Analysez et gérez des risques SI

Analysez et gérez des risques SI[modifier | modifier le wikicode]

I)

• un risque se définit comme la vraisemblance qu’une menace exploite une vulnérabilité afin d’impacter un actif ;

• on ne peut pas parler de risque sans que les 4 composantes suivantes soient réunies : vulnérabilité, menace, impact et conséquence ;

• les impacts business d’un risque s’évaluent en termes de DICT (Disponibilité, Intégrité, Confidentialité et Traçabilité).

Parmi les méthodologies d’analyse des risques les plus connues, nous pouvons citer de manière non exhaustive : EBIOS, MEHARI ou encore OCTAVE.

II)

• l’analyse des risques en système d’information s’appuie sur le cadre normatif ISO 27005 ;

• ce cadre ne possède pas de dimension légale, mais apporte une confiance et une légitimité à un organisme certifié ;

• soyez créatif : aucune méthode d’analyse des risques n’est imposée, tant que celle employée est compatible avec la norme ISO 27005 ;

• cependant, si l’inspiration vous manque, vous pouvez toujours vous appuyer sur des méthodologies existantes et conformes ISO 27005, telles que EBIOS, MEHARI ou OCTAVE.

III)

• une analyse des risques SI doit toujours être effectuée selon le contexte (interne et externe) de l’organisme, sans quoi elle n’a que peu, voire pas, de valeur ;

• en cas de limitation des ressources mises à disposition, il est important que vous définissiez et fassiez valider le périmètre d’applicabilité de votre analyse ;

• enfin, ne négligez pas les critères de base qui donnent un cadre rationnel à vos appréciations des risques identifiés.

IV)

• l’appréciation des risques se cadence en trois étapes : 1- Identifier ; 2- Analyser ; 3- Évaluer ;

• une menace se définit selon deux critères : origine humaine ou naturelle, et accidentelle ou délibérée ;

• ne passez pas à côté des mesures existantes qui peuvent être très efficaces et ne nécessitent pas ou peu d’investissements supplémentaires ;

• les conséquences de la réalisation d’un scénario de risque s’évaluent sur tous les plans : financier, juridique, parts de marché, relations fournisseurs, image de marque, sécurité du personnel, etc.

V)

• la phase d’évaluation des risques va vous permettre de prioriser les risques qui seront traités ;

• durant cette phase, vous établirez également quels risques feront l’objet de remédiation, notamment grâce à la définition d’un seuil d’acceptation des risques.

VI)

• le traitement d’un risque s’appuie sur les résultats de sa qualification et le rapport bénéfices/coûts engendrés ;

• il existe 4 traitements possibles (réduction, maintien, refus et partage) qui ne sont pas toujours tous applicables à un même risque ;

• un plan de traitement répond aux "Quoi ?" "Dans quel ordre ?" "Quand ?" "Avec quels moyens ?" "Et par qui ?" ;

• les risques résiduels (lire comme “risques persistant après traitement”) et le plan de traitement doivent être acceptés et documentés ;

• la direction joue un rôle majeur dans l’acceptation des risques de par sa légitimité et sa capacité à assumer.

VII)

• ne négligez surtout pas la communication dans vos analyses des risques SI. Elle vous apportera transparence, crédibilité et adhésion ;

• des plans de communication interne et externe sont nécessaires pour communiquer sur votre analyse, de son démarrage à sa clôture ;

• SMART, SMART, SMART, SMART... C’est bon, je pense que vous avez désormais retenu l'acronyme magique !

VIII)

• la roue de Deming, une méthode incontournable pour votre processus d’amélioration continue ;

• “Plan, Do, Check, Act”. Repeat again. “Plan, Do, Check, Act”. Repeat again. “Plan, Do, Check, Act”... ;

• la surveillance comprend (entre autres) la vérification, la supervision et l’observation ;

• doivent être surveillés en priorité les facteurs de risque et la gestion desrisques.