Les méthodes de gestion des risques informatiques

Des méthodes spécifiques pour gérer le risque informatique ?

A la question posée aux grandes entreprises françaises par le Cigref, la réponse est unanime, ils sont 100% à utiliser des méthodes spécifiques pour gérer les risques liés aux systèmes d'information.

De nombreuses méthodes d’analyses de risques ont été développées, dont certaines sont très orientées grandes entreprises ou administrations.

Classification des risques

Les risques liés à l’information peuvent être classés selon 3 axes principaux :

• la criticité pour le système d’information ;
• la probabilité de réalisation ;
• l’impact sur les métiers

A ces trois axes, on pourrait en rajouter un, souvent oublié, qui concerne sa détectabilité. La détectabilité est la capacité pour le gestionnaire d'un risque, de pouvoir en détecter sa manifestation (apparition de l'impact) ou le déclenchement d'une de ses causes.

La probabilité d’un risque lié à l’information doit être pris dans son sens latin de probable et non dans sa dimension mathématique et probabiliste. En effet, il n’existe pas de base de connaissance permettant en fonction de critères définis, d’estimer la probabilité de survenance d’un risque informatique.