Identifier les enjeux sécurité des processus métier

Les enjeux métiers : la base d’une analyse des risques

La base d’une analyse des risques se pose souvent dans la question suivante  » A-t-on identifié l’ensemble des risques auxquels l’organisme est exposé et a-t-on l’assurance que leur niveau est acceptable ? « .

Cette première étape d’analyse des enjeux, essentielle et certainement la plus complexe, est certainement également celle la moins facilement modélisable. Il s’agit de transformer des enjeux métiers en termes de DIC. Il s’agit de se doter d’éléments permettant de savoir s’il y aura en fin de la démarche une juste proportion entre les moyens de sécurité investis et ce niveau d’enjeux identifié par les métiers.

L’analyse des enjeux de la sécurité se traduit en général par :

  • L’identification des dysfonctionnements pouvant être redoutés par les métiers
  • Une évaluation de la gravité de ces dysfonctionnements, sous la forme d’une échelle de valeur (souvent à 4 niveaux)
  • La classification des actifs selon les 3 critères de base (Disponibilité, Intégrité, Confidentialité)

INSERER SCHEMA

Dans le cette étape, permettant d’établir le contexte de l’analyse des risques, sont identifiés 3 critères :

  • critère d’impact (ou plutôt du niveau d’impact du risque sur l’entreprise) : on utilise souvent une échelle à 4 niveaux
  • critère d’évaluation du risque
  • critère d’acceptation du risque

 

La classification des différents impacts d’un dysfonctionnement d’un des actifs est souvent faite sur 4 niveaux :

Niveaux

Impact business

Exemples

1

impact faible

A ce niveau les dommages encourus n’ont pratiquement pas d’impact sur les résultats de l’entreprise ni sur son image.

2

impact moyen

A ce niveau les dommages encourus ont un impact significatif au niveau des résultats de l’entreprise et de son image, mais restent largement supportables.

3

impact fort

A ce niveau les dommages encourus (financiers, réputationnels, …) sont graves au niveau de l’entreprise, et vont causer des torts sans que son avenir et son développement ne soit vraiment compromis.

4

impact critique

A ce niveau les dommages encourus (financiers, réputationnels, …) sont extrêmement graves et mettent en danger l’existence de l’entreprise à moyen terme ou la disparition de l’une de ses activités majeures.

COPYRIGHT YSOSECURE © 2002 - 2021