AFAQ AFNOR INTERNATIONALE
Les outils et techniques du management des risques
Animé par Mr Iheb RAYAN
I. INTRODUCTION
II. CONTEXTE DE L’ANALYSE DE RISQUE
III. CHOISIR LES METHODES D’ANALYSE DE RISQUE 2
IV. CHOISIR LES OUTILS D’ANALYSE DE RISQUE
V. CONCLUSIONS
«Le risque est l’effet de l’incertitude sur l'atteinte des objectifs » - Selon le référentiel ISO Guide 73 – Vocabulaire du management du risque .
Management des Risques : «Activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque» - Selon le référentiel ISO Guide 73 – Vocabulaire du management du risque.
Les cindyniques : sciences du danger. Elles regroupent les sciences qui étudient les risques. (plus particulièrement aux risques industriels, et plus spécifiquement aux risques majeurs).
AFAQ AFNOR INTERNATIONALE
Les outils et techniques du management des risques
Animé par Mr Iheb RAYAN
I. INTRODUCTION
II. CONTEXTE DE L’ANALYSE DE RISQUE
III. CHOISIR LES METHODES D’ANALYSE DE RISQUE 2
IV. CHOISIR LES OUTILS D’ANALYSE DE RISQUE
V. CONCLUSIONS
«Le risque est l’effet de l’incertitude sur l'atteinte des objectifs » - Selon le référentiel ISO Guide 73 – Vocabulaire du management du risque .
Management des Risques : «Activités coordonnées dans le but de diriger et piloter un organisme vis-à-vis du risque» - Selon le référentiel ISO Guide 73 – Vocabulaire du management du risque.
Les cindyniques : sciences du danger. Elles regroupent les sciences qui étudient les risques. (plus particulièrement aux risques industriels, et plus spécifiquement aux risques majeurs).
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...PECB
The webinar covers:
• Appréhender les sous étapes de l’étape appréciation des risques.
• Connaître les outils et techniques pour l’identification, l’analyse et l’évaluation des risques.
• Savoir choisir les outils et techniques à bon escient
Presenter:
Le webinaire est présenté par Zied Boudriga, formateur certifié par PECB et Directeur des risques Opérationnels et des Marchés à l’ArabTunisian Banket.
Link of the recorded session published on YouTube: https://youtu.be/nIFP9V5qzSM
Management des risques ibtissam el hassani-chapitre3 : MADS/MOSARibtissam el hassani
Management des risque MOSAR/MADS Ibtissam El HASSANI
MOSAR Méthode Organisée Systémique d’Analyse des Risques
La méthode MOSAR est proposée par Pierre PERILHON. Elle s'appuie sur la méthodologie d'analyse des dysfonctionnements des systèmes (MADS).
Méthode pour analyser et neutraliser les risques techniques dans les installations humaines, aussi bien au stade de leur conception que sur des installations existantes.
La méthode MOSAR s'articule autour d'une vision macroscopique des risques et une vision microscopique des risques.
La vision macroscopique :
consiste à réaliser une analyse des risques principaux.
La vision microscopique :
consiste à réaliser une analyse détaillée de tous les dysfonctionnements techniques et opératoires apparus au cours du premier module. Au cours de cette phase, des outils particuliers et spécifiques sont mis en œuvre (AMDEC, HAZOP, Arbre des causes, Arbre des défaillances, etc.).
L’organisation et la formalisation du management des risques selon l’ISO 31000 PECB
Le présentateur parlera du processus de management du risque et des exigences de cette mise en œuvre, également vous allez comprendre la documentation nécessaire afin de pouvoir gérer le risque dans une organization
Ce webinar abordera les points suivants :
• De quoi faut-il disposer pour mettre en place le processus de management des risques ?
• Comment préparer la feuille de route de la mise en place du management des risques ?
• Les parties prenantes dans le processus de management des risques
• Le socle documentaire du management des risques en entreprise
• Les écueils à éviter
Presenter:
Zied Boudriga est: Directeur des risques opérationnels et Marchés au sein de l’Arab Tunisian Bank, formateur accrédité par PECB, directeur du « Tunisia GARP chapter » (Global Association Of Risk Profesionals), président de l’Association Tunisienne du Management des Risques et du Contrôle Interne.
Link of the recorded session published on YouTube: https://youtu.be/mCOqsOe4LBY
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
Point abordés:
• Concepts fondamentaux liés aux risques
• Le cadre de reference COSO Il versus l’ISO 31000
• Le management des risques selon l’ISO 31000
Présentateur:
Le webinaire est présenté par Zied Boudriga, formateur certifié par PECB et auditeur senior pendant 11 années et actuellement Directeur des risques Opérationnels et des Marchés.
Manager les risques professionnels à l’hôpital, c’est mettre en place une organisation pour identifier, analyser et réduire les risques auxquels sont exposés les professionnels dans les milieux de soin. La démarche d'implémentation doit être transversale, préventive, basée sur le principe de l'amélioration continue mais aussi sur la collaboration et l’échange d’informations entre
les différents acteurs concernés par la santé et la sécurité au travail.
[Gestion des risques et conformite] gerer les risques operationnelsonepoint x weave
Les risques opérationnels doivent être considérés au-delà du simple spectre réglementaire, il s’agit également :
de piloter les processus au travers de l’appréciation des dysfonctionnements avérés ou potentiels,
de mesurer la qualité délivrée via la collecte d’indicateurs tels que les incidents.
Il est également opportun de capitaliser sur « l’outil » cartographie des risques opérationnels pour intégrer d’autres dimensions du risque tels que les risques de non-conformité, juridiques, blanchiment, … afin de créer un cockpit global de gestion.
Cette vision d’ensemble s’appuie sur l’appréciation des experts métiers et s’alimente à partir des « signaux » issus des processus : les incidents mais également les résultats de contrôle, les audits internes et externes, les réclamations clients … afin de migrer de la détection à la prévention des risques.
evaluation des risque chimiques sur les lieux de travail.pptbrinsisami
la formation présente l'utilité de l'évaluation de risque chimique dans la prévention professionnelle du risque chimique, le lecteur doit être connaisseur de la domaine de santé et de sécurité
l'évaluation de risque chimique passe par 3 étapes identification de danger et hiérarchisation de risque cad scoring
Marc Fréchette Gestion de risques
TRUCS – analyse de risques Poser les questions suivantes: 1. Que pourrait‐il arriver (de mal, de néfaste, de négatif) ? cause que négatif) ? 2. Si cela arrivait, serait‐ce grave ? cause conséquence Risque 3. Que puis‐je faire pour empêcher que cela ne se produise ? plan d’action produise ? 4. Que puis‐je faire pour corriger la situation même si l’ d d d ê ? plan d action Mesure 25 l’incident se produit quand même ? mesures récupératrices – plan B ‐ plan de contingence
L’identification, l’analyse et l’évaluation des risques selon l’ISO 31000 : l...PECB
The webinar covers:
• Appréhender les sous étapes de l’étape appréciation des risques.
• Connaître les outils et techniques pour l’identification, l’analyse et l’évaluation des risques.
• Savoir choisir les outils et techniques à bon escient
Presenter:
Le webinaire est présenté par Zied Boudriga, formateur certifié par PECB et Directeur des risques Opérationnels et des Marchés à l’ArabTunisian Banket.
Link of the recorded session published on YouTube: https://youtu.be/nIFP9V5qzSM
Management des risques ibtissam el hassani-chapitre3 : MADS/MOSARibtissam el hassani
Management des risque MOSAR/MADS Ibtissam El HASSANI
MOSAR Méthode Organisée Systémique d’Analyse des Risques
La méthode MOSAR est proposée par Pierre PERILHON. Elle s'appuie sur la méthodologie d'analyse des dysfonctionnements des systèmes (MADS).
Méthode pour analyser et neutraliser les risques techniques dans les installations humaines, aussi bien au stade de leur conception que sur des installations existantes.
La méthode MOSAR s'articule autour d'une vision macroscopique des risques et une vision microscopique des risques.
La vision macroscopique :
consiste à réaliser une analyse des risques principaux.
La vision microscopique :
consiste à réaliser une analyse détaillée de tous les dysfonctionnements techniques et opératoires apparus au cours du premier module. Au cours de cette phase, des outils particuliers et spécifiques sont mis en œuvre (AMDEC, HAZOP, Arbre des causes, Arbre des défaillances, etc.).
L’organisation et la formalisation du management des risques selon l’ISO 31000 PECB
Le présentateur parlera du processus de management du risque et des exigences de cette mise en œuvre, également vous allez comprendre la documentation nécessaire afin de pouvoir gérer le risque dans une organization
Ce webinar abordera les points suivants :
• De quoi faut-il disposer pour mettre en place le processus de management des risques ?
• Comment préparer la feuille de route de la mise en place du management des risques ?
• Les parties prenantes dans le processus de management des risques
• Le socle documentaire du management des risques en entreprise
• Les écueils à éviter
Presenter:
Zied Boudriga est: Directeur des risques opérationnels et Marchés au sein de l’Arab Tunisian Bank, formateur accrédité par PECB, directeur du « Tunisia GARP chapter » (Global Association Of Risk Profesionals), président de l’Association Tunisienne du Management des Risques et du Contrôle Interne.
Link of the recorded session published on YouTube: https://youtu.be/mCOqsOe4LBY
PECB Webinaire:L'ISO 31000:2009 Management du Risque - Principes et Lignes Di...PECB
Point abordés:
• Concepts fondamentaux liés aux risques
• Le cadre de reference COSO Il versus l’ISO 31000
• Le management des risques selon l’ISO 31000
Présentateur:
Le webinaire est présenté par Zied Boudriga, formateur certifié par PECB et auditeur senior pendant 11 années et actuellement Directeur des risques Opérationnels et des Marchés.
Manager les risques professionnels à l’hôpital, c’est mettre en place une organisation pour identifier, analyser et réduire les risques auxquels sont exposés les professionnels dans les milieux de soin. La démarche d'implémentation doit être transversale, préventive, basée sur le principe de l'amélioration continue mais aussi sur la collaboration et l’échange d’informations entre
les différents acteurs concernés par la santé et la sécurité au travail.
[Gestion des risques et conformite] gerer les risques operationnelsonepoint x weave
Les risques opérationnels doivent être considérés au-delà du simple spectre réglementaire, il s’agit également :
de piloter les processus au travers de l’appréciation des dysfonctionnements avérés ou potentiels,
de mesurer la qualité délivrée via la collecte d’indicateurs tels que les incidents.
Il est également opportun de capitaliser sur « l’outil » cartographie des risques opérationnels pour intégrer d’autres dimensions du risque tels que les risques de non-conformité, juridiques, blanchiment, … afin de créer un cockpit global de gestion.
Cette vision d’ensemble s’appuie sur l’appréciation des experts métiers et s’alimente à partir des « signaux » issus des processus : les incidents mais également les résultats de contrôle, les audits internes et externes, les réclamations clients … afin de migrer de la détection à la prévention des risques.
evaluation des risque chimiques sur les lieux de travail.pptbrinsisami
la formation présente l'utilité de l'évaluation de risque chimique dans la prévention professionnelle du risque chimique, le lecteur doit être connaisseur de la domaine de santé et de sécurité
l'évaluation de risque chimique passe par 3 étapes identification de danger et hiérarchisation de risque cad scoring
Marc Fréchette Gestion de risques
TRUCS – analyse de risques Poser les questions suivantes: 1. Que pourrait‐il arriver (de mal, de néfaste, de négatif) ? cause que négatif) ? 2. Si cela arrivait, serait‐ce grave ? cause conséquence Risque 3. Que puis‐je faire pour empêcher que cela ne se produise ? plan d’action produise ? 4. Que puis‐je faire pour corriger la situation même si l’ d d d ê ? plan d action Mesure 25 l’incident se produit quand même ? mesures récupératrices – plan B ‐ plan de contingence
Comment améliorer son analyse SWOT et faciliter la prise de décision stratégique? Le Super SWOT présenté ici l'explique avec des mots simples et de façon pratique. Le Super SWOT est un incontournable pour les chefs d'entreprises (petites ou grandes) et les professionnels de l'analyse stratégique et de la planification.
1-La gestion des risques achats
Cartographie des risques
Outils et moyens de gestion de risque achat
Processus d’intégration et de pilotage
2-La gestion des risques de la Supply chain
Définitions
Types de risques
Sources de risque
Méthodologie de gestion du risque
3-Étude de cas Dell: pour une culture globale de la gestion des risques logistiques
Découverte de l'entreprise Danone (SWOT, Porter, McKinsey)Pierre Audran
Découvrez l'entreprise Danone dans avec notre Powerpoint,
Sommaire :
- Danone dans le monde
- Analyse externe et interne de Danone
- L’analyse de McKinsey
- Danone aujourd’hui
Approche et management des risques 31000.pptxMohamed966265
Il s'agit d'une formation relative au management par les risques selon la démarche suivante:
1.Identification des risques
2. Analyse des risques
3. Evaluation des risques
4. Traitement des risques
5. Analyse du risque résiduel
6. Vérification et amélioration
La matrice des risques va nous permettre d'afficher les risques selon leur gravité, fréquence et détectabilité.
Le calcul de la criticité des risques va nous permettre de classer les risques selon 3 niveaux:
A. Risques acceptables
B. Risques non dangereux
C. Risques inacceptables
Aqhsst optimisez l’efficacité de la gestion des risques sstMario Deshaies
Soyez rensigné!
La gestion de risques, la pierre angulaire de la prévention
de la santé, sécurité du travail.
A votre avis, combien y a-t-il de facteurs de risques au sein
de votre entreprise ? Avez-vous déjà procédé à l’exercice
ardu et colossal de tous les identifier? L’identification des
dangers et des risques en entreprise constitue pourtant
la pierre angulaire de la prévention en santé, sécurité du
travail. C’est par l’identification des risques que l’on peut
par la suite établir les priorités d’intervention de gestion.
Et comme on sait qu’il existe autant de catégorie de
facteurs de risques que de fonctions et d’emplois, une
méthodologie est requise pour réussir à circonscrire
l’ensemble des tâches.
Lors de cette formation, nous discuterons donc de la
gestion des risques via des transferts de connaissances,
méthodes et outils qui permettront l’identification, la
classification la hiérarchisation de ceux-ci, l’établissement
de pistes de solutions et de mécanismes de suivi. Nous
proposerons également une démarche visant à produire
un plan de gestion des risques ā travers un document
unique (DU) et des fiches d’actions spécifiques.
Cette formation répond également aux questions
suivantes. Au sein de votre organisation,
est-on en mesure de mettre sur pied une
démarche d’évaluation des risques qui tiennent
également compte des facteurs ergonomiques,
facteurs psycho-sociaux, des facteurs humains
des comportements santé, sécurité ? Quelle
est le niveau exact de perception des risques
de vos employés les sous-estiment-on ou les
évaluent-ils correctement
2004-03-25 Denis Shaink Gestion des risques - Outil de réussite en gpJean Gariépy
Gestion des risques - Outil de réussite en gp
Utilité de la gestion des risques Ø Démarche de gestion de risques Ø Arrimage de la gestion de risques à la gestion de projet Ø Outil de gestion simple et flexible
Utilité de la gestion de risques - Ø Gérer les risques afin de n'être jamais surpris par les mauvaises nouvelles Ø Identifier et analyser les risques afin de déterminer ceux qui représentent la plus grande menace pour la réussite du projet Ø S’assurer de les mesurer et de les traiter le plus tôt possible en début de projet
Utilité de la gestion de risques - Ø Écarter les événements non désirés Ø Offrir de nouvelles occasions d’innover
Une étude danoise tend à démontrer que boire régulièrement du vin rouge réduirait de plus de moitié les risques de développer une démence, notamment la maladie d'Alzheimer, tandis que la bière aurait l'effet inverse, doublant les probabilités
LA GESTION DES RISQUES EN SÉCURITÉ DE L’INFORMATION À L’UNIVERSITÉ LAVAL : UNE HISTOIRE ÉVOLUTIVE!
PATRICK MAROIS, M. SC., DOCTORANT SC. ADM.
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
GUILLAUME DUBÉ, CISA CRISC
CONSEILLER EN SÉCURITÉ DE L’INFORMATION –UNIVERSITÉ LAVAL
31 MARS 2015 - ISACA-Québec
Newsletter SPW Agriculture en province du Luxembourg du 17-05-24BenotGeorges3
Les informations et évènements agricoles en province du Luxembourg et en Wallonie susceptibles de vous intéresser et diffusés par le SPW Agriculture, Direction de la Recherche et du Développement, Service extérieur de Libramont.
https://agriculture.wallonie.be/home/recherche-developpement/acteurs-du-developpement-et-de-la-vulgarisation/les-services-exterieurs-de-la-direction-de-la-recherche-et-du-developpement/newsletters-des-services-exterieurs-de-la-vulgarisation/newsletters-du-se-de-libramont.html
Sainte Jeanne d'Arc, patronne de la France 1412-1431.pptxMartin M Flynn
sainte patronne de la France, honorée en tant que défenseure de la nation française pour son rôle dans le siège d'Orléans et son insistance sur le couronnement de Charles VII de France pendant la guerre de Cent Ans.
Résultats enquête RH 2024 Fonction Publique.pdfGERESO
Nous avons le plaisir de vous présenter les résultats de la 1ère édition de l’enquête « Professionnels RH de la Fonction Publique, comment allez-vous ? »
Forts du succès de notre baromètre annuel « Professionnels RH, comment allez-vous ? », publié pour la 4e fois en début d’année, et qui concerne principalement les professionnels RH des entreprises privées (90% des répondants exercent dans le secteur privé) nous avons souhaité, à travers ce nouveau baromètre, nous intéresser spécifiquement au moral des professionnels RH de la fonction publique.
En effet, les enjeux, les missions, les conditions de travail
des professionnels RH dans les établissements publics sont souvent bien distincts de ceux de leurs homologues du secteur privé…
Et leur moral également ! Ces différences justifiaient donc une enquête spécifique !
Merci à vous ! Vous avez été 240 professionnels RH dans
des établissements publics à répondre à nos questions et à nous livrer des aspects très personnels de votre vie de professionnel(le) des
ressources humaines du secteur public.
Alors, avez-vous un bon ou un mauvais moral en ce printemps 2024 ? Découvrez dans ce document tous les résultats de cette étude !
Formation M2i - Prise de parole face caméra : performer en distancielM2i Formation
Le travail en distanciel est de plus en plus incontournable et s'installe durablement dans la société, mais bien souvent, les collaborateurs d'une même entreprise n'ont pas toutes les aptitudes permettant d'être efficaces et impactants avec cette nouvelle façon de travailler : le télétravail !
Cette formation flash vous montrera qu'il est important de se professionnaliser et de faire du distanciel un agréable moment de travail.
Pour approfondir ces sujets et aller plus loin, vous pourrez vous inscrire à notre formation Prise de parole face caméra : performer en distanciel.
Formation offerte animée à distance par notre expert Camel Termellil
Newsletter SPW Agriculture en province du Luxembourg du 03-06-24BenotGeorges3
Les informations et évènements agricoles en province du Luxembourg et en Wallonie susceptibles de vous intéresser et diffusés par le SPW Agriculture, Direction de la Recherche et du Développement, Service extérieur de Libramont.
https://agriculture.wallonie.be/home/recherche-developpement/acteurs-du-developpement-et-de-la-vulgarisation/les-services-exterieurs-de-la-direction-de-la-recherche-et-du-developpement/newsletters-des-services-exterieurs-de-la-vulgarisation/newsletters-du-se-de-libramont.html
Bonne lecture et bienvenue aux activités proposées.
#Agriculture #Wallonie #Newsletter #Recherche #Développement #Vulgarisation #Evènement #Information #Formation #Innovation #Législation #PAC #SPW #ServicepublicdeWallonie
2. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
3. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
4. INTRODUCTION
Objectifs :
A partir des principales normes et méthodologies actuelles, en
présenter les principaux concepts puis apporter des retours
d’expérience
Ceci afin de donner les clés permettant de réaliser des
analyses de risque pertinentes et efficaces
Limites :
La présentation se limitera à l’analyse de risque SI
uniquement
5. CONCEPTS ET VOCABULAIRE
DU RISQUE AU « SCÉNARIO DE RISQUE »
Fenêtre ouverte =
Vulnérabilité
Risque = Vol de matériel
ou d’informations
Passant = Menace
Scénario de Risque =
Combinaison d’une menace
et d’une vulnérabilité dont
l’impact sur l’activité n’est
pas anodin.
6. CONCEPTS ET VOCABULAIRE
LA TERMINOLOGIE COURANTE (1/2)
Menaces
Ce sont les choses ou les personnes à l’origine des risques. On
peut distinguer plusieurs types de menaces (humaines,
techniques, environnementales notamment)
Vulnérabilité
Il s’agit d’une lacune dans les dispositifs et mesures de
sécurité en place qui permettent ou facilitent la concrétisation
du risque
Actif/activité essentiel(le) (aussi appelé bien essentiel dans
certaines méthodologies)
Ce sont les composants ou les activités sur lesquels on va
« appliquer » l’analyse de risques
Actif support (aussi appelé bien support dans certaines
méthodologies)
Ce sont les composants d'un système d'information sur
lesquels reposent les biens essentiels et/ou les mesures de
sécurité. On trouvera généralement les biens relatifs aux
systèmes d’informations et de téléphonie, ceux relatifs à
l’organisation et ceux relatifs aux locaux.
7. CONCEPTS ET VOCABULAIRE
LA TERMINOLOGIE COURANTE (2/2)
Probabilité d’occurrence (parfois appelé potentialité)
Probabilité que la menace se concrétise « dans l’absolu »,
sans tenir compte des vulnérabilités.
Impact
Ce sont les conséquences d’une réalisation d’un scénario de
risque sur l’activité métier. Il existe des impacts directs
(financiers, image, par exemple) et des impacts indirects
(désorganisation , réglementaire ou juridique). La mesure
des impacts est primordiale dans le sens où c’est elle qui va
déterminer le niveau du risque.
Risque
Probabilité qu’une menace puisse exploiter une
vulnérabilité d’un actif ou d’un groupe d’actifs et cause un
impact non négligeable sur l’organisation ou ses activités
(ISO 27005).
8. CONCEPTS ET VOCABULAIRE
TRAITEMENT DU RISQUE
Evitement
Arrêt de l’activité (ou du projet)
Réduction
Implémentation de mesures de sécurité
Transfert
Assurance
Acceptation
Le métier décide de ne rien faire
9. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
10. MÉTHODOLOGIES ET NORMES
Plus de 200 méthodologies existantes
Globales
Sectorielles
En France, les plus connues sont
EBIOS, produite par l’ANSSI
Outil EBIOS
MEHARI, produite par le CLUSIF
11 langues
25.000 téléchargements de la base de connaissance
Outil RISICARE
IRAM, produite par l’ISF
Réservée aux membres de l’ISF
Plutôt pour des entreprises de grande ampleur
internationale (méthodologie en anglais)
11. MÉTHODOLOGIES ET NORMES
MEHARI – CLUSIF
Phase préparatoire Phase
préparatoire
Prise en compte du contexte
Définition des métriques
Identification des activités essentielles Phase
opérationnelle
Identification des actifs support (potentialité et impact intrinsèques) d’analyse des
risques
Phase opérationnelle
Analyse des vulnérabilités
Analyse des menaces Phase de
planification
Identification de la potentialité et de l’impact du traitement
Identification de la gravité du risque
Confrontation de (la potentialité et de l’impact) avec la gravité
Décisions sur la gestion des risques
Planification et traitement
Plan de traitement des risques et amélioration continue
12. MÉTHODOLOGIES ET NORMES
EBIOS – ANSSI
Contexte Contexte
Prise en compte du contexte
Définition des métriques Evénements Scénarios de
Identification des activités essentielles redoutés menaces
Identification des actifs support
Evènements redoutés Risques
Identification des impacts
Scénarios de menace
Analyse des vulnérabilités Mesures de
sécurité
Analyse des menaces
Identification des probabilités d’occurrence
Etude des risques
Confrontation des scénarios de menace (probabilité d’exploitation des
vulnérabilités par les menaces) avec les évènements redoutés (impact)
Décisions sur la gestion des risques
Etude des mesures de sécurité
Plan de traitement des risques et amélioration continue
13. MÉTHODOLOGIES ET NORMES
ISO/IEC 27005 – INTERNATIONAL STANDARD ORGANISATION
Etude du contexte
Etude du contexte
Appréciation des risques
Prise en compte du contexte
Communication des risques
Analyse des risques
Définition des métriques Identification des
risques
Identification des risques
Suivi et revue
Identification des activités essentielles Estimation des risques
Identification des actifs support
Evaluation des risques
Analyse des menaces
Analyse des vulnérabilités Traitement du risque
Identification des conséquences
Acceptation du risque résiduel
Estimation des risques
Confrontation des menaces avec
les vulnérabilités et les conséquences possibles
Identification des probabilités d’occurrence
Evaluation des risques (revue)
Traitement du risque
Amélioration continue
14. MÉTHODOLOGIES ET NORMES
SYNTHÈSE
Les méthodologies s’alignent sur la norme ISO/IEC 27005
Les méthodologies sont semblables…
Implémentation des mêmes concepts
Propositions d’outils et de bases de connaissances
Mais différentes
Vocabulaire
Organisation de la démarche
L’ISO/IEC 27005 ne propose pas de méthode
Elle propose les règles pour concevoir une méthode
Par conséquent pas d’outils, mais des bases de connaissance issues
d’EBIOS
Une alternative est de concevoir sa propre méthode, en s’alignant sur
les concepts de l’ISO 27005. A défaut, EBIOS est assez proche.
15. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
16. COMMENT S’Y PRENDRE CONCRÈTEMENT ?
AVANT DE SE LANCER
Répondre à la question « A quoi vont me servir les résultats de
l’analyse de risques » ?
A mettre en place un SMSI ou construire un schéma directeur sécurité
? (oui)
A identifier de nouvelles mesures de sécurité à mettre en place sur
mon SI ? (non)
A identifier de nouvelles mesures de sécurité à mettre en place sur
mon SI, en fonction des besoins métier ? (oui)
A identifier des éléments qui me serviront de levier pour déclencher
un projet ou trouver du budget ? (oui)
A poursuivre mon projet en toute sérénité ? (oui)
Suivant la réponse, on ne mènera pas le même type de démarche.
Cependant, pour des raisons de cohérence, il sera intéressant de
définir pour une même organisation une démarche simplifiée et
une démarche complète.
17. COMMENT S’Y PRENDRE CONCRÈTEMENT ?
ATTENTION AUX DÉVIANCES !
Une analyse de risques, Une analyse de risques,
ça ne sert pas à… ça sert à…
Faire beau pour dire d’en Définir un Schéma Directeur,
avoir fait une (risque de initier un SMSI, de manière
décrédibiliser l’ensemble de la générale à appuyer une
démarche sécurité) gestion de la sécurité basée
sur les risques métiers
Remplacer un audit Sensibiliser et communiquer
sur les risques de
l’organisation
Juger l’IT et évaluer son
niveau de sécurité
Obtenir des leviers « métier »
pour dégager du budget,
déclencher un projet
18. COMMENT S’Y PRENDRE CONCRÈTEMENT ?
L’ANALYSE DE RISQUES « GLOBALE »
Quand Comment Resp. Impliqués
Approche Définir : RSSI Direction (CODIR,
globale (Schéma •Le périmètre (et ses limites) ou équivalent)
Directeur, •Le niveau de granularité Métiers
SMSI, ..) •Les échelles d’impact et de Managers
probabilité
•Les bases de vulnérabilités et
de menaces
Lorsque c’est la toute première Analyse de Risques réalisée :
•Commencer sur un périmètre bien défini voire restreint avec une granularité très
faible voire sans granularité
•Ce type d’analyse s’inscrit dans une démarche PDCA : l’analyse suivante pourra viser
un périmètre plus large ou une granularité plus fine !
19. COMMENT S’Y PRENDRE CONCRÈTEMENT ?
L’ANALYSE DE RISQUES « PROJET »
Quand Comment Resp. Impliqués
En début de Définir : Chef de Métiers utilisateurs
projet •Le périmètre (limites projet, (besoins)
techniques généralement) accompagné Principaux acteurs
•Le niveau de granularité par un acteur IT du projet
(modules fonctionnels) sécurité
•Les échelles, adaptées au
niveau d’impact du projet sur
l’activité
•Les bases de vulnérabilités et
de menaces (un peu plus
techniques)
Tout projet ne doit pas faire l’objet d’une Analyse de Risques complète. Il est
préférable de réaliser d’abord une rapide « analyse de sensibilité », qui déterminera si
le projet doit effectivement passer par une analyse de risques ou alors simplement par
une analyse simplifiée et réalisée de manière autonome sans la sécurité (issu de l’AR
globale qui a défini des mesures communes à toute l’organisation).
20. COMMENT S’Y PRENDRE CONCRÈTEMENT ?
AU CAS PAR CAS
Quand Comment Resp. Impliqués
Besoins ponctuels •Méthodologies adaptées Celui qui Dépendant du
(benchmark, suivi mais très simplifiées réalise la périmètre,
des vulnérabilités, •Périmètre réduit à une tâche, sans généralement peu
auto-évaluation, …) tâche, un actif, etc. appui de personnes
impératif de
la sécurité
Ce type d’analyse sera réalisé sur opportunité. On pourra l’appuyer par
exemple sur la méthodologie simplifiée définie pour les projets par exemple, mais il
sera nécessaire de s’ assurer que les échelles employées correspondent au périmètre.
21. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
22. OUTILLAGE
L’ALTERNATIVE
Utiliser les outils des méthodologies (EBIOS, MEHARI)
Avantages Inconvénients
Bases de connaissances pré remplies Adaptation de la méthode à l’outil
Mécanismes implémentés Nécessite une formation et de l’expérience
Perte de maîtrise sur la méthodologie
Créer son propre outillage
Avantages Inconvénients
Implémentation pas à pas Bases de connaissance à renseigner
Formation par la pratique qui engendre Automatisation des calculs à implémenter
une meilleure maîtrise des concepts
L’outil s’adapte à la méthode et au Nécessite d’être documenté
contexte (bases de connaissances)
Quel que soit l’outil, il doit être maîtrisé (pour les ajustements) et
réutilisable (pour la revue des risques)
23. OUTILLAGE
MÉTHODOLOGIE – HOWTO AVEC EXCEL
Lire l’ISO/IEC 27005 (~ 20 pages utiles)
Onglet 1
Définition du contexte (quelques lignes)
Définition du périmètre
Activités essentielles et leur classification (au sens métier)
Actifs de support (ATTENTION à la granularité !)
Onglet 2
Définition des métriques (grilles de probabilité, impact,
acceptation du risque)
Onglet 3 (option pour l’automatisation)
Base des menaces et base des vulnérabilités
Onglet 4
Cartographie des risques consolidée par niveau (PPT)
Un peu de feeling et de pragmatisme permettent de réduire les bases de
menaces et de vulnérabilités et par conséquent d’être plus efficace
24. OUTILLAGE
MÉTHODOLOGIE – HOWTO AVEC EXCEL
Besoin de sécurité Disponibilité Intégrité Confidentialité Preuve
Faible Plus de 72h Détectable Public Pas de traces
Une perte d'intégrité, détectée
Une indisponibilité, planifiée Aucune exigence ni besoin de
ou non, perturbe peu les
1 ou non, n'impacte pas les Une divulgation de l'information n'a aucun impact trace n’est à prendre en
processus et peut rapidement
processus de soin compte
être corrigée
Moyen Entre 24 et 72h Maîtrisé Limité Traces simples
Une indisponibilité, limitée
Une divulgation à l'extérieur de l'entité peut porter
2 dans le temps, perturbe
atteinte à son image
légèrement les processus Une perte d'intégrité engendre
L’opération réalisée doit être
Fort Entre 4 et 24h des perturbations des Réservé
enregistrée et conservée avec
Une indisponibilité, de courte processus mais ne porte pas
Une divulgation aux personnes non autorisées un minimum d'information
durée, perturbe les processus atteinte à la survie de l'entité
3 nuit significativement à l'image et peut entrainer
mais ne porte pas atteinte à la
des pertes
survie de l'entité
Très fort Moins de 4h Intègre Privé Traces détaillées
Une indisponibilité, même de
Une perte d'intégrité porte L’opération réalisée doit être
courte durée, impacte
gravement atteinte aux Une divulgation de l'information nuit très enregistrée et conservée, de
4 directement les processus et
processus et éventuellement à gravement à l'entité victime de la divulgation façon à être en mesure d'être
peut porter atteinte à la survie
la survie de l'entité rejouée
de l'entité
Probabilité du scénario de menace
Niveaux de risque Très faible Faible Moyen Forte Très forte
(Très improbable) (Improbable) (Possible) (Probable) (Très probable)
Très faible 0 1 2 3 4
Impacts métier
Faible 1 2 3 4 5
Moyen 2 3 4 5 6
Fort 3 4 5 6 7
Très fort 5 6 6 7 8
25. OUTILLAGE Bien essentiel :
MÉTHODOLOGIE – HOWTO AVEC EXCEL Critère
Disponibilité
Niveau Justification
Intégrité
Confidentialité
L’identification des bons actifs et du bon Preuve
niveau de granularité est un facteur clé de Biens supports
Systèmes informatiques et de téléphonie
succès (éviter l’effet tunnel). ID
MAT1
Matériels Lien
LOC1
MAT2 LOC2
MAT3 LOC3
Par exemple, on pourra considérer en actifs ID
LOG1
Logiciels Lien
LOG2
de support « les serveurs Windows », « les LOG3
LOG4
équipements réseau », etc. pour éviter LOG5
LOG6
d’avoir à analyser les risques sur chaque LOG7
ID Canaux informatiques et de téléphonie Lien
serveur. RSX1
RSX2
Mesures de sécurité
Menaces Prise en Initial
ID Bien support Vulnérabilités exploitées im plém entées Conséquences Traitem ent
(référentiel ISO 27005) com pte
P I R
THEME 1 : Sinistres physiques
01 INCENDIE oui
02 DÉGÂTS DES EAUX oui
03 POLLUTION oui
04 SINISTRE MAJEUR oui
04 SINISTRE MAJEUR oui
DESTRUCTION DE
05 MATÉRIELS OU DE oui
SUPPORTS
THEME 2 : Evènem ents naturels
06 PHÉNOMÈNE CLIMATIQUE oui
07 PHÉNOMÈNE SISMIQUE oui
08 PHÉNOMÈNE VOLCANIQUE oui
PHÉNOMÈNE
09 oui
MÉTÉOROLOGIQUE
10 CRUE oui
THEME 3 : Perte de services essentiels
DÉFAILLANCE DE LA
11 oui
CLIMATISATION
26. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
27. RETOURS D’EXPERIENCE
APPROCHE GLOBALE
Périmètre
Global SI
Ce qu’il s’est passé
Projet porté par le DSI (membre du CODIR)
Volonté d’entamer une approche par les risques
Identification de risques IT mais aussi RH, juridiques…
Crainte de présenter les résultats en dehors de la DSI
Conclusion
Belle analyse de risque… à la DSI
PTR IT mis en œuvre dans une grande majorité
PTR hors IT figé
L’entité n’était pas suffisamment mûre pour entamer une
démarche globale de pilotage par les risques
Le périmètre aurait pu être cantonné au domaine IT OU
des audits techniques auraient pu suffir
28. RETOURS D’EXPERIENCE
APPROCHE POUR UNE APPLICATION
Périmètre
Analyse de risques sur un progiciel
Ce qu’il s’est passé
Suite à discussion avec les métiers et la volonté client, découpage
fin du périmètre en modules fonctionnels du progiciel
(complexité et durée de l’analyse d’impact métier)
Au final, ce type d’application ne repose que sur quelques actifs
support. Les risques (menaces et vulnérabilités) ne sont donc pas
liés à un module particulier mais à l’ensemble du progiciel, qui
repose sur les mêmes actifs
Conclusions
Passer par une analyse simplifiée pour identifier sommairement
les risques principaux et les fonctions métier les plus sensibles
Focaliser l’analyse d’impacts métiers sur ces fonctions
Globaliser l’analyse des vulnérabilités sur l’ensemble de
l’architecture
29. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
30. FACTEURS CLÉS DE SUCCÈS
Impliquer le métier (c’est lui le propriétaire)
Avoir un sponsor au bon niveau
Bien choisir son périmètre et sa granularité
Utiliser une méthodologie reproductible et partagée
Adapter la méthodologie à son propre contexte
(signaux compromettants)
Produire plusieurs vues des résultats adaptées à chaque
destinataire (Direction, IT, CP, Métier…)
31. ECUEIL À ÉVITER
Entamer une analyse de risque sans en avoir
préalablement défini les objectifs
Réaliser une analyse de risque alors que l’organisation
n’est pas assez mûre
Vouloir être exhaustif dès la première itération
Confondre analyse de risque, audit, classification…
Considérer l’analyse de risque comme un projet unitaire
Se reposer uniquement sur l’outil
Ne pas considérer les facteurs clés de succès ;)
32. AGENDA
Introduction et concepts
Méthodologies et normes
Concrètement
Outillage
Retours d’expérience
Facteurs clés de succès
Conclusion et questions
33. CONCLUSION
L’analyse de risque est le meilleur processus pour un pilotage
efficace et pragmatique de la sécurité
Il nécessite de maîtriser les concepts (accompagnement
sécurité)
Il s’agit d’un processus chronophage qui implique beaucoup
d’acteurs (Direction, métier, IT, activités support, …)
Ce processus ne peut être implémenté que dans des
organisations mûres, dans lesquelles le métier est souciant de
la sécurité
Sinon, opter pour d’autres outils tels que des audits
Hormis si l’on souhaite l’utiliser comme outil de sensibilisation du
métier
Le choix du périmètre et de la granularité est essentiel