Management des risques informatiques

Si on reprend cette définition, on retrouve les points clefs :

  • C'est un processus continu et transverse à l'organisation
  • Les notions de seuil d'acceptabilité du risque : dans les limites de son appétence pour le risque
  • Le management des risques est un support pour l'atteinte des objectifs de l'organisation :

Cette évolution du concept de management des risques, que l'on retrouve dans ISO 31000, s'applique également au Management des Risques liés aux Système d'Information.

Management des risques liés aux systèmes d'information

Le risque informatique peut être désigné comme le risque « métier » associé à l'utilisation, la possession, l'exploitation, l'implication, l'influence et l'adoption de l'informatique dans une organisation (Origine Risk IT : ISACA)

 

Cartographie des Risques Informatiques

Le processus de cartographie des risques : positionnement des risques majeurs selon différents axes tels que l'impact potentiel, la probabilité de survenance ou le niveau actuel de maîtrise des risques. Son objectif est de permettre d'orienter le plan d'audit interne et d'aider le management à prendre en compte la dimension risque dans son pilotage interne.

 Il existe en synthèse 4 types de cartographies identifiés autour des risques informatiques :

  • cartographie des risques d'entreprise : pour suivre la maîtrise des principaux risques de l'entreprise
  • cartographie des risques Sécurité de l'information : pour protéger les actifs du SI au regard des menaces qu'ils encourent
  • cartographie des risques pour construction du plan d'audit : pour identifier l'exposition au risque et définir le plan d'audit
  • cartographie des risques liés à la fonction des Systèmes d'Information : pour piloter les processus DSI  et la réussite des projts informatiquesdes projets informatiques

Gestion des risques liés à la sécurité de l'information

On imagine sans difficulté des exemples de risques liés aux SI, par exemple l'interruption temporaire des activités d'une entreprise en raison d'une indisponibilité du S

  • panne d'un composant actif du réseau
  • incendie de la salle machine
  • intrusion d'un pirate et destruction des bases de données
  • plan de secours n'ayant pas suivi les évolutions récentes des systèmes

La gestion des risques liés à la sécurité de l'information doit permettre d’assurer la Disponibilité, l’Intégrité, la Confidentialité des données de l’organisation v ainsi que la preuve et le contrôle.

Mais en creusant ces exmple, on peut définir la notion du risque lié à la sécurité de l'information suivant plusieurs axes :

  • définition du risque basées sur la notion de menace sur un actif associée à des vulnérabilités : vision assez statique d'un risque (par exemple :
    • panne d'un serveur lié à un défaut de maintenance (et qui va engendrer un arrêt des activités métiers qui été liés au fonctionnement de ce serveur)
  • définition du risque basées sur des scénarios d'incidents : ce sont des « situations de risque » décrivant à la fois le dommage subi et les circonstances dans lesquelles se produit ce dommage. On privilégie ici sur une vision dynamique des risques dans laquelle le temps peut être pris en compte, permettant de prévoir des actions différenciées en fonction des phases de scénario de risque.
    • Indisponibilité temporaire accidentelle de système hôte de services applicatifs, due à un manque d'alimentation en énergie (défaut externe)

Copyright Ysosecure © 2002 - 2018