sécurité de l'information et gestion des risques informatiques
 
 Accueil 
 Contact 
  
Domaines sécurité
Les enjeux
de la sécurité
Organiser
la sécurité
La gestion
des risques
La continuité
d'activité
Les méthodes
de sécurité
La méthode
Mehari
Les normes
de sécurité

ISO 17799 et BS7799-2

Les aspects juridiques

La sécurité
des échanges

Les types d'attaques

Nos Prestations
Assistance
et conseil
Formations
à la sécurité

Les méthodes d’analyse de risques des systèmes d’information

Les approches d’analyse des risques (suite)

On caractérise quelquefois les approches en les classant en 3 catégories :

  • La méthode quantitative : elle implique de prendre un nombre important de mesures pour calculer le coût des dommages, idéalement en termes financiers, et les effets des mesures de réduction prises. Cette analyse quantitative de risque nécessite de s’appuyer sur des faits et des chiffres avérés et constitue souvent un exercice long et délicat qui n'est pas approprié aux risques des systèmes d'information.

  • La méthode qualitative : elle fournit une voie plus facile pour mesurer la valeur des actifs et les probabilités de menaces. Ces valeurs peuvent être décrites en utilisant des expressions simples telles que "haut", "moyen" et "faible". Cette approche corrige les imperfections de l'approche quantitative en réduisant l'incertitude inhérente aux chiffres.

  • L’approche par base de connaissance : elle implique de réutiliser les bonnes pratique en matière de connaissance des risques d’organismes semblables (en taille, périmètre et/ou marché). En complément de la méthode qualitative, elle permet d’aller vite pour des risques «courants».

La gravité du risque informatique

On définit souvent la gravité d’une menace résultant d’un risque sur 4 niveaux (exemple Mehari) :

  • 1. Insignifiant
  • 2. Tolérable
  • 3. Inacceptable (au sens que le Management de l'entreprise décide de ne pas l'accepter)
  • 4. Insupportable (au sens qu'une entreprise ne peut le supporter financièrement, en terme d'imge, ...)
spacer

Comment gérer le risque.

En matière de risk management, on distingue généralement 4 manières de gérer le risque :
  • le contournement ou évitement, qui consiste à renoncer à l’activité qui génère le risque ;
  • le contrôle du risque, qui consiste à en diminuer la probabilité, par la mise en oeuvre d’une mesure de sécurité;
  • l’assurance ou l’auto-assurance (qui peut être ou non assortie de financements spécifiques) ou le transfert non-assurantiel du risque, exemple par le biais de clauses de renonciation à recours ;
  • et évidemment son acceptation.
Gestion des risques

 

pix1 pix2 pix3 pix4