Le logiciel Risicare

Imprimer
PDF

Objectifs de l'outil Risicare

RISICARE est une approche associée à un outillage, s'appuyant sur la méthode Mehari 2010 et qui permet d'améliorer la productivité et la justesse d'une démarche de gestion des risques.

Il s'agit de faciliter la tâche du RSSI ayant à réaliser une analyse de risque ou à implémenter un SMSI . La trame globale se voulant très proche d'une démarche ISO 27001 et ISO 27005.

Principales caractéristiques de Risicare

Risicare s'appuie sur les caractéristiques suivantes :

  • L'utilisation de la méthode Mehari développée au sein du CLUSIF comme modèle d'analyse des risques.
  • La possibilité de personnaliser les bases de connaissances, voire de construire ses propres bases de connaissances.
  • Une relation entre un audit de l'existant et la quantification de scénarios de risques.
  • Une prise en compte exhaustive et automatique des multiples possibilités de survenance de ces scénarios.
  • L'élaboration de plans d'action cohérents optimisant la réduction de l'ensemble des risques.
  • Une aide en ligne très développée avec l'accès à un ensemble de rubriques méthodologiques et techniques .
  • Un outil performant et simple à utiliser en ergonomie Windows.

Intérêts et limites de Risicare

Les avantages de Risicare vis à vis des autres outils sont :

  • De s'appuyer sur la méthode Mehari développée au sein du CLUSIF qui est une méthode complète d'analyse des risques et qui bénéficie du retour d'expérience des méthodes Marion et Melisa.
  • D'être conçu pour permettre une approche de diagnostic qui permet de s'adapter à la taille et à la complexité de l'entreprise ou organisme.

Mais attention RISICARE est un outillage et pour bien l'utiliser il faut avoir bien assimilé la méthode Mehari.

Notamment dans des contextes de moyennes entreprises, son utilisation nécessite de savoir définir un périmètre des processus clefs afin d'optimiser la démarche et les ressources (internes et externes).

Evolutions de Risicare 2010 (Risicare V7)

Les évolutions par rapport à la version 2007 sont très importantes et aboutissent à une utilisation profondément remaniée.

Etablissement du contexte : l'analyse des enjeux métier

Cette phase est toujours délicate dans un démarche de gestion des risques. Risicare 2010 propose une assistance à cette phase puisqu'elle permet une  cartographie du Système d'Information (donc des actifs de support) à partir des processus métier.

La démarche suivie est la suivante :

  • A partir d'un processus métier analysé, les actifs de support sont identifiés à partir de la liste des actifs génériques des bases de connaissance.
  • La classification de cet actif pour le processus selon les critères d'impact, Risicare sélectionnant automatiquement les critères d'impact qui peuvent être concernés par un actif
  • Un lien est établi entre Processus métier – Actifs concernés.
  • Ensuite les actifs déterminés précédemment sont localisés,  Risicare présentant pour chaque actif les domaines d'audit pouvant servir à quantifier les vulnérabilités de cet actif.

L'analyse de l'existant

Une notion de sélection des questions apparait selon un niveau de maturité de l'entreprise et la finalité recherchée. Ainsi il est maintenant possible

La base de connaissances 2010 du Clusif introduit une taxinomie des questions d'audit selon la finalité sur le service de sécurité (Efficacité, Robustesse ou Mise sous contrôle) et selon un niveau de maturité (niveau 1, 2 et 3).

Risicare 2010 utilise cette taxinomie pour sélectionner les questions d'audit. Après cette sélection, l'utilisateur ne voit pas de différence, il se positionnera uniquement sur les questions sélectionnées.

La phase de traitement du risque

La construction de cette phase assure une conformité avec l'ISO 27005 et prépare la SOA. Elle vise construire des plans d'actions visent à réduire la gravité des risques que l'on veut traiter.

Elle permet de définir des stratégies de réduction du risque :

  • Choix entre réduction de la potentialité du risque ou de l'impact ou des deux.
  • Dans la réduction de la potentialité, choix entre dissuasion et prévention
  • Dans la réduction de l'impact, choix entre le confinement et la palliation.
  • Dans la réduction d'un facteur de risque, choix entre les différentes alternatives de services de sécurité à mettre en œuvre.

En ce sens, Risicare est un vrai outil de support à la réflexion du RSSI sur l'établissement du plan de traitement des risques.

La phase d'acceptation du risque

Dans une optique ISO 27005, il existe d'autres alternatives dans le traitement du risque que de réduire les risque, à savoir :

  • Accepter le risque tel qu'il est.
  • Trouver des moyens d'évitement.
  • Transférer le risque.

Risicare présente les risques qui n'ont pas été réduits afin qu'un choix de traitement puisse être fait par le RSSI.