SlideShare une entreprise Scribd logo
1  sur  26
Télécharger pour lire hors ligne
LE RISQUE
2
"Risque" selon ISO
ISO Guide 73, Management du risque – Vocabulaire
2002 "Combinaison de la probabilité d’un événement et de ses conséquences"
2009 "Effet de l'incertitude sur l'atteinte des objectifs"
– Un effet = un écart, positif ou négatif, par rapport à une attente
– Un risque est souvent exprimé en termes
• des conséquences d'un événement et
• de sa vraisemblance ["likelihood"]
3
Sources : ISO Guide 73:2002, Management du risque - Vocabulaire
ISO Guide 73:2009, Management du risque - Vocabulaire
Types de risques liés à l'informatique
Source : ISACA (2009), "The Risk IT Framework", Figure 2
ou ISACA (2014), "COBIT 5 for Risk", Figure 5
Opportunités
d'apporter
de la valeur
Risques des
projets
Risques
opérationnels
4
Menace
Vulnérabilité
Faiblesse dans une défense
Conséquences
Impacts sur les actifs
Défenses en
profondeur
Le modèle du « fromage suisse »
"Swiss cheese model"
Basé sur : Reason, J. (1997), "Managing The Risks of Organisational Accidents"
5
LE MANAGEMENT DES RISQUES
6
Normes de management des risques
Evolution
BS 7799-3
:2006
EBIOS 19972004
OCTAVE 19992007
et d'autres influences
ISO 31000
:2009
AS/NZS 4360
:1995
:2004
ISO Guide 73
:2002 :2009
Vocabulaire
ISO 27005
:2011
ISO 13335-1
:2004
ISO 13335-3
:1998
ISO 13335-4
:2000
ISO 27005
:2008
Gestion des risques
(entreprise)
Gestion des risques
(sécurité de
l'information)
7
Management des risques
Le processus selon ISO 31000:2009 (et ISO 27005:2011)
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
Processus similaire : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 8
Etablissement du contexte
" ... définition
du domaine d'application ainsi que
des critères de risque ..."
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
9
Identification du risque
"processus de recherche, de
reconnaissance et de description
des risques"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
10
Cette étape
peut faire appel
à la créativité !
Identification du risque
Exemple (méthode CORAS) : Identification des scénarios de risque
11
Basé sur : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
Identification du risque
Exemple (méthode CORAS) : Identification des vulnérabilités
12
Source : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
Analyse du risque
• Vraisemblance
• Conséquence(s)
"comprendre la nature d'un risque et
... déterminer le niveau de risque"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
13
Conséquence
Critique
Majeure
Modérée
Mineure
Insignifiante
Très probableProbablePossibleNégligeable
Analyse des risques
Exemple : résumé de l'analyse sous forme d'une matrice des risques
R1
R6
R2
R3R8
R7R4 R5
Vraisemblance
14
Peu probable
Evaluation du risque
"comparaison des résultats de
l'analyse du risque avec les critères
de risque afin de déterminer si le
risque et/ou son importance sont
acceptables ou tolérables"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
15
Conséquence
Critique
Majeure
Modérée
Mineure
Insignifiante
Très probableProbablePossiblePeu probableNégligeable
Evaluation des risques
Exemple : résumé de l'évaluation sous forme d'une matrice des risques
Vraisemblance
R1
R6
R2
R3R8
R7R4 R5
= Priorité 1
= Priorité 2
= Acceptable
16
Traitement du risque
"processus destiné à modifier un risque"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
17
Traitement du risque
Choix de la stratégie de traitement
Basé sur : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information
18
Traitement du risque
Acceptation du risque résiduel après réduction
Risque
actuel
Risque
résiduel
Réduction du
risque due
au
traitement
proposé
Traitement
du risque
Niveau de risque "acceptable"
Basé sur : ISO/IEC 13335-1:2004, Concepts and models for ICT security management
19
Traitement du risque
Acceptation du traitement
Réduction du risque
= (Risque initial) – (Risque résiduel)
Coût du traitement proposé
20
>
Principe de proportionnalité
Plan de traitement des risques
Exemple
Action A
2016
A+1
2017
A+2
2018
Coûts
(mandats,
achats)
Effort
métier
Effort
administratif
DSI
Effort
technique
DSI
Délai
1. Analyser & évaluer les risques [en cours] 15kFr 3 jh 20 jh - 02.2016
2. Inventorier la règlementation applicable - 3 jh 1 jh - 04.2016
3. Elaborer la Politique générale de sécurité 15kFr 5 jh 10 jh - 09.2016
4. Elaborer une charte sur l'utilisation de l'IT - 5 jh 5 jh - 12.2016
5. Processus de tests périodiques de la sécurité 30kFr/an - 5 jh +
10 jh/an
10 jh/an 06.2016
6. Mettre sur pied un programme de sensibilisation
InfoSéc internalisé
15kFr 5 jh +
1 jh/an
5 jh +
10 jh/an
- 12.2016
7. Approfondir l'analyse BIA
(pré-requis pour la démarche DRP)
15kFr 10 jh 10 jh - 04.2017
etc. etc. etc.
21
Le processus est itératif !
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
22
RÉFÉRENCES
23
Informatique Sécurité de l'info,
Sécurité informatique
Management du risque
Entreprise
 ISO 31000
 COSO ERM
•Risk IT + COBIT 4.1
•COBIT 5 for Risk
•ISO 27005
•OCTAVE family
•EBIOS, MEHARI
•CORAS
•ENISA
•CPI-RISC
Développement
 STRIDE, DREAD, ...
Audit / Gouvernance •CobiT 4.1 + Val IT
•CobiT Quickstart
•COBIT 5
• Gouvernance: ISO 38500
• Audit: ISO 27007
• Audit: ISO 27008
• Gouvernance: ISO 27014
Bonnes pratiques •ITIL, ... •ISO 27002
Certification •ISO 20000, ... •ISO 27001
Quelques méthodes et normes
24
Références
Vocabulaire ISO
Les normes sont payantes, mais un extrait – contenant toutes les définitions
des termes – peut être consulté gratuitement ici :
• ISO Guide 73
Management du risque – Vocabulaire
– https://www.iso.org/obp/ui/#iso:std:iso:guide:73:ed-1:v1:fr
• ISO/CEI 27000
Systèmes de management de la sécurité de l'information – Vue
d'ensemble et vocabulaire
– https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-3:v1:fr
25
Références
Méthodes simples
• Méthode d'ENISA (European Union Agency for Network and Information Security)
– http://www.enisa.europa.eu/activities/risk-management/current-risk/risk-
management-inventory/files/deliverables [Documentation complète en français, anglais, etc.]
• CORAS - méthode et outil graphique
– http://coras.sourceforge.net/
– Lund, M.S., Solhaug, B., Stølen, K. (2011), "Model-Driven Risk Analysis, The CORAS
Approach", Springer, ISBN 978-3-642-12323-8
Chapter 3 - A Guided Tour of the CORAS Method :
http://www.springer.com/cda/content/document/cda_downloaddocument/978364
2123221-c3.pdf [Documentation complète, en anglais]
• OCTAVE Allegro - la méthode la plus simple de la famille "OCTAVE"
– http://www.cert.org/archive/pdf/07tr012.pdf [Méthode complète & work-sheets, en anglais]
• CPI-RISC - méthode rapide basée sur l'évaluation du niveau de maturité
– http://cpi-risc.org/en/Downloads.html [Documentation partielle, en anglais]
26

Contenu connexe

Tendances

Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risquesGBO
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif ibtissam el hassani
 
Fiche 4 management des risques
Fiche  4    management des risquesFiche  4    management des risques
Fiche 4 management des risquesHalim ARROUDJ
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
 L’organisation et la formalisation du management des risques selon l’ISO 31000  L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 PECB
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographieibtissam el hassani
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet Es-sahli bilal
 
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risquesConférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risquesEric CASPERS
 
Prévention des risques chimiques
Prévention des  risques chimiques   Prévention des  risques chimiques
Prévention des risques chimiques hammani bachir
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesOlivier Pinette
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risquesRémi Bachelet
 
Management des risque etude de cas 1 - MOSAR/MADS
Management des risque   etude de cas 1 - MOSAR/MADSManagement des risque   etude de cas 1 - MOSAR/MADS
Management des risque etude de cas 1 - MOSAR/MADSibtissam el hassani
 
Présentation Norme iso 45001
Présentation Norme iso 45001Présentation Norme iso 45001
Présentation Norme iso 45001Cécile Ménard
 
7-AMDEC.ppt
7-AMDEC.ppt7-AMDEC.ppt
7-AMDEC.pptTMisSaM
 
Formation ISO14001:2015
Formation ISO14001:2015Formation ISO14001:2015
Formation ISO14001:2015Niimate DEGOUN
 
Veille réglementaire HSE - ECHOLINE
Veille réglementaire HSE - ECHOLINEVeille réglementaire HSE - ECHOLINE
Veille réglementaire HSE - ECHOLINEEcholine SAS
 
Les principes de la norme iso 14001 - Ecoute et Qualité
Les principes de la norme iso 14001 - Ecoute et QualitéLes principes de la norme iso 14001 - Ecoute et Qualité
Les principes de la norme iso 14001 - Ecoute et QualitéEcoute & Qualité
 

Tendances (20)

Outils et techniques des gestion des risques
Outils et techniques des gestion des risquesOutils et techniques des gestion des risques
Outils et techniques des gestion des risques
 
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Fiche 4 management des risques
Fiche  4    management des risquesFiche  4    management des risques
Fiche 4 management des risques
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
 L’organisation et la formalisation du management des risques selon l’ISO 31000  L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet
 
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risquesConférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
Conférence IFACI DFCG Deloitte - état de l'Art de la gestion des risques
 
Prévention des risques chimiques
Prévention des  risques chimiques   Prévention des  risques chimiques
Prévention des risques chimiques
 
Gestion de projet
Gestion de projetGestion de projet
Gestion de projet
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
 
Cours de Gestion des risques
Cours de Gestion des risquesCours de Gestion des risques
Cours de Gestion des risques
 
Management des risque etude de cas 1 - MOSAR/MADS
Management des risque   etude de cas 1 - MOSAR/MADSManagement des risque   etude de cas 1 - MOSAR/MADS
Management des risque etude de cas 1 - MOSAR/MADS
 
Présentation Norme iso 45001
Présentation Norme iso 45001Présentation Norme iso 45001
Présentation Norme iso 45001
 
Présentation document unique
Présentation document  uniquePrésentation document  unique
Présentation document unique
 
7-AMDEC.ppt
7-AMDEC.ppt7-AMDEC.ppt
7-AMDEC.ppt
 
Formation ISO14001:2015
Formation ISO14001:2015Formation ISO14001:2015
Formation ISO14001:2015
 
Veille réglementaire HSE - ECHOLINE
Veille réglementaire HSE - ECHOLINEVeille réglementaire HSE - ECHOLINE
Veille réglementaire HSE - ECHOLINE
 
Les principes de la norme iso 14001 - Ecoute et Qualité
Les principes de la norme iso 14001 - Ecoute et QualitéLes principes de la norme iso 14001 - Ecoute et Qualité
Les principes de la norme iso 14001 - Ecoute et Qualité
 

En vedette

Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risquesCarine Pascal
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetChef De Projet Détendu
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risquesmoussadiom
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Gestion du risque dans un projet Agile
Gestion du risque dans un projet AgileGestion du risque dans un projet Agile
Gestion du risque dans un projet AgileBasile du Plessis
 
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...PMI-Montréal
 
Comment gérer sa relation commerciale
Comment gérer sa relation commercialeComment gérer sa relation commerciale
Comment gérer sa relation commercialeFacilityse Conseil
 
Tesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbTesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbRicardo Urbina Miranda
 

En vedette (13)

Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risques
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projet
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
Gestion du risque dans un projet Agile
Gestion du risque dans un projet AgileGestion du risque dans un projet Agile
Gestion du risque dans un projet Agile
 
Risque achat , scm
Risque achat , scmRisque achat , scm
Risque achat , scm
 
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
 
Comment gérer sa relation commerciale
Comment gérer sa relation commercialeComment gérer sa relation commerciale
Comment gérer sa relation commerciale
 
Renders
RendersRenders
Renders
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Orange consulting en 3 minutes
Orange consulting en 3 minutesOrange consulting en 3 minutes
Orange consulting en 3 minutes
 
Tesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbTesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pb
 

Similaire à Gestion des risques

Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdfSARASIM6
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialearmelleguillermet
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...Alban Jarry
 
Conference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERMConference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERMAlban Jarry
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERMDavid Dubois
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt convertiIsmailElouarga
 
2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnels2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnelsFatima Zahra z
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 

Similaire à Gestion des risques (20)

Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
2017-02-AtelierA4GouvernanceRisques-Amrae-C.pdf
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation sociale
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...
 
Conference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERMConference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERM
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERM
 
Risk management - FR
Risk management - FRRisk management - FR
Risk management - FR
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt converti
 
2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnels2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnels
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 

Plus de eGov Innovation Center

eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...
eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...
eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...eGov Innovation Center
 
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...eGov Innovation Center
 
eGov Workshop - Introduction à la signature électronique - Leo Bolshanin
eGov Workshop - Introduction à la signature électronique - Leo BolshanineGov Workshop - Introduction à la signature électronique - Leo Bolshanin
eGov Workshop - Introduction à la signature électronique - Leo BolshanineGov Innovation Center
 
Ouverture eGov Workshop - Signature électronique
Ouverture eGov Workshop - Signature électronique Ouverture eGov Workshop - Signature électronique
Ouverture eGov Workshop - Signature électronique eGov Innovation Center
 
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc Beuchat
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc BeuchateGov Workshop - Digital Signature in the Blockchain - Jean-Luc Beuchat
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc BeuchateGov Innovation Center
 
Open Data : les données du territoire en libre-service - SITG
Open Data : les données du territoire en libre-service - SITGOpen Data : les données du territoire en libre-service - SITG
Open Data : les données du territoire en libre-service - SITGeGov Innovation Center
 
Préservation et accès aux données du CERN - Jean-Yves Le Meur
Préservation et accès aux données du CERN - Jean-Yves Le MeurPréservation et accès aux données du CERN - Jean-Yves Le Meur
Préservation et accès aux données du CERN - Jean-Yves Le MeureGov Innovation Center
 
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...eGov Innovation Center
 
Protection des données et droit du travail - Juliette Ancelle
Protection des données et droit du travail - Juliette AncelleProtection des données et droit du travail - Juliette Ancelle
Protection des données et droit du travail - Juliette AncelleeGov Innovation Center
 
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...eGov Innovation Center
 
La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...eGov Innovation Center
 
Introduction à Blockchain, Bitcoin, Ethereum
Introduction à Blockchain, Bitcoin, EthereumIntroduction à Blockchain, Bitcoin, Ethereum
Introduction à Blockchain, Bitcoin, EthereumeGov Innovation Center
 
e-factures: avantageux pour vous, pratique pour vos citoyens
e-factures: avantageux pour vous, pratique pour vos citoyense-factures: avantageux pour vous, pratique pour vos citoyens
e-factures: avantageux pour vous, pratique pour vos citoyenseGov Innovation Center
 
La carte professionnelle, un outil de lutte contre le travail au noir
La carte professionnelle, un outil de lutte contre le travail au noirLa carte professionnelle, un outil de lutte contre le travail au noir
La carte professionnelle, un outil de lutte contre le travail au noireGov Innovation Center
 
Smart City – pour mieux comprendre les besoins
Smart City – pour mieux comprendre les besoinsSmart City – pour mieux comprendre les besoins
Smart City – pour mieux comprendre les besoinseGov Innovation Center
 

Plus de eGov Innovation Center (20)

eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...
eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...
eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...
 
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...
 
eGov Workshop - Introduction à la signature électronique - Leo Bolshanin
eGov Workshop - Introduction à la signature électronique - Leo BolshanineGov Workshop - Introduction à la signature électronique - Leo Bolshanin
eGov Workshop - Introduction à la signature électronique - Leo Bolshanin
 
Ouverture eGov Workshop - Signature électronique
Ouverture eGov Workshop - Signature électronique Ouverture eGov Workshop - Signature électronique
Ouverture eGov Workshop - Signature électronique
 
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc Beuchat
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc BeuchateGov Workshop - Digital Signature in the Blockchain - Jean-Luc Beuchat
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc Beuchat
 
Open Data : les données du territoire en libre-service - SITG
Open Data : les données du territoire en libre-service - SITGOpen Data : les données du territoire en libre-service - SITG
Open Data : les données du territoire en libre-service - SITG
 
Préservation et accès aux données du CERN - Jean-Yves Le Meur
Préservation et accès aux données du CERN - Jean-Yves Le MeurPréservation et accès aux données du CERN - Jean-Yves Le Meur
Préservation et accès aux données du CERN - Jean-Yves Le Meur
 
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
 
Protection des données et droit du travail - Juliette Ancelle
Protection des données et droit du travail - Juliette AncelleProtection des données et droit du travail - Juliette Ancelle
Protection des données et droit du travail - Juliette Ancelle
 
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...
 
La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...
 
Introduction à Blockchain, Bitcoin, Ethereum
Introduction à Blockchain, Bitcoin, EthereumIntroduction à Blockchain, Bitcoin, Ethereum
Introduction à Blockchain, Bitcoin, Ethereum
 
Le paiement par mobile
Le paiement par mobileLe paiement par mobile
Le paiement par mobile
 
e-factures: avantageux pour vous, pratique pour vos citoyens
e-factures: avantageux pour vous, pratique pour vos citoyense-factures: avantageux pour vous, pratique pour vos citoyens
e-factures: avantageux pour vous, pratique pour vos citoyens
 
Paiements électronique
Paiements électroniquePaiements électronique
Paiements électronique
 
User Experience & eGovernment for all
User Experience & eGovernment for allUser Experience & eGovernment for all
User Experience & eGovernment for all
 
Digital Seniors
Digital SeniorsDigital Seniors
Digital Seniors
 
La carte professionnelle, un outil de lutte contre le travail au noir
La carte professionnelle, un outil de lutte contre le travail au noirLa carte professionnelle, un outil de lutte contre le travail au noir
La carte professionnelle, un outil de lutte contre le travail au noir
 
Des sites vraiment faciles?
Des sites vraiment faciles?Des sites vraiment faciles?
Des sites vraiment faciles?
 
Smart City – pour mieux comprendre les besoins
Smart City – pour mieux comprendre les besoinsSmart City – pour mieux comprendre les besoins
Smart City – pour mieux comprendre les besoins
 

Gestion des risques

  • 1.
  • 3. "Risque" selon ISO ISO Guide 73, Management du risque – Vocabulaire 2002 "Combinaison de la probabilité d’un événement et de ses conséquences" 2009 "Effet de l'incertitude sur l'atteinte des objectifs" – Un effet = un écart, positif ou négatif, par rapport à une attente – Un risque est souvent exprimé en termes • des conséquences d'un événement et • de sa vraisemblance ["likelihood"] 3 Sources : ISO Guide 73:2002, Management du risque - Vocabulaire ISO Guide 73:2009, Management du risque - Vocabulaire
  • 4. Types de risques liés à l'informatique Source : ISACA (2009), "The Risk IT Framework", Figure 2 ou ISACA (2014), "COBIT 5 for Risk", Figure 5 Opportunités d'apporter de la valeur Risques des projets Risques opérationnels 4
  • 5. Menace Vulnérabilité Faiblesse dans une défense Conséquences Impacts sur les actifs Défenses en profondeur Le modèle du « fromage suisse » "Swiss cheese model" Basé sur : Reason, J. (1997), "Managing The Risks of Organisational Accidents" 5
  • 6. LE MANAGEMENT DES RISQUES 6
  • 7. Normes de management des risques Evolution BS 7799-3 :2006 EBIOS 19972004 OCTAVE 19992007 et d'autres influences ISO 31000 :2009 AS/NZS 4360 :1995 :2004 ISO Guide 73 :2002 :2009 Vocabulaire ISO 27005 :2011 ISO 13335-1 :2004 ISO 13335-3 :1998 ISO 13335-4 :2000 ISO 27005 :2008 Gestion des risques (entreprise) Gestion des risques (sécurité de l'information) 7
  • 8. Management des risques Le processus selon ISO 31000:2009 (et ISO 27005:2011) Source : ISO 31000:2009, Management du risque — Principes et lignes directrices Processus similaire : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 8
  • 9. Etablissement du contexte " ... définition du domaine d'application ainsi que des critères de risque ..." Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 9
  • 10. Identification du risque "processus de recherche, de reconnaissance et de description des risques" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 10 Cette étape peut faire appel à la créativité !
  • 11. Identification du risque Exemple (méthode CORAS) : Identification des scénarios de risque 11 Basé sur : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
  • 12. Identification du risque Exemple (méthode CORAS) : Identification des vulnérabilités 12 Source : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
  • 13. Analyse du risque • Vraisemblance • Conséquence(s) "comprendre la nature d'un risque et ... déterminer le niveau de risque" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 13
  • 14. Conséquence Critique Majeure Modérée Mineure Insignifiante Très probableProbablePossibleNégligeable Analyse des risques Exemple : résumé de l'analyse sous forme d'une matrice des risques R1 R6 R2 R3R8 R7R4 R5 Vraisemblance 14 Peu probable
  • 15. Evaluation du risque "comparaison des résultats de l'analyse du risque avec les critères de risque afin de déterminer si le risque et/ou son importance sont acceptables ou tolérables" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 15
  • 16. Conséquence Critique Majeure Modérée Mineure Insignifiante Très probableProbablePossiblePeu probableNégligeable Evaluation des risques Exemple : résumé de l'évaluation sous forme d'une matrice des risques Vraisemblance R1 R6 R2 R3R8 R7R4 R5 = Priorité 1 = Priorité 2 = Acceptable 16
  • 17. Traitement du risque "processus destiné à modifier un risque" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 17
  • 18. Traitement du risque Choix de la stratégie de traitement Basé sur : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 18
  • 19. Traitement du risque Acceptation du risque résiduel après réduction Risque actuel Risque résiduel Réduction du risque due au traitement proposé Traitement du risque Niveau de risque "acceptable" Basé sur : ISO/IEC 13335-1:2004, Concepts and models for ICT security management 19
  • 20. Traitement du risque Acceptation du traitement Réduction du risque = (Risque initial) – (Risque résiduel) Coût du traitement proposé 20 > Principe de proportionnalité
  • 21. Plan de traitement des risques Exemple Action A 2016 A+1 2017 A+2 2018 Coûts (mandats, achats) Effort métier Effort administratif DSI Effort technique DSI Délai 1. Analyser & évaluer les risques [en cours] 15kFr 3 jh 20 jh - 02.2016 2. Inventorier la règlementation applicable - 3 jh 1 jh - 04.2016 3. Elaborer la Politique générale de sécurité 15kFr 5 jh 10 jh - 09.2016 4. Elaborer une charte sur l'utilisation de l'IT - 5 jh 5 jh - 12.2016 5. Processus de tests périodiques de la sécurité 30kFr/an - 5 jh + 10 jh/an 10 jh/an 06.2016 6. Mettre sur pied un programme de sensibilisation InfoSéc internalisé 15kFr 5 jh + 1 jh/an 5 jh + 10 jh/an - 12.2016 7. Approfondir l'analyse BIA (pré-requis pour la démarche DRP) 15kFr 10 jh 10 jh - 04.2017 etc. etc. etc. 21
  • 22. Le processus est itératif ! Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 22
  • 24. Informatique Sécurité de l'info, Sécurité informatique Management du risque Entreprise  ISO 31000  COSO ERM •Risk IT + COBIT 4.1 •COBIT 5 for Risk •ISO 27005 •OCTAVE family •EBIOS, MEHARI •CORAS •ENISA •CPI-RISC Développement  STRIDE, DREAD, ... Audit / Gouvernance •CobiT 4.1 + Val IT •CobiT Quickstart •COBIT 5 • Gouvernance: ISO 38500 • Audit: ISO 27007 • Audit: ISO 27008 • Gouvernance: ISO 27014 Bonnes pratiques •ITIL, ... •ISO 27002 Certification •ISO 20000, ... •ISO 27001 Quelques méthodes et normes 24
  • 25. Références Vocabulaire ISO Les normes sont payantes, mais un extrait – contenant toutes les définitions des termes – peut être consulté gratuitement ici : • ISO Guide 73 Management du risque – Vocabulaire – https://www.iso.org/obp/ui/#iso:std:iso:guide:73:ed-1:v1:fr • ISO/CEI 27000 Systèmes de management de la sécurité de l'information – Vue d'ensemble et vocabulaire – https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-3:v1:fr 25
  • 26. Références Méthodes simples • Méthode d'ENISA (European Union Agency for Network and Information Security) – http://www.enisa.europa.eu/activities/risk-management/current-risk/risk- management-inventory/files/deliverables [Documentation complète en français, anglais, etc.] • CORAS - méthode et outil graphique – http://coras.sourceforge.net/ – Lund, M.S., Solhaug, B., Stølen, K. (2011), "Model-Driven Risk Analysis, The CORAS Approach", Springer, ISBN 978-3-642-12323-8 Chapter 3 - A Guided Tour of the CORAS Method : http://www.springer.com/cda/content/document/cda_downloaddocument/978364 2123221-c3.pdf [Documentation complète, en anglais] • OCTAVE Allegro - la méthode la plus simple de la famille "OCTAVE" – http://www.cert.org/archive/pdf/07tr012.pdf [Méthode complète & work-sheets, en anglais] • CPI-RISC - méthode rapide basée sur l'évaluation du niveau de maturité – http://cpi-risc.org/en/Downloads.html [Documentation partielle, en anglais] 26