Utilisateur:Sanae.basraoui/Brouillon

Le principe de la gestion des risques est de prévoir une solution, ou une réaction à avoir suite à l’apparition d’un risque. Dans ce cas Il s’agit d’abord de cerner tous les risques qui menacent le SI, puis de prévoir la bonne réaction à faire pour chacun de ses risques. Cependant, il peut aussi y avoir une absence de réaction, si le danger encouru ne justifie pas les coûts et moyens qui doivent être employés pour l’éviter. Donc la gestion des risques, c’est aussi mesurer la gravité du risque par rapport aux coûts de la solution à mettre en œuvre.

Définition[modifier | modifier le code]

La rapidité du développement technologique et conceptuel de l’environnement entrepreneurial fait que de nos jours un bon Système d'information n’est pas uniquement un simple outil stratégique adapté à la structure et aux ressources actuelles d’une entreprise, un bon Système d'information , est un système capable de suivre l’évolution sur les deux niveaux: interne (Ex: étendre l’activité de l’entreprise) et externe (Ex: Technologies nouvelles). Les enjeux des Système d'information alors deviennent de plus en plus compliqués et nous poussent à passer plus de temps sur leurs conceptions afin d’être sûr qu’ils seront adaptés aux changements et aux incertitudes du marché. Ce qui nous amène enfin sur le concept de la Gestion de risque dans les SI. Un risque qui augmente de jour en jour au vue des acquisitions d’entreprises, des partenariats, des travaux collaboratifs et d’autres facteurs qui rendent le risque encore plus grave. De nos jours, les entreprises performantes ne s'arrêtent pas au niveau de la satisfaction de leurs besoins actuels, mais se projettent dans l’avenir en prévoyant tous les changements possibles qui peuvent les affecter. Mais pour ce faire il faut commencer par définir se que l’on appel la capacité de l’adaptation, qui est une capacité propres à l’entreprise et varie selon divers facteurs dont le plus important est la compétence de prévision au niveau des risques physiques (essentiellement l’infrastructure de l’entreprise), les processus métier ainsi que les risques informatiques. Une des erreurs les plus connues, attribuable à la mauvaise compréhension de ce principe est le fait de penser que la capacité d’adaptation dépend essentiellement de l’aspect informatique des SI. Il est aussi très important de souligner que dans la majorité du temps, la gestion du risque est perçue comme le fait d’éviter le risque se qui n’est pas du tout correct puisqu'on élimine totalement les bénéfices de la prise de risque et comme on le sait “Entreprendre c’est prendre le risque de perdre”

Pourquoi évaluer les risques[modifier | modifier le code]

L’une des questions les plus importantes dans l’approche de gestion des risques des SI est « identifier si l’on est dans le cadre d’une dépense indispensable donc d’une charge financière ou dans le cadre d’un investissement durable qui mène à un gain organisationnel et financier sur le long terme ?». La réponse est simple puisqu'elle comporte d’une certaine manière les deux aspects que l’on vient de citer, la gestion de risque est une charge que l’entreprise est obligée de prendre en compte au moins au niveau de la sécurité informatique mais elle représente aussi un investissement à long terme puisqu'elle évitera toutes les dépenses non nécessaires dans l’avenir. En effet, l’entreprise doit alors considérer la gestion de risque comme un gain puisqu'elle prévoira toutes les difficultés potentielles, ce qui mènera sur plusieurs cas de figures en se qui concerne la prévision des risques :

• Cas 1 l’entreprise se donnera le temps d’analyser les difficultés et de les régler avant qu’elles apparaissent.
• Cas 2 l’entreprise choisira de prendre toutes les mesures pour contrôler les risques (Le bénéfice dépasse le risque).
• Cas 3 l’entreprise optera pour l’élimination du risque.

La réponse à la question que l’on se pose alors est que l’on gère les risque parce qu’on souhaite se projeter dans le future et prévoir les menaces qui peuvent mettre les projets de l’entreprise dans des situations difficiles. Il faut alors prévoir les risques avant afin de ne pas avoir à les gérer instantanément quand ils arriveront.

Comment évaluer les risques d'un projet informatique[modifier | modifier le code]

Plusieurs méthodes sont applicables dans ce cas comme la méthode Marion mais le principe reste le même : • Inventorier les différents risques • Estimer la récurrence et les différents scénarios de ses risques • Estimer leur impact sur le projet • Prévoir différentes solutions pour ses risques • Évaluer le coût des solutions • Comparer le coût évalué avec l’importance de l’impact • Concevoir une liste de priorités en mettant les risques les plus importants dans le début de la liste

Méthode Marion[modifier | modifier le code]

La méthode d'analyse de risques informatiques orientée par niveau (Marion) est une méthode d'audit, proposée depuis 1983 par le CLUSIF, visant à évaluer le niveau de sécurité informatique d'une entreprise. L'objectif est double :

• Situer l'entreprise auditée par rapport à un niveau jugé correct, et par rapport au niveau atteint par les entreprises similaires.
• Identifier les menaces et vulnérabilités à contrer.

L'analyse est articulée en 6 grands thèmes:

• La sécurité organisationnelle
• La sécurité physique
• La continuité de service
• L'organisation informatique
• La sécurité logique et l'exploitation
• La sécurité des applications

Vingt-sept indicateurs[modifier | modifier le code]

Les indicateurs, répartis dans ces 6 thèmes, vont être évalués, et valorisés sur une échelle de 0 (très insatisfaisant) à 4 (très satisfaisant), le niveau 3 étant le niveau jugé correct. Chaque indicateur est affecté d'un poids en fonction de son importance.

Dix-sept types de menaces[modifier | modifier le code]

• Accidents physiques
• Malveillance physique
• Panne du SI
• Carence de personnel
• Carence de prestataire
• Interruption de fonctionnement du réseau
• Erreur de saisie
• Erreur de transmission
• Erreur d'exploitation
• Erreur de conception / développement
• Vice caché d'un progiciel
• Détournement de fonds
• Détournement de biens
• Copie illicite de logiciels
• Indiscrétion / détournement d'information
• Sabotage immatériel
• Attaque logique du réseau

Préparation[modifier | modifier le code]

• Les objectifs de sécurité de l'entreprise sont définis
• Le champ d'action de l'analyse est défini, ainsi que le découpage fonctionnel de ce champ d'action

Audit des vulnérabilités[modifier | modifier le code]

Cette phase se base sur les questionnaires fournis par la méthode

• Les contraintes de l'entreprise sont identifiées.
• Les indicateurs sont valorisés de 0 à 4. Chaque indicateur est affecté d'un poids relatif.
• L'ensemble des indicateurs est très souvent représenté sous forme graphique : rosace/radar, diagramme en barres, ... Des diagrammes de synthèse sont également possibles : rosace par source des risques (accident, malveillance, erreur), par impact des risque (disponibilité, intégrité, confidentialité des informations), ...

Analyse des risques

• L'exploitation des résultats de l'audit permet de répartir les risques en majeurs (RM) et simples (RS).
• Le SI est alors découpé en fonctions. Les groupes fonctionnels spécifiques hiérarchisés selon l'impact et la potentialité des risques les concernant sont identifiés. Pour chaque groupe fonctionnel de l'entreprise, chaque fonction est revue en détail afin d'évaluer les scénarios d'attaque possibles avec leur impact et leur potentialité. Voir ci-dessus la typologie des menaces proposée par la méthode.

Elaboration du plan d'action[modifier | modifier le code]

• Les menaces et vulnérabilités qui pèsent sur l'entreprise étant identifiées et valorisées, l'entreprise décide du degré d'amélioration à apporter pour réduire ces risques et idéalement atteindre la note globale de 3.
• Elle définit les moyens à y affecter. On évalue le coût de la mise en conformité.
• Les tâches sont décrites et ordonnancées.

Evolution[modifier | modifier le code]

La méthode MARION n'a plus évolué depuis 1998. Le CLUSIF, qui considère que la méthode MARION est devenue obsolète dans la prise en compte des urbanisations informatiques et des environnements d'applications et de réseaux, propose désormais une méthode harmonisée d'analyse des risques (Méhari).

Méthodologie de gestion de risque [modifier | modifier le code]

La gestion de risque n’est pas un simple mécanisme de prise de décision mais aussi et d’une certaine manière une structure organisationnelle et une manière d’être qui automatise cette gestion. C’est un concept qui doit être adopté par tout les acteurs intervenant dans le système d’information visant la création d'une sorte de culture maison qui permet d'instaurer le sens de la prévision de risque chez les différents acteurs.

Nous Citons quelques méthodes connue dans la gestion de risque (cette liste n'est pas exhaustive):

• ISO 27005
• Mehari :La méthode harmonisée d'analyse des risques, développée par le CLUSIF
• Marion : La méthode d'analyse de risques informatiques optimisée par niveau, développée par le CLUSIF.
• EBIOS : Expression des besoins et identification des objectifs de sécurité, développée par l'ANSSI

Articles connexes[modifier | modifier le code]

• Risque
• Risques interculturels
• Risque naturel
• Responsabilité sociétale des entreprises ; Partie prenante
• Cycle (gestion) ; Analyse du cycle de vie ;
• COSO
• Risques organisationnels
• Intelligence des Risques
• EBIOS, méthode de gestion des risques en sécurité de l'information (ANSSI)
• HACCP
• Plan de prévention des risques technologiques (PPRT).
• Danger > Risque > Accident
• Étude de dangers
• Sécurité
  • Sécurité industrielle

 Gestion du risque

• • Évaluation des risques
  • Prévention
  • Réduction des risques
  • Acceptabilité du risque
• Gestion de crise
• Principe de précaution
• Vulnérabilité

Notes et références[modifier | modifier le code]

• http://www.afai.fr/public/doc/507.pdf
• http://www-935.ibm.com/services/fr/cio/pdf/cio_it_risk_management_ciw03045frfr.pdf
• http://lertim.timone.univ-mrs.fr/Ecoles/infoSante/2009/supports_ppt/Vendredi%2024-07-09/STACCINI%2009.pdf
• http://www.pressesdesmines.com/media/extrait/SytInfRisquExtr.pdf
• http://www.nmayer.eu/publis/NMA-JPH_MISC24.pdf (historique et trois méthodes )

Prise du risque

• http://www.arkantos-presse.com/2007/09/11/%C2%AB-la-prise-de-risque-une-necessite-humaine-quil-faut-gerer-%C2%BB

Méthodologie de gestion de risques

• http://www.zurich.ch/internet/zurich-ch/SiteCollectionDocuments/site/fr/Broschuere_Unternehmensrisiko_F.pdf

Gestion de risque d’un projet informatique

• http://gestiondeprojets.wordpress.com/2009/06/03/gestion-des-risques-projets-lanalyse-des-risques-13/
• http://www.cesi-entreprises.fr/produit-manager-le-risque-d-un-projet-informatique-21.asp
• http://www.blog-gestion-de-projet.com/analyser-les-risques-de-votre-projet/
• http://people.irisa.fr/Benoit.Combemale/teaching/modeling/projectmanagement-2x2.pdf
• http://www.dsi.cnrs.fr/conduite-projet/phasedefinition/qualite/risques/basdefqual.htm
• http://rb.ec-lille.fr/l/Gestion_risques/Gestion_des_risques_Demarche.pdf
• http://www-public.it-sudparis.eu/~milon/csi/documentPDF/gestionRisque.pdf
• http://www.27000.org/
• http://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=MENACES+INFORMATIQUES+ET+PRATIQUES+DE+SECURITE