Questions autour des méthodes de gestion des risques informatiques.
Les méthodes de gestion des risques informatiques ont elles toutes les mêmes finalités ?
L'objectif commun d'un méthode de gestion des risques informatiques est d'aboutir à des mesures de sécurité adaptées aux menaces réelles de l'entreprise ou l'organisme.
Mais dans leur construction, certaines sont plus adaptées pour définir des objectifs de sécurité dans le cadre d'un projet (refonte du SI, nouvelle application) comme Ebios. A contrario Mehari est surtout efficace pour traiter de l'amélioration globale de la sécurité d'une entreprise.
Y a t'il un comparatif des différentes méthodes de gestion des risques informatiques ?
Le gouvernement du Québec a procédé à une étude en novembre 2001 (assez exhaustive mais peu approfondie) des différentes méthodes de gestion des risques informatiques. Cette étude n'est malheusement pas accessible en ligne. Le Québec avait finalement opté pour Mehari.
En dehors de ce dossier, plusieurs thèses d'étudiants devraient sortir en 2005 de comparaison des méthodes de RM.
Les méthodes de gestion des risques informatiques sont elles adaptées aux structures petites ou moyennes ?
Si la question doit se comprendre : peut on faire une analyse des risques en 3/4 jours, la réponse est définitivement non. On parle simplement d'un diagnostic de sécurité (instantané de l'état de la sécurité de l'entreprise).
En revanche, des méthodes telles que Octave ou Mehari peuvent être appliquées dans le contexte des PME/PMI, mais en les simplifiant (et dans le cas de Mehari en s'appuyant sur un outillage externe : Risicare).
|
Domaines sécurité