Méthodes de Gestion des Risques

Options dans le mode de gestion des risques

on peut globalement distinguer deux objectifs qui se révèlent, à l’analyse, fondamentalement différents :

  • la gestion directe et individualisée de chaque risque, dans le cadre d’une politique de gestion des risques.
  • la gestion globale et indirecte des risques par le biais d’une politique globale de sécurité adaptée aux risques encourus.

La gestion directe et individualisée des risques vise à :

  • Identifier l'ensemble des risques auxquels l’entreprise est exposée.
  • Quantifier le niveau de chaque risque.
  • Prendre, pour chaque risque considéré comme inadmissible, des mesures pour que le niveau de ce risque soit ramené à un niveau acceptable.
  • Mettre en place, comme outil de pilotage, un suivi permanent des risques et de leur niveau.
  • S’assurer que chaque risque, pris individuellement, est bien pris en charge et a fait l’objet d’une décision soit d’acceptation soit de réduction, voire de transfert.

La gestion globale et indirecte des risques vise à :

  • Identifier des éléments pouvant conduire à des risques
  • Hiérarchiser ces éléments.
  • En déduire une politique et des objectifs de sécurité.
  • Mettre en place, comme outil de pilotage, un suivi permanent des objectifs de sécurité ou des éléments de la politique de sécurité

 

Les approches d’analyse des risques : théorie et pratique

On caractérise quelquefois les méthodes en les classant en 2 ou 3 catégories :

  • La méthode quantitative : elle implique de prendre un nombre important de mesures pour calculer le coût des dommages, idéalement en termes financiers, et les effets des mesures de réduction prises. Cette analyse quantitative de risque nécessite de s’appuyer sur des faits et des chiffres avérés et constitue souvent un exercice long et délicat qui n'est pas approprié aux risques des systèmes d'information.

  • La méthode qualitative : elle fournit une voie plus facile pour mesurer la valeur des actifs et les probabilités de menaces. Ces valeurs peuvent être décrites en utilisant des expressions simples telles que "haut", "moyen" et "faible". Cette approche corrige les imperfections de l'approche quantitative en réduisant l'incertitude inhérente aux chiffres.

  • L’approche par base de connaissance : elle implique de réutiliser les bonnes pratique en matière de connaissance des risques d’organismes semblables (en taille, périmètre et/ou marché). En complément de la méthode qualitative, elle permet d’aller vite pour des risques «courants».

methode-analyse-risques

Copyright Ysosecure © 2002 - 2018