sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Quantifier les sinistres opérationnels

sp

Pourquoi évaluer et quantifier les sinistres ?

Pour gérer les risques opérationnels, il est tout d'abord nécessaire d'identifier et d'évaluer les risques auxquels est exposée l'organisation, puis de les analyser et de les classer par ordre de criticité.

Les principales raisons de gérer spécifiquement les risques liés à l’information sont :

  • Garantir la continuité de l'activité de l’entreprise, notamment pour ses activités de cœur de métier,
  • Répondre aux exigences de certains clients : dans plusieurs domaines d’activité notamment « Aéronautique, électronique », les donneurs d’ordre commencent à exiger un état des lieux des risques, voire imposer une certification sécurité.
  • Faciliter l'accès au marché de l'assurance : les assureurs veulent qu’on leur présente une politique de sécurité globale et cohérente.
  • Limiter la judiciarisation: une charte interne claire des droit et devoirs des salariés et des sanctions liées, permet de diminuer le nombre d’attaques internes.
  • Préserver la notoriété de l’entreprise ou l’organisme : par exemple, chaque mois des sites Internet sont modifiés par des pirates qui mettent en page d’accueil des prises de position politiques, des canulars, des photos osées,…
sp spacer

sp

Gérer un historique des sinistres

Pour connaitre l'exposition d'une entreprise aux risques, il peut être utile identifier l'ensemble des sinistres et des pertes (grandes et petites) que l'entreprise a subis pendant un nombre d'années déterminé.

Si ces sinistres ne portent pas en soi la potentialité de risques graves, ils peuvent être tracés afin de servir d'éléments d'indication sur la potentialité des risques et le poids de l'impact que cela a eu sur l'entreprise dans le passé.

Mais s'appuyer uniquement sur une analyse des sinistres passés pour en déduire les risques futurs est très limitatif dans les risques informatiques, du à :

  • la vitesse et la complexité des évolutions de ces sinistres,
  • la non prise en compte de sinistres rares mais ayant un impact fort sur l'entreprise
  • ...

L'analyse des sinistres potentiels

Il existe plusieurs sources pour identifier les scénarios de sinistres potentiels. Cela peut provenir d'analyse de scénarios de sinistre :

  • par métiers : comme par exemple les scénarios bancaires abordés dans Bâle 2 (détournement de chèque par personnel interne, divulgation des opérations réalisées sur des comptes clients, ...)
  • scénarios génériques de menaces (divulgation frauduleuse d'information, indisponibilité du réseau suite à une attaque virale, ...) à rapprocher de scénarios métier.
  • par grande fonction de l'entreprise (les scénarios les plus graves ou les plus courants pour les fonctions finance, commerce, production, distribution, ...)

Si aujourd'hui le plupart des méthodes de gestion des risques des systèmes d'information s'appuient sur des scénarios de sinistre génériques, il est à parier qu'avec les évolutions réglementaires des métiers "à risques", de plus en plus les méthodes de sécurité intègrent des risques métiers (et notamment des scénarios de fraude interne).

 

pix1 pix2 pix3 pix4