ANALYSEDESRISQUESET MANAGENEMENTDESRISQUES

Introduction: Le management des risques est un processus qui permet au Business Manager dquilibrer les cots conomiques et oprationnels et faire du profit dans les possibilits des missions, tout en protgeant les processus businness qui supporte les objectifs de lentreprise. Le senior management a pour mission dassurer que lentreprise est capable daccomplirsamission.Maiscependant,plusieursorganisationsontdetrspetitsbudgets scurit, do le besoin pour le management davoir un processus lui permettant de dterminerlesdpensesquiserontfaitesetdefaonstratgique. Pourcela,plusieursquestionssontgnralementposesdansuneanalysederisque,qui estunetapeimportantedumanagementdesrisques. 1. Pourquoidoitonraliseruneanalysedesrisques? Cest important de le faire car, tant ltape la plus importante du managementdesrisques,ellepermetlentreprisededciderdesonavenir. 2. Quanddoitonraliseruneanalysedesrisques? Elle doit se faire chaque fois que largent ou une ressource doit tre utilis. Parexemple,elledoitsefaireavantledmarragedunetache,dunprojetou duncyclededveloppementdansuneorganisation. 3. Quidoitconduireuneanalysedesrisques? Elledoitinclurelesexpertsinterneslorganisation,carilssontmieuxplacs pourcomprendrelesprocessusbusinessdelentreprise. 4. Encombiendetempsuneanalysedesrisquesdoitellesefaire? Elledoitsefairerapidement,avecleminimumdimpactsurlesemploys.Elle sefaitgnralementenjours,pasensemaine,nienmois. 5. Questuneanalysedesrisquespeutanalyser? Elle peut tre utilis pour revoir des taches, des projets et des ides, permettant ainsi de savoir par exemple si un nouveau contrle doit tre implmentounon. 6. Quelles informations le rsultat dune analyse des risques peut fournir lorganisation?

Il permet lorganisation dexaminer toutes les ressources concernes, de dfinir les priorits entre les niveaux de vulnrabilits et dappliquer les contrlesadquats. 7. Quidevraitrevoirlersultatduneanalysedesrisques? Etant donn que celuici est gnralement class top secret dans lorganisation, sa rvision ne peut tre faite que par le sponsor ou par ceux mandatparlesponsor. 8. Commentlesuccsduneanalysedesrisquesestilmesur? Une faon de mesurer le rsultat dune analyse des risques est dvaluer le nombredefoisquelonestrevenusurunedcisionpriseensebasantsurce rsultat. LemanagementdesrisquesdoittretotalementintgrauSystemDevelopment LifeCycle(SDLC)delorganisation. LeprocessusSDLCcomportelesphasessuivantes: 1. Analyse 2. Design 3. Construction 4. Test 5. Maintenance Lesactivitsdumanagementdesrisques 1. Analyse:permetdidentifierlesrisquesetbesoinsdescurit 2. Design: permet de produire une architecture en fonction des besoins prcdemmentidentifis. 3. Development:permetdecreroudimplmenterlescontrlesdescuritet contremesurepoursatisfaireauxbesoinsexprims. 4. Test:permetdetesterlescontrlesetdesassurerquelesdcisionsprisesen fonctiondeceuxcirduisenteffectivementlesrisquesidentifiesunniveau acceptable. 5. Maintenance: permet de rexaminer les contrles lorsquil ya un changement,unemisejourouuneirrgularit. Le management des risques est la responsabilit du management de lentreprise. Chaque groupe a un rle diffrent et ces rles supportent les diffrentes activits de lentreprise. Les diffrents rles gnralement retrouvs dans les organisations sont les suivantes:

 Senior Management: Son rle est dassurer que toutes les ressources ncessaires sont dployes et mises en uvre pour atteindre les objectifs business.Ildoitprendreencomptelersultatdelanalysedesrisques. ChiefInformationSecurityOfficer:Ilestresponsableduplandescuritde lentreprise incluant toutes les composantes. Ses prises de dcision doivent prendreencomptelemanagementdesrisques. SystemandInformationOwner:Sonrleestdesassurerquelescontrles mise en place permettent davoir lintgrit, la confidentialit et la disponibilitdelinformationdontlagestionluiestassigne. Business Manager: Il est responsable de toutes les dcisions prises dans lentreprise,ygarantieunbnficeessentieletassurelatteintedesobjectifs businessdelorganisation,toutensebasantsurlesrsultatsdelanalysedes risques. Information Security Manager: Il est le responsable du programme de scuritdelorganisation. CYCLEDEVIEDELASECURITEDELINFORMATION 1. Riskanalysis 2. CostBenefitImplementation 3. VulnerabilityAssessment.

Lecycledeviedelascuritdelinformationdmarreavecuneanalysedesrisques RiskAnalysisquipermetdidentifierlesrisquesquencouruparlebusiness.Cettetape

permetparexempleaumanagementdesassurerlesdpensesralisessontncessaire latteintedesobjectifsdelentrepriseparrapportsastratgieglobale. Ltape suivante CostBenefit Implementation dtermine les contrles qui aiderontmitigerlesrisquesunniveauacceptable. A la suite de limplmentation de ces contrles, il est ncessaire de raliser une valuation des vulnrabilits, ceci pour tester les contrles et contremesures afin de sassurerdeleurefficacit. PROCESSUSDANALYSEDESRISQUES Lanalysedesrisquesatroislivrables: Lidentificationdesmenaces Ltablissement dun niveau de risque en dterminant la probabilit quune menacearriveetsonimpact. Lidentificationdescontrlesetcontresmesuresquipeuventrduirelerisque niveauacceptable. Pour obtenir ses livrables, il est ncessaire dexcuter six tapes dans le processus danalysesdesrisquesquiestunepartiedumanagementdesrisques.Lessixtapessontles suivantes: Dfinition des actifs: La premire tape dans le processus la ou les ressources quiserontanalyses.Pourceladestechniquestellesquelesquestionnaires,les interviewssursite,larevuedeladocumentationetlesoutilsvrifications. Identificationdesmenaces:Cettetapeconsisteidentifierlesmenaces,crer une liste complte et les classer par catgories (Menaces naturelles, Humaines, Environnementales).Lesmthodesutilisesicisontledveloppementdeslistes decontrles,lexamendelhistoriquedesdonnesetlebrainstorming. Dterminationdelaprobabilitdesmenaces:Cettetapeconsistedterminer pourchaquemenace,laprobabilitquellearrive. Dterminationlimpactdelamenace:cettetapeconsistepourchaquemenace dedterminerlimpactquelleaurasurlebusinesssicellecisurvenait. Identificationdescontrlesetcontremesures:Cettetapeconsisteidentifier les contrles et contremesure permettant de rduire les risque un niveau acceptable. Documentationdelanalysedesrisques:Cettetapeconsistedocumenterle rsultat de lanalyse des risques sous un format standard et sous forme dtat livraupropritairedesactifs.

MITIGATIONDURISQUE Cest une mthodologie systmatique utilis par les seniors managements pour rduirelerisquedesorganisations.Lesmthodeslesplusconnusdemitigationdesrisques sontlessuivantes: 1. Hypothse de Risque : cette mthode consiste dterminer si la meilleure dcisionbusinessestdaccepterlerisquepotentieletdecontinuerlexploitation. 2. Allgement du Risque: cette mthode consiste au senior management dapprouv les contrles et contremesure mettre en place pour rduire les risques. 3. Evitementdurisque:cettemthodeconsistedechoisirdlibrmentdviterle risqueenliminantleprocessusquipourraitcauserlerisque. 4. Limitationdurisque:cettemthodeconsistelimiterlerisqueenimplmentant lescontrlesquiminimiselimpactdficitairedelamenace. 5. Planificationdurisque:cettemthodeconsistedciderdemanagerlesrisques en dveloppant une architecture qui fait ressortir les priorits, implmente et maintientlescontrles. 6. Transfertdurisque:cettemthodeconsistetransfrerlerisqueenutilisant dautresoptionspourcompenserlespertes(Ex:lespolicesdassurance). LESCATEGORIESDECONTROLE Danslarchitecturedelascuritdelinformation,ilyaquatrecouchesdecontrle. Nous: 1. Lvitement 2. Lassurance 3. Ladtection 4. Larcupration/lareprise Ilestaussipossibledecrerunensembledecontrlelielentreprisetelque: 1. Lescontrlesdopration(Backup,plandereprise,analysesdesrisques,contrle antivirus, dpendance dinterface, maintenance, servicelevel agreement, Gestionduchangement,lanalysedelimpactdubusiness). 2. Les contrles dapplication (Contrle des applications, Teste de rception, Entrainement,promotionauxprocduresduproduit,stratgiecorrective). 3. Les contrles de scurit (Politique, entrainement, rvision, classification des actifs,managementdusupport,sensibilisationdescurit,contrledaccs). 4. Lescontrlessystme(Gestionduchangement,auditdeslogssystme). 5. Lescontrlesphysiques(Scuritphysique).

COSTBENEFITANALYSIS Cettetapeestconduiteparlorganisationaprsavoirralisunetudedefaisabilit et de lefficacit de tous les contrles identifis. Ce processus est ralis pour dterminer limpactdelimplmentationdechaquenouveautoudelamiseenuvreducontrleet dtermineraussilimpactdelanonimplmentationdesditscontrles. Les cots dimplmentation de cette analyse prennent en compte les lments suivants: Lescoutsincluslesdpenseinitialpourlematrieletlelogiciel Larductiondelefficacitoprationnelle Implmentation des politiques et procdures additionnelles pour supporter les nouveauxcontrles. Les cots dembauche du staff additionnel, au minimum la formation du staff existant. Les cots dducation du support du personnel pour maintenir lefficacit des contrles.