Management des risques informatiques

Management des risques de l’entreprise

Selon COSO II * : « Le management des risques est un processus mis en œuvre par le Conseil d’Administration, la direction générale, le management et l’ensemble des collaborateurs de l’organisation.

Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation.« 

* Traduction du COSO II Report par l’IFACI, PriceWaterhouseCoopers et Landwell & Associés

Si on reprend cette définition, on retrouve les points clefs :

  • C’est un processus continu et transverse à l’organisation
  • Les notions de seuil d’acceptabilité du risque : dans les limites de son appétence pour le risque
  • Le management des risques est un support pour l’atteinte des objectifs de l’organisation :

Cette évolution du concept de management des risques, que l’on retrouve dans ISO 31000, s’applique également au Management des Risques liés aux Système d’Information.

Management des risques liés aux systèmes d’information

Le risque informatique peut être désigné comme le risque « métier » associé à l’utilisation, la possession, l’exploitation, l’implication, l’influence et l’adoption de l’informatique dans une organisation (Origine Risk IT : ISACA)

Cartographie des Risques Informatiques

Le processus de cartographie des risques : positionnement des risques majeurs selon différents axes tels que l’impact potentiel, la probabilité de survenance ou le niveau actuel de maîtrise des risques. Son objectif est de permettre d’orienter le plan d’audit interne et d’aider le management à prendre en compte la dimension risque dans son pilotage interne.

Il existe en synthèse 4 types de cartographies identifiés autour des risques informatiques :

  • cartographie des risques d’entreprise : pour suivre la maîtrise des principaux risques de l’entreprise
  • cartographie des risques Sécurité de l’information : pour protéger les actifs du SI au regard des menaces qu’ils encourent
  • cartographie des risques pour construction du plan d’audit : pour identifier l’exposition au risque et définir le plan d’audit
  • cartographie des risques liés à la fonction des Systèmes d’Information : pour piloter les processus DSI  et la réussite des projts informatiquesdes projets informatiques

Gestion des risques liés à la sécurité de l’information

On imagine sans difficulté des exemples de risques liés aux SI, par exemple l’interruption temporaire des activités d’une entreprise en raison d’une indisponibilité du S

  • panne d’un composant actif du réseau
  • incendie de la salle machine
  • intrusion d’un pirate et destruction des bases de données
  • plan de secours n’ayant pas suivi les évolutions récentes des systèmes

La gestion des risques liée à la sécurité de l’information doit permettre d’assurer la Disponibilité, l’Intégrité, la Confidentialité des données de l’organisation ainsi que la preuve et le contrôle.

Mais en creusant ces exemples, on peut définir la notion du risque lié à la sécurité de l’information suivant plusieurs axes :

  • définition du risque basées sur la notion de menace sur un actif associée à des vulnérabilités : vision assez statique d’un risque (par exemple :
    • panne d’un serveur lié à un défaut de maintenance (et qui va engendrer un arrêt des activités métiers qui été liés au fonctionnement de ce serveur)
  • définition du risque basées sur des scénarios d’incidents : ce sont des « situations de risque » décrivant à la fois le dommage subi et les circonstances dans lesquelles se produit ce dommage. On privilégie ici sur une vision dynamique des risques dans laquelle le temps peut être pris en compte, permettant de prévoir des actions différenciées en fonction des phases de scénario de risque.
    • Indisponibilité temporaire accidentelle de système hôte de services applicatifs, due à un manque d’alimentation en énergie (défaut externe)

Pour mieux manager les risques informatiques, passez une partie de votre secours informatique en mode SaaS

Les Backup externalisés, Tests de restauration de sauvegardes ou encore votre Plan de Reprise d’activité vous prennent du temps et des ressources chaque jour. La solution SaaS de Nuabee vous fait bénéficier d’une solution automatisée et managée, vous permettant d’avoir confiance en votre solution de secours d’activité et de vous re-concentrer sur l’amélioration métier de votre entreprise et les autres axes de sécurité informatique.

COPYRIGHT YSOSECURE © 2002 - 2021