Méthodes de Gestion des Risques

Des méthodes spécifiques pour gérer le risque informatique ?

A la question posée aux grandes entreprises françaises par le Cigref, la réponse est unanime, ils sont 100% à utiliser des méthodes spécifiques pour gérer les risques liés aux systèmes d’information. De nombreuses méthodes d’analyses de risques ont été développées, dont certaines sont très orientées grandes entreprises ou administrations.

Il existe différentes méthodes de gestion des risques mais il faut d’abord s’entendre sur le périmètre d’une méthode de gestion des risques. Diverses méthodes se proposent comme méthode d’analyse et de gestion des risques, mais la notion de gestion des risques n’a pas le même sens selon les méthodes, ce qui conduit à une certaine confusion.

Options dans le mode de gestion des risques

on peut globalement distinguer deux objectifs qui se révèlent, à l’analyse, fondamentalement différents :

  • la gestion directe et individualisée de chaque risque, dans le cadre d’une politique de gestion des risques.
  • la gestion globale et indirecte des risques par le biais d’une politique globale de sécurité adaptée aux risques encourus.

La gestion directe et individualisée des risques vise à :

  • Identifier l’ensemble des risques auxquels l’entreprise est exposée.
  • Quantifier le niveau de chaque risque.
  • Prendre, pour chaque risque considéré comme inadmissible, des mesures pour que le niveau de ce risque soit ramené à un niveau acceptable.
  • Mettre en place, comme outil de pilotage, un suivi permanent des risques et de leur niveau.
  • S’assurer que chaque risque, pris individuellement, est bien pris en charge et a fait l’objet d’une décision soit d’acceptation soit de réduction, voire de transfert.

La gestion globale et indirecte des risques vise à :

  • Identifier des éléments pouvant conduire à des risques
  • Hiérarchiser ces éléments.
  • En déduire une politique et des objectifs de sécurité.
  • Mettre en place, comme outil de pilotage, un suivi permanent des objectifs de sécurité ou des éléments de la politique de sécurité

Les approches d’analyse des risques : théorie et pratique

On caractérise quelquefois les méthodes en les classant en 2 ou 3 catégories :

  • La méthode quantitative : elle implique de prendre un nombre important de mesures pour calculer le coût des dommages, idéalement en termes financiers, et les effets des mesures de réduction prises. Cette analyse quantitative de risque nécessite de s’appuyer sur des faits et des chiffres avérés et constitue souvent un exercice long et délicat qui n’est pas approprié aux risques des systèmes d’information.
  • La méthode qualitative : elle fournit une voie plus facile pour mesurer la valeur des actifs et les probabilités de menaces. Ces valeurs peuvent être décrites en utilisant des expressions simples telles que « haut », « moyen » et « faible ». Cette approche corrige les imperfections de l’approche quantitative en réduisant l’incertitude inhérente aux chiffres.
  • L’approche par base de connaissance : elle implique de réutiliser les bonnes pratique en matière de connaissance des risques d’organismes semblables (en taille, périmètre et/ou marché). En complément de la méthode qualitative, elle permet d’aller vite pour des risques «courants».

methode-analyse-risques

COPYRIGHT YSOSECURE © 2002 - 2021