Gestion des risques

1 213 vues

Publié le

Publié dans : Formation
0 commentaire
3 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 213
Sur SlideShare
0
Issues des intégrations
0
Intégrations
28
Actions
Partages
0
Téléchargements
94
Commentaires
0
J’aime
3
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Gestion des risques

  1. 1. Unité 5 Maitrise des Risques Auteur: Moussa DIOMANDE Moussa DIOMANDE www.imatabidjan.com  Cours SIA-503 : Gouvernance des Systèmes d’Information o Chapitre 2 : les fondements de la Gouvernance des SI Ecran 1 sur 19
  2. 2.  Chapitre 2 : les fondements de la Gouvernance des SI OBJECTIFS PEDAGOGIQUES A la fin de ce chapitre, vous serez capables de :  Définir le risque  Comprendre et appréhender les risques  Comment réduire les risques Moussa DIOMANDE www.imatabidjan.com Ecran 2 sur 19
  3. 3. • Avec la généralisation de l’informatique, les entreprises gèrent un patrimoine de données en constante progression et potentiellement sensibles. • La gestion des risques est définie par l’ISO comme l’ensemble des activités coordonnées visant à diriger et piloter un organisme vis-à-vis du risque. On dégage en général trois finalités à la gestion des risques pour les SI : 1. Améliorer la sécurisation des systèmes d’information. 2. Justifier le budget alloué à la sécurisation du système d’information. 3. Prouver la crédibilité du système d’information à l’aide des analyses effectuées. Unité 5– Maitrise des Risques Qu’est ce qu’un risque en système d’information? Ecran 3 sur 19 Définition d’un risque
  4. 4. • Les phases de la démarche de gestion des risques sont les suivantes : l'identification, la quantification, le traitement et le contrôle. Les résultats de toutes ces phases doivent être enregistrés et tenus à jour dans un dossier de gestion des risques. • L'analyse du risque s'appuie sur l'emploi prévu du dispositif et sur l'identification de ses caractéristiques relatives à la sécurité. Elle consiste à identifier les phénomènes dangereux potentiels, leurs causes, puis à estimer le risque associé à chacun d'eux. • L'évaluation du risque consiste à déterminer si le risque est acceptable ou non. • En cas de risque inacceptable, une phase de maîtrise du risque s'impose. Elle consiste à rechercher et mettre en œuvre des mesures de réduction du risque, à évaluer les risques résiduels, à analyser le rapport bénéfice/risque en cas de risque résiduel jugé inacceptable. Une évaluation globale de l'acceptabilité des risques résiduels, pris dans leur ensemble, doit être menée. • Enfin, on doit intégrer les informations de production et post-production et l'expérience acquise si elles remettent en cause tout ou partie de l'analyse initiale. Quelles sont les fondements de la gestion des risques Unité 5– Maitrise des Risques Qu’est ce que le risque en système d’information? Ecran 4 sur 19
  5. 5. Le système d’information d’une organisation est exposé au risques suivant: - Inadéquation des solutions informatiques. Ce risque apparait lorsque les applications déployées ne répondent pas aux besoins. - Mauvais paramétrage des règles de gestion. Ce risque correspond à une mauvaise définition et traduction dans les applications des points de contrôle pour garantir la qualité et l’exhaustivité des données sur le flux de données. - Non-respect du principe de séparation des taches. La séparation des tâches consiste à cloisonner les accès aux applications en fonction des taches exercées afin de segmenter les tâches pour un meilleur contrôle. - Indisponibilité des systèmes. Ce risque correspond à l’indisponibilité des applications et des données en cas d’absence d’un plan de secours ou de sauvegarde des applications. - Rupture de la piste d’audit. Ce risque apparait lorsque la traçabilité sur des flux de gestion n’est plus possible. Ainsi, lorsqu’il n’est pas possible de remonter à la facture correspondant à une écriture comptable, la piste d’audit est rompue. - Non-respect des contraintes réglementaires. Ce risque correspond à l’incapacité d’une entreprise à répondre aux exigences de la réglementation légale locale. - ETC Unité 5– Maitrise des Risques Qu’est ce qu’un risque en système d’information? Ecran 5 sur 19 Les principaux risques liés au SI
  6. 6. • L’évaluation d’un risque se détermine en fonction du niveau de gravité et du niveau de probabilité que le risque survienne • Le risque est très élevé si la gravité est importante, le niveau de probabilités, de menaces qui pèsent sur les actifs, est aussi important. • Exemple: une inondation de la salle de serveur à un niveau de gravité Très Grave et le niveau de probabilité improbable entraine un risque de priorité 2 Pour l’entreprise. Comment évaluer les risques? Unité 5– Maitrise des Risques Quelles sont les fondements de la gestion des risque? Ecran 6 sur 19
  7. 7. EBIOS(Expression des Besoins et Identification des Objectifs de Sécurité) • Il s’agit d’une méthode développée et maintenue par la DCSSI (Direction Centrale de la Sécurité des Systèmes d’Information). • EBIOS appréhende les risques de sécurité en tenant compte des trois blocs interdépendants des concepts de gestion. La méthode travaille par construction du risque, adoptant une prise en compte du contexte de l’organisation cible, en privilégiant le périmètre du SI, Quelles sont les fondements de la gestion des risque? Ecran 7 sur 19 Quelles sont les méthodes de gestion de risque? MEHARI(Méthode Harmonisée d’Analyse de RIsques) • MEHARI demeure une des méthodes d’analyse des risques les plus utilisées actuellement. Elle est dérivée de deux autres méthodes d’analyse des risques (MARION et MELISA). • MEHARI se présente comme une véritable boîte à outils de la sécurité des SI, permettant d’appréhender le risque de différentes manières au sein d’une organisation, et composée de plusieurs modules. OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) • Cette méthode d’évaluation du risque est publiée par le Software Engineering Institute (SEI) de la Carnegie Mellon University. • OCTAVE est une méthode d’évaluation des vulnérabilités et des menaces sur les actifs opérationnels. Une fois ces derniers identifiés, la méthode permet de mesurer les menaces et les vulnérabilités pesant sur eux. Unité 5– Maitrise des Risques
  8. 8. Si vous aviez des questions et/ou besoin d’explication envoyez moi un mail et je vous réponds dans la soirée. Moussa DIOMANDE www.imatabidjan.com Stop and Think ? Ecran 8 sur 13 Unité 5– Maitrise des Risques
  9. 9. Quelle est l’importance de la communication dans la gestion des Risques NB: Répondez dans le forum consacré au chapitre 2 & unité 5. QUESTION ? Fin de l’unité 5 Ecran 9 sur 13 Moussa DIOMANDE www.imatabidjan.com Unité 5– Maitrise des Risques

×