SMSI : Planifier

Première étape PLAN  : Planifier

Les différentes actions de l'étape PLAN sont :
  • La définition d'un périmètre du SMSI, c'est à dire :
    • quel périmètre en termes d'activités de l'entrepriser ou organisme (périmètre fonctionnel, par métier, géographique, ...)
    • quelles sont les interfaces importantes entre ce périmètre et les domaines non couverts par le SMSI (qu'ils soient internes ou externes à l'entreprise)
  • Le choix d'une approche de gestion des risques liés aux SI (voir la partie Méthode) :
    • approche plutôt globale pour couvrir les principaux risques mais sans en faire une analyse approfondie en termes d'impact
    • approche plus fine d'analyse des scénarios de risque et de pilotage de ces risques dans la durée
      • Ce choix est important car il va conditionner le choix d'une méthode de gestion des risques, l'implication des métiers dans la quantification des risques
  • La mise en oeuvre de la méthode choisie de gestion des risques :
    • Analyse du contexte, définition des seuils d'acceptation des risques
    • Cartographie et classification des actifs
    • Identification des menaces
    • Analyse des vulnérabilités
    • Identification des situations de risques
    • Classification des risques
    • Traitrement des risques retenus 
  • La définition et la validation du plan de traitement des risques :
    • liste des risques couverts et non-couverts
    • choix des solutions pour couvrir les risques
    • définition des coûts, bénéfices, impacts des solutions retenues
    • acceptation des risques résiduels et des solutions par la Direction

La plan de traitement des risques, issue de cette étape, devrait inclure en face des risques à traiter :

  • L'option prise dans son traitement (réduction, tranfert, ...) et la description de la solution prise
    • les contraintes liées à cette réduction du risque (temps, financier, humain, ...)
    • les coûts induits
    • les bénéfices attendus
  • Le niveau de risque résiduel
  • éventuellement les risques induits

Les principaux pièges de cette étape sont :

  • le choix d'un périmètre de SMSI qui va conditionner la réussite ou l'échec du projet
  • l'analyse des risques, mais surtout l'analyse des enjeux métiers (le contexte)
  • la sous-estimation des ressources et des freins au déploiement du SMSI

 


Copyright Ysosecure © 2002 - 2018