Première étape PLAN : Planifier
Les différentes actions de l’étape PLAN sont :
- La définition d’un périmètre du SMSI, c’est à dire :
- quel périmètre en termes d’activités de l’entreprise ou organisme (périmètre fonctionnel, par métier, géographique, …)
- quelles sont les interfaces importantes entre ce périmètre et les domaines non couverts par le SMSI (qu’ils soient internes ou externes à l’entreprise)
- Le choix d’une approche de gestion des risques liés aux SI (voir la partie Méthode) :
- approche plutôt globale pour couvrir les principaux risques mais sans en faire une analyse approfondie en termes d’impact
- approche plus fine d’analyse des scénarios de risque et de pilotage de ces risques dans la durée
- Ce choix est important car il va conditionner le choix d’une méthode de gestion des risques, l’implication des métiers dans la quantification des risques
- La mise en oeuvre de la méthode choisie de gestion des risques :
- Analyse du contexte, définition des seuils d’acceptation des risques
- Cartographie et classification des actifs
- Identification des menaces
- Analyse des vulnérabilités
- Identification des situations de risques
- Classification des risques
- Traitement des risques retenus
- La définition et la validation du plan de traitement des risques :
- liste des risques couverts et non-couverts
- choix des solutions pour couvrir les risques
- définition des coûts, bénéfices, impacts des solutions retenues
- acceptation des risques résiduels et des solutions par la Direction
La plan de traitement des risques, issue de cette étape, devrait inclure en face des risques à traiter :
- L’option prise dans son traitement (réduction, transfert, …) et la description de la solution prise
- les contraintes liées à cette réduction du risque (temps, financier, humain, …)
- les coûts induits
- les bénéfices attendus
- Le niveau de risque résiduel
- éventuellement les risques induits
Les principaux pièges de cette étape sont :
- le choix d’un périmètre de SMSI qui va conditionner la réussite ou l’échec du projet
- l’analyse des risques, mais surtout l’analyse des enjeux métiers (le contexte)
- la sous-estimation des ressources et des freins au déploiement du SMSI