modification of software leading to inaccurate
results
E. Unintentional configuration and change-management errors

8 Software adoption/ A. Nonadoption of new application software by users

usage problems B. Inefficient use of new software by users
9 Hardware incidents A. System instability in wake of installing new infrastructure,
leading to operational incidents (e.g., BYOD program)
B. Inability of systems to handle transaction volumes when user
volumes increase C. Inability of systems to handle load when new
applications or initiatives are deployed D. Utilities failure (telecom,
electricity)
E. Hardware failure due to overheating and/or other environmental
conditions like humidity
F. Damaging of hardware components leading to destruction of
data by internal staff
G. Loss/disclosure of portable media containing sensitive data (CD,
USB-drives,
portable disks, etc.)
H. Extended resolution time or support delays in case of hardware
incidents

10 Software failures A. Inability to use the software to realize desired outcomes (e.g.,
failure to make required business model or organizational changes)
B. Implementation of immature software (early adopters, bugs,
etc.) C. Operational glitches when new software is made
operational
D. Regular software malfunctioning of critical application software
E. Obsolete application software (outdated, poorly documented,
expensive to
maintain, difficult to extend, not integrated in current architecture,
etc.)
F. Inability to revert back to former versions in case of operational
issues with a new
version
G. Software-induced corrupted data(base) leading to inaccessible
data
11 Logical attacks A. Unauthorized (internal) users trying to break into systems B.
(hacking, malware, Service interruption due to denial-of-service (DoS) attack C.
etc.) Website defacement
D. Malware attack
E. Industrial espionage
F. Hacktivism
G. Disgruntled employee implements a time bomb which leads to
data loss
H. Company data stolen through unauthorized access gained by a
phishing attack
I. Foreign government attacks on critical systems

12 Third-party/supplier A. Inadequate performance of outsourcer in large-scale, long-term

incidents outsourcing arrangement (e.g., through lack of supplier due
diligence regarding financial viability, delivery capability and
sustainability of supplier’s service)
B. Accepting unreasonable terms of business from IT suppliers
C. Inadequate support and services delivered by vendors, not in
line with SLA
D. Noncompliance with software license agreements (use and/or
distribution of
unlicensed software)
E. Inability to transfer to alternative suppliers due to overreliance or
overdependence
on current supplier
F. Purchase of IT services (especially cloud services) by the
business without
consultation /involvement of IT, resulting in inability to integrate
the service with in-
house services.
G. Inadequate or unenforced SLA to obtain agreed services and
penalties in case of
noncompliance

13 Noncompliance A. Noncompliance with national or international regulations (e.g.,

privacy, accounting, manufacturing, environmental, etc.)
B. Lack of awareness of potential regulatory changes that may have
a business impact
C. Operational obstacles caused by regulations
D. Failure to comply with internal procedures

14 Geopolitical issues A. Lack of access due to disruptive incident in other premises

B. Government interference and national policies impacting the
business
C. Targeted action from government-sponsored groups or agencies
15 Industrial action A. Facilities and building inaccessible because of labor union strike
B. Third-party providers unable to provide services because of
strike
C. Key staff unavailable through industrial action (e.g.,
transportation or utilities strike)

16 Acts of nature A. Earthquake destroying or damaging important IT infrastructure

B. Tsunami destroying critical premises
C. Major storms and tropical cyclone or tornado damaging critical
infrastructure
D. Major wildfire
E. Flooding
F. Rising water table leaving critical location unusable
G. Rising temperature rendering critical locations uneconomical to
operate

17 Technology-based A. Failure to identify new and important technology trends

innovation B. Failure to appreciate the value and potential of new technologies
C. Failure to adopt and exploit new technologies in a timely manner
(functionality,
process optimization, etc.)
D. Failure to provide technology support new business models

18 Environmental A. Environmentally unfriendly equipment (e.g., power consumption,

packaging)
19 Data and information A. Discovery of sensitive information by unauthorized persons due
management to inefficient retaining/archiving/disposing of information
B. Intentional illicit or malicious modification of data
C. Unauthorized disclosure of sensitive information through email or
social media
D. Loss of IP and/or leakage of competitive information
Catégorie de risque
Prise de décision en matière d’investissement dans les TI, définition du portefeuille et maintenance

Gestion du cycle de vie des programmes et des projets

Coûts et surveillance des TI

Expertise, compétences et comportement en TI

Architecture d’entreprise/
informatique

Incidents liés à l’infrastructure opérationnelle des TI

Actions non autorisées

Problèmes d’adoption et d’utilisation des logiciels

Incidents matériels

Défaillances logicielles
Attaques logiques (piratage, logiciels malveillants, etc.)

Incidents tiers/fournisseurs

Non-conformité

Questions géopolitiques
Action syndicale

Actes de la nature

Innovation technologique

Environnemental

Gestion des données et de l’information

 Exemples de scénarios de risque
A. Les programmes sélectionnés pour la mise en œuvre ne cadraient pas avec la stratégie et les
priorités de l’entreprise B. Échec des investissements liés aux TI à l’appui de la stratégie numérique de l’entreprisee
C. Sélection du mauvais logiciel (en termes de coût, de performances, de
fonctionnalités, de compatibilité, de
redondance, etc.) pour l’acquisition et la mise en œuvre
D. Sélection d’une mauvaise infrastructure (en termes de coût, de performance, de
fonctionnalités, de compatibilité, etc.) pour la mise en œuvre
E. Duplication ou chevauchements importants
entre différentes initiatives d’investissementF. Incompatibilité à long terme entre les nouveaux programmes
d’investissement et
la protection de l’entrepriseG. Mauvaise affectation, gestion inadéquate et/ou concurrence pour les ressources
non conformes aux priorités opérationnelles

A. Omission de la haute direction de mettre fin à des projets qui échouent (en raison de l’explosion des coûts, des retards
excessifs, du glissement de la portée, des priorités opérationnelles modifiées)
B. Dépassements de budget pour
les projets
I et T
C. Manque de qualité des projets I&T D. Livraison tardive des projets I&TE.
Échec des sous-traitants tiers à livrer les projets conformément aux accords contractuels (toute combinaison de budgets
dépassés, problèmes de qualité, fonctionnalités manquantes, livraison tardive)

A. Grande dépendance et utilisation d’applications et de solutions ad hoc

créées par l’utilisateur et gérées par l’utilisateurB. Surcoût et/ou inefficacité des achats liés aux IT en dehors du processus
d’I&Tprocurement

. Des exigences inadéquates conduisant à des accords sur les niveaux de service (ANS) inefficaces D. Manque de fonds
pour les investissements liés aux IT
A. Manque ou inadéquation des compétences liées à la TI au sein de la TI (p. ex., en
raison des
nouvelles technologies ou des méthodes de travail)B. Manque de compréhension opérationnelle par le personnel de la TI
qui a une incidence sur la prestation de services ou la qualité des
projetsC. Incapacité de recruter et de maintenir
en poste le personnel des TI. Manque de formation I&T
F. Dépendance excessive des services I&T
à l’égard du personnel clé

A. Une architecture d’entreprise (AE) complexe et flexible, qui entrave l’évolution et l’expansion et entraîne des occasions
d’affaires
manquées. Défaut d’adopter et d’exploiter en temps opportun une nouvelle infrastructure ou d’abandonner une
infrastructure obsolète
. Non adoption et exploitation en temps utile de nouveaux logiciels (fonctionnalités, optimisation, etc.)
ou abandon d’applications obsolètes. AE non documentée entraînant des inefficacités et des duplicationsE. Nombre
excessif d’exceptions aux normes d’architecture d’entreprise

A. Endommagement accidentel de l’équipement informatique

. Erreurs commises par le personnel des TI (pendant la sauvegarde, les mises à niveau des systèmes, la
maintenance des systèmes, etc.)
C. Informations incorrectes saisies par le personnel des TI ou les utilisateurs du systèmeD
. Destruction du centre de données (sabotage, etc.) par le personnelE. Vol d’appareil avec des données
sensibles
F. Vol d’un composant d’infrastructure cléG. Configuration erronée des composants matérielsH
. Altération intentionnelle du matériel (dispositifs de sécurité, etc.)I. Abus des droits d’accès des rôles antérieurs pour
accéder à l’infrastructure
informatique
J. Perte de supports de sauvegarde ou de sauvegardes non vérifiées pour
leur effectivitéK. Perte de données par le fournisseur de cloud L. Interruption de service opérationnel par les fournisseurs
de cloud
A. Altération du
logicielB. Modification intentionnelle ou manipulation de logiciels conduisant à des
données incorrectesC. Modification ou manipulation intentionnelle de logiciels menant à des actions frauduleuses
. Modification
involontaire d’un logiciel entraînant des résultats inexactsE. Configuration involontaire et erreurs de gestion du
changement

A. Nonadoption de nouveaux logiciels d’application par les utilisateurs

B. Inefficient use of new software by users
A. Instabilité du système à la suite de l’installation de nouvelles infrastructures, entraînant des incidents opérationnels (p.
ex., programme AVPA)
B. Incapacité des systèmes à gérer les volumes de transactions lorsque les volumes d’utilisateurs augmentent C.
Incapacité des systèmes à gérer la charge lorsque de nouvelles applications ou initiatives sont déployées D. Défaillance
des services publics (télécommunications, électricité)
E. Défaillance matérielle due à une surchauffe et/ou à d’autres conditions environnementales telles que
l’humiditéF. Endommagement des composants matériels entraînant la destruction des données par le personnel interne
. Perte/divulgation de supports portables contenant des données sensibles (CD, clés USB, disques
portables, etc.)H. Délais de résolution ou de support prolongés en cas d’incidents matériels

A. Incapacité d’utiliser le logiciel pour obtenir les résultats souhaités (p. ex., défaut d’apporter les changements requis au
modèle opérationnel ou à l’organisation)
B. Mise en œuvre de logiciels immatures (adopteurs précoces, bogues, etc.) C. Problèmes opérationnels lorsque le
nouveau logiciel est rendu opérationnellD
. Dysfonctionnement régulier du logiciel d’applicationE. Logiciel d’application obsolète (obsolète, mal documenté, cher
tomaintain, difficult à étendre, non intégré dans l’architecture actuelle, etc.)
F. Impossibilité de revenir aux anciennes versions en cas de problèmes opérationnels avec une
nouvelle versionG. Données corrompues induites par logiciel (base) conduisant à des données inaccessibles
A. Utilisateurs non autorisés (internes) qui tentent d’entrer par effraction dans les systèmes B. Interruption de service en
raison d’une attaque par déni de service (DoS) C. Défaut de site Web
D. Malware attack
E. Espionnage industrielF. HacktivismG. Employé mécontent met en œuvre une bombe à retardement qui entraîne des
pertes de donnéeH. Données
d’entreprise volées par un accès non autorisé obtenu par une attaque d’hameçonnageI. Attaques de gouvernements
étrangers sur des systèmes critiques

A. Rendement inadéquat de l’impartiteur dans le cadre d’ententes d’externalisation à grande échelle et à long terme (p.
ex., en raison du manque de diligence raisonnable du fournisseur en ce qui a trait à la viabilité financière, à la capacité de
prestation et à la durabilité du service du fournisseur)
B. Acceptation de conditions d’affaires déraisonnables de la part des fournisseurs de TI
C. Soutien et services inadéquats fournis par les fournisseurs, non conformes à la SLAD.
Non-respect des accords de licence de logiciel (utilisation et/ou distribution de
logiciels non autorisés)E. Impossibilité de transférer à d’autres fournisseurs en raison d’une dépendance excessive ou
excessive
à l’égard
du fournisseur courant
F. Achat de services de TI (en particulier de services infonuagiques) par le secteur d’activité
, avec consultation/participation des TI, ce qui entraîne l’incapacité d’intégrer le service aux services internes.G. SLA
inadéquat ou non appliqué pour obtenir les services convenus et pénalités en cas de
non-conformité

A. Non-respect des règlements nationaux ou internationaux (p. ex., protection des renseignements personnels,
comptabilité, fabrication, environnement, etc.)
B. Manque de sensibilisation aux changements réglementaires potentiels qui pourraient avoir une
incidence sur l’entrepriseC. Obstacles opérationnels causés par
les régulationsD. Non-respect des procédures internes

A. Manque d’accès en raison d’un incident perturbateur dans d’autres

prémissesB. Ingérence du gouvernement et politiques nationales ayant une incidence sur l’entrepriseC. Mesures ciblées de
la
part de groupes ou d’organismes parrainés par le gouvernement
A. Installations et bâtiment inaccessibles en raison de la
grève
syndicale B. Fournisseurs tiers incapables de fournir des services en raison de la grève C. Le personnel clé n’est pas
disponible dans le cadre d’une action industrielle (p. ex., grève des transports ou des services publics)

A. Tremblement de terre détruisant ou endommageant des infrastructures informatiques

importanteB. Tsunami détruisant des
prémisses critiquesC. Tempêtes majeures et cyclones tropicaux ou tornades endommageant
l’infrastructure critiqueD. WildfireE majeur
. FloodingF. Élévation de la nappe phréatique laissant inutilisable l’emplacement névralgique
G. Hausse de la température rendant les emplacements névralgiques non rentables

A. Incapacité à identifier les tendances technologiques

nouvellesB. Incapacité à apprécier la valeur et le potentiel des nouvelles technologiesC. Défaut d’adopter et d’exploiter les
nouvelles technologies en temps opportun (fonctionnalité,
optimisation des processus, etc.)

A. Équipement non écologique (p. ex., consommation d’énergie, emballage)

A. Découverte de renseignements sensibles par des personnes non autorisées en raison de la conservation, de l’archivage
et de l’élimination inefficaces de l’informationB. Modification intentionnelle illicite ou malveillante des
donnéesC. Divulgation non autorisée de renseignements sensibles par courriel ou par les
médias sociauxD. Perte de propriété intellectuelle et/ou fuite d’informations concurrentielles
Reference Description
A Frustration between different IT entities across the organization because of a perception of low
contribution to business value
B Frustration between business departments (i.e., the IT customer) and the IT department because
of failed initiatives or a perception of low contribution to business value

C Significant IT related incidents, such as data loss, security breaches, project failure, application
errors, etc. linked to IT

D Service delivery problems by the IT outsourcer(s)

E Failures to meet IT related regulatory or contractual requirements
F Regular audit findings or other assessment reports about poor IT performance or reported IT
quality or service problems
G Substantial hidden and rogue IT spending, that is, IT spending by user departments outside the
control of the normal IT investment decision mechanisms and approved budgets
H Duplications or overlaps between various initiatives or other forms of wasting resources

I Insufficient IT resources, staff with inadequate skills or staff burnout/dissatisfaction

J IT-enabled changes or projects frequently failing to meet business needs and delivered late or over
budget
K Reluctance by board members, executives or senior management to engage with IT, or lack of
committed business sponsors for IT

L Complex IT operating model and/or unclear decision mechanisms for IT-related decisions

M Excessively high cost of IT

N Obstructed or failed implementations of new initiatives or innovations caused by the current IT
architecture and system
O Gap between business and technical knowledge which leads to business users and IT and/or
technology specialists speaking different languages

P Regular issues with data quality and integration of data across various sources

Q High level of end-user computing, creating (among other problems) a lack of oversight and quality
control over the applications that are being developed and put in operation

R Business departments implementing their own information solutions with little or no involvement of
the enterprise IT department
S Ignorance and/or noncompliance with security and privacy regulations

T Inability to exploit new technologies or to innovate using I&T

Description_FR
Frustration entre les différentes entités de TI à l’échelle de l’organisation en raison de la
perception d’une faible contribution à la valeur opérationnelle
Frustration entre les services opérationnels (c.-à-d. le client des TI) et le service des TI en raison
d’initiatives ratées ou d’une perception de faible contribution à la valeur opérationnelle

Incidents importants liés aux technologies de l’information, comme la perte de données, les
atteintes à la sécurité, les échecs de projet, les erreurs d’application, etc., liés aux TI

Problèmes de prestation de services par le ou les sous-traitants des TI

Non-respect des exigences réglementaires ou contractuelles en matière de TI
Vérifications régulières ou autres rapports d’évaluation sur le rendement médiocre des TI ou les
problèmes de qualité des TI ou de service signalés
Des audits réguliers ou d'autres rapports d'évaluation sur les problèmes de rendement, de TI ou
de qualité du service signalés.
Chevauchement entre différentes initiatives et autres formes de gaspillage de ressources.

Ressources informatiques insuffisantes, personnel insuffisant ou épuisement/mécontentement du

personnel.
Les changements ou les projets axés sur la TI ne répondent souvent pas aux besoins opérationnels
et sont livrés en retard ou en dépassement de budget
Réticence des membres du conseil d’administration, des cadres supérieurs ou de la haute
direction à communiquer avec les TI, ou manque de commanditaires metiers engagés pour les TI

Modèle opérationnel de TI complexe ou mécanismes décisionnels peu clairs pour les décisions de
TI.
Coût excessivement élevé des TI
Mise en œuvre des nouvelles initiatives ou innovations bloquées ou échouées par l'architecture
et le système informatique existants.
Écart entre les connaissances meteirs et techniques qui mène à des utilisateurs professionnels et
des spécialistes informatiques et/ou technologiques parlant différentes langues.

Problèmes réguliers en ce qui concerne la qualité des données et l'intégration des données de
diverses sources.
Niveau élevé d’informatique pour l’utilisateur final, ce qui crée (entre autres problèmes) un
manque de surveillance et de contrôle de la qualité des applications qui sont développées et
mises en service

Les départements métiers mettent en œuvre leurs propres solutions d’information avec peu ou
pas d’implication du département informatique de l’entreprise
Ignorance ou non-respect des règlements en matière de sécurité et de protection des
renseignements personnels
Incapacité d’exploiter les nouvelles technologies ou d’innover en utilisant I&T