ISO 31010

ISO/CEI 31010:2009 : Gestion des risques – Techniques d'évaluation des risques

Cette norme est consacrée aux techniques liées au management du risque. c'est une norme d'accompagnement de l'ISO 31000 et elle fournit des lignes directrices permettant de choisir et d'appliquer des techniques systématiques d'évaluation des risques.

Pour Eric Mahy, le chef de projet, «ISO/CEI 31010 s’adresse aux novices du management du risque comme aux professionnels du risque les plus avertis. Elle s’intègre dans un ensemble structuré de normes relatives au management du risque, qui a été développé dans l’optique de proposer une approche "meilleure pratique".»

 

Lire la suite : ISO 31010

La quantification des sinistres

Quantification des impacts

Le sujet de la quantification de l'impact est un sujet difficile à traiter en dehors d'une échelle de gravité d'impact.

Certaines entreprises très matures ramènent l'ensemble des impacts à un "étalon impact" : par exemple dans le domaine automobile cette unité peut être la voiture non produite.

Identifier les enjeux sécurité des processus métier

Les enjeux métiers : la base d'une analyse des risques

La base d'une analyse des risques se pose souvent dans la question suivante " A-t-on identifié l'ensemble des risques auxquels l'organisme est exposé et a-t-on l'assurance que leur niveau est acceptable ? ".

Cette première étape d'analyse des enjeux, essentielle et certainement la plus complexe, est certainement également celle la moins facilement modélisable. Il s'agit de transformer des enjeux métiers en termes de DIC. Il s'agit de se doter d'éléments permettant de savoir s'il y aura en fin de la démarche une juste proportion entre les moyens de sécurité investis et ce niveau d'enjeux identifié par les métiers.

Lire la suite : Identifier les enjeux sécurité des processus métier

Méthodes de Gestion des Risques

Des méthodes spécifiques pour gérer le risque informatique ?

A la question posée aux grandes entreprises françaises par le Cigref, la réponse est unanime, ils sont 100% à utiliser des méthodes spécifiques pour gérer les risques liés aux systèmes d'information. De nombreuses méthodes d’analyses de risques ont été développées, dont certaines sont très orientées grandes entreprises ou administrations.

Il existe différentes méthodes de gestion des risques mais il faut d'abord s'entendre sur le périmètre d'une méthode de gestion des risques. Diverses méthodes se proposent comme méthode d’analyse et de gestion des risques, mais la notion de gestion des risques n’a pas le même sens selon les méthodes, ce qui conduit à une certaine confusion.

Lire la suite : Méthodes de Gestion des Risques

Management des risques informatiques

Management des risques de l’entreprise

Selon COSO II * : "Le management des risques est un processus mis en œuvre par le Conseil d'Administration, la direction générale, le management et l'ensemble des collaborateurs de l'organisation.

Il est pris en compte dans l'élaboration de la stratégie ainsi que dans toutes les activités de l'organisation. Il est conçu pour identifier les événements potentiels susceptibles d'affecter l'organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l'atteinte des objectifs de l'organisation."

* Traduction du COSO II Report par l'IFACI, PriceWaterhouseCoopers et Landwell & Associés

Lire la suite : Management des risques informatiques

  • 1
  • 2

Copyright Ysosecure © 2002 - 2018