Selon COSO II * : « Le management des risques est un processus mis en œuvre par le Conseil d’Administration, la direction générale, le management et l’ensemble des collaborateurs de l’organisation.
Il est pris en compte dans l’élaboration de la stratégie ainsi que dans toutes les activités de l’organisation. Il est conçu pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Il vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation.«
* Traduction du COSO II Report par l’IFACI, PriceWaterhouseCoopers et Landwell & Associés
Si on reprend cette définition, on retrouve les points clefs :
Cette évolution du concept de management des risques, que l’on retrouve dans ISO 31000, s’applique également au Management des Risques liés aux Système d’Information.
Le risque informatique peut être désigné comme le risque « métier » associé à l’utilisation, la possession, l’exploitation, l’implication, l’influence et l’adoption de l’informatique dans une organisation (Origine Risk IT : ISACA)
Le processus de cartographie des risques : positionnement des risques majeurs selon différents axes tels que l’impact potentiel, la probabilité de survenance ou le niveau actuel de maîtrise des risques. Son objectif est de permettre d’orienter le plan d’audit interne et d’aider le management à prendre en compte la dimension risque dans son pilotage interne.
Il existe en synthèse 4 types de cartographies identifiés autour des risques informatiques :
On imagine sans difficulté des exemples de risques liés aux SI, par exemple l’interruption temporaire des activités d’une entreprise en raison d’une indisponibilité du S
La gestion des risques liée à la sécurité de l’information doit permettre d’assurer la Disponibilité, l’Intégrité, la Confidentialité des données de l’organisation ainsi que la preuve et le contrôle.
Mais en creusant ces exemples, on peut définir la notion du risque lié à la sécurité de l’information suivant plusieurs axes :
Les Backup externalisés, Tests de restauration de sauvegardes ou encore votre Plan de Reprise d’activité vous prennent du temps et des ressources chaque jour. La solution SaaS de Nuabee vous fait bénéficier d’une solution automatisée et managée, vous permettant d’avoir confiance en votre solution de secours d’activité et de vous re-concentrer sur l’amélioration métier de votre entreprise et les autres axes de sécurité informatique.