Choissez une méthodologie de gestion des risques

Quelle méthode utiliser

Une méthode d'analyse des risques se trouve dans la "Méthode Optimisée d'analyse des risques CASES" (Monarc). Une approche plus détaillée se trouve dans la norme ISO 27005:2011.

Votre analyse de risques peut être très simple ou très détaillée. Tout dépend de la taille de votre organisation, de la complexité des projets et de la sensibilité des données que vous traitez. Cependant, ne sous-estimez pas le travail que cela implique, car même si un projet semble simple, les risques associés peuvent être importants. Il n'y a donc pas de corrélation entre la taille d'un projet et les risques qui y sont associés. Afin de vérifier l'exactitude et l'exhaustivité de votre analyse de risques, celle-ci doit être vérifiée par différentes personnes de votre organisation.

Un risque peut être :

  • Accepté : L'impact et la probabilité sont trop insignifiants pour prendre d'autres mesures
  • Évité : En fonction de l'impact potentiel et de la probabilité, vous décidez de ne pas poursuivre votre projet
  • Transféré : Vous contractez une tierce partie pour gérer l'impact du risque. Il peut s'agir d'une assurance ou, par exemple, d'un fournisseur de services géré
  • Atténué : Vous mettez en place des contrôles suffisants, afin de réduire le risque à un niveau acceptable.

Le résultat de votre analyse des risques sera votre plan de sécurité, vous devez prioriser les mesures de sécurité qui doivent être établies afin d'avoir un plan de mise en œuvre qui peut être approuvé par la direction.

En général, les organisations sont libres de choisir la méthodologie qu'elles veulent utiliser, à condition qu'elle réponde à un certain nombre d'exigences minimales en termes de confidentialité et d'objectivité. 

Une méthode d'analyse des risques se trouve dans la "Méthode Optimisée d'analyse des risques CASES" (Monarc). Une approche plus détaillée se trouve dans la norme ISO 27005:2011, le COBIT for Risk de l'ISACA ou le cadre de gestion des risques du NIST.

Les méthodologies d'évaluation des risques sont soit qualitatives (faible-moyen-élevé), soit quantitatives (valeur financière).

Évaluation qualitative des risques informatiques

L'évaluation qualitative des risques est fondée sur des opinions. Elle s'appuie sur le jugement pour classer les risques en fonction de leur probabilité et de leur incidence et utilise une échelle de notation pour décrire les risques comme :

  • faible - peu susceptibles de se produire ou d'avoir une incidence sur votre entreprise;
  • moyenne - possibilité de se produire et impact moyen;
  • élevée - susceptible de se produire et d'avoir un impact important sur votre entreprise.

Par exemple, vous pourriez classer comme "haute probabilité" quelque chose qui devrait se produire plusieurs fois par an. Vous faites la même chose pour le coût/impact dans les termes qui vous semblent utiles, par exemple :

  • faible - perdrait jusqu'à une demi-heure de production;
  • moyen - causerait un arrêt complet pendant au moins trois jours;
  • élevé - causerait une perte irrévocable à l'entreprise.

Évaluation quantitative des risques informatiques

L'évaluation quantitative mesure le risque à l'aide de montants monétaires. Elle utilise des formules mathématiques pour vous donner la valeur des pertes prévues associées à un risque particulier, en fonction de :

  • la valeur de l'actif,
  • la fréquence d'occurrence des risques, et
  • la probabilité d'une perte associée.

Dans un exemple de panne de serveur, une évaluation quantitative consisterait à examiner :

  • le coût d'un serveur ou les revenus qu'il génère,
  • à quelle fréquence le serveur se bloque,
  • la perte estimée à chaque accident.