1. Cette action est financée par : Sécurité de l'information : politiques et stratégies du calcul du risque à l'opportunité organisationnelle CLUB QUALITE
6. QUELQUES CHIFFRES 15% Information sensible 5% Information stratégique 80% information divulguable 80 % de l'effort en matière de sécurité (budget, ressources) doît être consacré à sécuriser les 20 % de données qui contiennent 80 % de l'information stratégique de l'entreprise
7. QUELLES MENACES ? Causes de perte de données les plus fréquentes en entreprise Source : observatoire des usages TIC – ENE 2008 20 % externe – 80% interne dont 80% négligence et 20% intentionnel
18. CLASSIFICATION DES RISQUES Fraude des employés Imconpétence Grêves Absences Indisponibilité des systèmes Erreurs de programmation Faille de sécurité Risque politique Absence de respect de la réglementation Attaques externes Catastrophes naturelles Défaillance de sous-traitants Erreurs manuelles Processus clés non maîtrisé Personnes Systèmes Eléments externes Processus Risque opérationnel
19. AXES D'ANALYSE DES RISQUES Impact métier Probabilité de réalisation Criticité pour le SI Détectabilité
20. GESTION DU RISQUE Évitement ou contournement Transfert Réduction Acceptation Risque Ex : ne pas faire l'activité à risque Ex : assurances Ex : mesure de sécurité Insupportable - Inacceptable - Tolérable - Insignifiant
21. METHODES D'ANALYSE Méthode quantitative Méthode qualitative Méthode avec base de connaissances Méhari - Risicare oui oui oui Octave (PME) oui oui CRAM VS oui oui Buddy Systems oui Cobra (ISO 17799) oui
24. Une politique de sécurité ne repose pas uniquement sur des solutions matérielles. L'humain est un facteur déterminant dans la mise en place et le respect d'une telle politique RSSI ≠ DSI LE FACTEUR HUMAIN
29. Cette création est mise à disposition selon le Contrat Attribution-NonCommercial 2.0 France disponible en ligne http://creativecommons.org/licenses/by-nc/2.0/fr/ ou par courrier postal à Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA. En citant « Source Pôle Numérique » pour toutes reprises intégrales ou « Librement inspiré des travaux du Pôle Numérique » en cas de modification