Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Entreprise
  2. Management

Risques Informatiques

publicité 
Risques Informatiques
Elaboré par : OUSSAMA GHORBEL
WISSEM CHEMKHI
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Vendredi Le 21 JuinPage
20131
PLAN
1
Concepts de base
2
Gestion des risques
3
Risques informatiques
4
Niveau et facteurs de réduction
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 2
1
Concepts de base
I.
Définitions (Risques, Risque informatique et
management des risques)
II. Enjeux
III. Coûts et bénéfices
IV. Classification et évaluation des risques
2
Gestion des risques
3
Risques informatiques
Niveau
et facteurs
de réduction
4
Pour plus de modèles
: Modèles Powerpoint
PPT gratuits
Page 3
1. Concepts de base
I. Définitions
1.1. Définition de risque
Le risque est la prise en compte par une personne de la
possibilité de réalisation d'un évènement contraire à ses
attentes ou à son intérêt. Lorsque la personne concernée
agit malgré cette possibilité et s'expose ainsi à cette
réalisation, on dit qu'elle prend un risque.
Le risque est à distinguer de l'incertitude, notion plus
générale, ou du danger, forme de risque pour laquelle
l'intégrité physique est menacée.
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 4
1.2. Définition de risque informatique
Le risque informatique peut être désigné comme le risque métier
associé à l'utilisation, la possession, l'exploitation, l'implication,
l'influence et l'adoption de l'informatique dans une organisation
(Origine Risk IT : ISACA)
1.3. Définition de management des risques
Le management des risques est un processus mis en œuvre par le
Conseil d'Administration, la direction générale, le management et
l'ensemble des collaborateurs de l'organisation.
Il est pris en compte dans l'élaboration de la stratégie ainsi que
dans toutes les activités de l'organisation. Il est conçu pour
identifier les événements potentiels susceptibles d'affecter
l'organisation et pour gérer les risques dans les limites de son
appétence pour le risque. Il vise à fournir une assurance
raisonnable quant à l'atteinte des objectifs de l'organisation »
(
Traduction
Pour plus de modèles : Modèles
Powerpoint du
PPTCOSO
gratuits
II Report par l'IFACI,
PriceWaterhouseCoopers et Landwell & Associés)
Page 5
II. Les enjeux et défis
1.1. Enjeux
• Toutes les entreprises dépendent fortement de leurs SI,
• Les entreprises comme les SI sont en évolution constante,
• Le risque informatique est un risque opérationnel majeur mais
difficile à gérer,
• Les métiers sont les premiers concernés par le risque
informatique,
• Le chiffre annuel de la cybercriminalité est d’environ 2 fois
supérieur à celui de drogue (1000 M $). Parmi les cyber-attaques
récentes on peut citer : Turbomeca en 2010 - espionnage
industriel, Bercy en 2011 – 150 PC visités, Commission
Européenne – attaques Bercy, Sony online Entertainment-Vol
des données personnelles et d’informations cartes, …
Pour plus de modèles : Modèles Powerpoint PPT gratuits
(Origine Risk IT : ISACA)
Page 6
1.2. Constats 1/2
Échantillon 351 entreprises
(+ 200 salariés) en France
• Accroissement de la dépendance des entreprises
l’informatique (81% : Forte, 18% Modérée et 1% faible).
à
• La communication de la politique de sécurité informatique n’est
pas communiquée à tous les acteurs du SI (74% dont 43%
d’une manière proactive et explicite, le reste juste pour
information).
• La fonction responsable de la sécurité des systèmes
d’information (RSSI) n’est pas identifiée par tous les
entreprises (uniquement 54%).
• L’inventaire et la classification des informations n’est pas
effectuée d’une façon exhaustive par tous les entreprises (70
% dont 38 % n’ont procéder à cette nécessité).
• Les entreprises n’utilisent pas des méthodes ou des
référentiels pour l’analyse des risque (45 % et 35 % l’utilisent,
Pour plus de modèles : Modèles Powerpoint PPT gratuits
mais d’une façon partielle).
Page 7
1.2. Constats 2/2
• Possibilité d’accès au SI à partir d’un poste de travail non
maîtrisé (32% dont 1% sans aucune condition).
• Plusieurs entreprise ne procèdent pas à la suivie de
l’infogérance par des indicateurs de sécurité (37%).
• Plusieurs entreprise ne procèdent pas à l’audit de l’infogérance
par des indicateurs de sécurité (33% et 32% d’une façon
ponctuelle et non pas récurrent).
• La quasi-totalité des entreprises ne possèdent pas d’une
formalité de peintes suite à des incidents liés à la sécurité
informatique (90%).
• Des entreprises qui ne procèdent jamais à l’audit de la sécurité
des SI (21%).
• Plusieurs entreprises ne procèdent pas à la mesure régulière
de sécurité liée à l’information (79%).
Pour plus de modèles : Modèles Powerpoint PPT gratuits
(Club de la sécurité de l’information Français « CLUSIF », 2012)
Page 8
1.3. Défis
À notre avis, on peut conclure, à titre indicatif, les défis suivants :
• La nécessité d’avoir des procédures et des méthodes
satisfaisantes (exemples : politique de sauvegarde des fichiers
et logiciels, normes de programmation ) qui constituent , en
effet, une première présomption de la fiabilité et de la
pérennité des logiciels développés.
• La nécessité de maîtrise des risques de manipulation
frauduleuses par les utilisateurs des SI.
• La nécessité de l’implantation des mécanismes de sécurité de
l’information au sein de l’ensemble des SI essentiellement les
logiciels et applications informatiques.
• La nécessité de réduire les risques d’opérations erronées ou
frauduleuses de la part des informaticiens.
La mise en place d’un bon contrôle interne au sein d’un service
informatique doit être clairement explicités.
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 9
Agressions physiques - Pertes de services essentiels
Accidents – Incidents majeurs
majeurs- Evénements naturels
III. Coûts et bénéfices
Coûts du sinistre
Actions illicites
Malveillance
Défaillance
matérielle
Vols
Atteinte à la
maintenabilité
Divulgations d’info
Saturation de matériel
Fréquence
de survenue
Compromission
des informations
et des fonctions
Erreurs
Pour plus de modèles : Modèles Powerpoint PPT gratuitsDysfonctionnements
logiciels
(Source : BAUDY N., Risques Informatiques et Assurances)
Page 10
Les risques informatiques existent toujours que l’entreprise les
aient détectés et reconnus ou non :
La figure suivante montre qu’à chaque catégorie de risque
informatique correspond une opportunité équivalente.
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 11
Source : RISK IT, ISACA
Il est important de conserver à l’esprit cette dualité
risque/bénéfice lors de toutes les décisions relatives aux
risques. Par exemple, les décisions doivent prendre en
compte l’exposition consécutive à un risque non traité versus
le bénéfice s’il est traité, ou les avantages potentiels que l’on
peut engranger en saisissant des opportunités versus les
avantages manqués si l’on renonce à ces opportunités.
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 12
IV. Classification et évaluation des risques
Risque
Physique
Accidents –Incidents
Incidents majeurs
Vols
Agressions physiques
Pertes de services essentiels
Intentionnel
Compromission
des informations,
des fonctions
Risque
Logique
Actions illicites
Malveillance
Risque
Humain
Divulgations d’info
Défaillance Saturation de matériel
matérielle
Atteinte à la maintenabilité
Dysfonctionnements
Pour plus de modèles : Modèles Powerpoint PPT gratuits
logiciels
(Source : BAUDY N., Risques
Informatiques et Assurances)
Fortuit
Erreurs
Page 13
La
classification
des
différents
impacts
d’un
dysfonctionnement d’un des actifs est souvent faite sur 4
niveaux :
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 14
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 15
1
Concepts de base
2
Gestion des risques
I.
La méthode MEHARI
II. Evaluation qualitative et quantitative
3
Risques informatiques
4
Niveau et facteurs de réduction
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 16
I. La méthode MEHARI
1.1. Objectifs de la méthode MEHARI
MEHARI est une démarche d’analyse et de gestion des
risques, issue du CLUSIF, qui fournit un cadre
méthodologique, des outils et des bases de connaissance
pour :
• Analyser et classifier les enjeux majeurs,
• Étudier les vulnérabilités,
• Réduire la gravité des scénarios de risques,
• Piloter la sécurité de l’information
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 17
1.2. L'approche modulaire de la méthode MEHARI
L'analyse des enjeux
L’analyse des enjeux de MEHARI permet d’évaluer la gravité de
dysfonctionnements en DIC pouvant être causés ou favorisés par une faille
ou un défaut de sécurité.
Il s’agit d’une analyse totalement focalisée sur les objectifs et attentes des
métiers de l’entreprise mettant à contribution les décideurs et le management
de l’entreprise ou de l’entité considérée.
Cette analyse se traduit par :
•Une échelle de valeurs des dysfonctionnements potentiels, élément de
référence centré sur les impacts métiers,
•Une classification rigoureuse des actifs (informations et des ressources) du
Système d’information,
•Des processus d’assistance pour effectuer cette classification,
•L’établissement de liens directs vers l’analyse détaillée des risques
correspondants
Pour plus de
modèles : Modèles Powerpoint PPT gratuits
(Source : www.ysosecure.com consulté Le 15/06/2013 )
Page 18
L’analyse des vulnérabilités
L’analyse des vulnérabilités fournit une évaluation de la qualité
(robustesse, efficacité, mise sous contrôle) des mesures de sécurité en
place.
La base de connaissance des mesures de sécurité de MEHARI est
structurée par domaines et par services ayant des finalités précises de
réduction de potentialité ou d’impact des situations de risques.
Cette analyse des vulnérabilités permet de :
•Corriger les points faibles inacceptables par des plans d’action
immédiats,
•Évaluer l’efficacité des mesures mises en place et garantir leur
efficience,
•Préparer l’analyse des risques induits par les faiblesses mises en
évidence,
•Comparer la maturité de son organisation avec l’état de l’art et la norme
27002.
Pour plus deISO
modèles
: Modèles Powerpoint PPT gratuits
(Source : www.ysosecure.com consulté Le 15/06/2013 )
Page 19
L’identification et le traitement des risques
Avec MEHARI, l’analyse des risques permet d’identifier les situations
susceptibles de remettre en cause un des résultats attendus de l’entreprise
ou de l’entité, et d’évaluer la probabilité de ces situations, leurs
conséquences possibles et leur caractère : acceptable ou non.
L’analyse des risques met également en évidence les
susceptibles de ramener chaque risque à un niveau acceptable.
mesures
Cette analyse des risques s’appuie sur un ensemble de scénarios précis et
peut servir à :
•Définir les mesures de sécurité les mieux adaptées au contexte et aux
enjeux dans une démarche de management de la sécurité de l’information
(SMSI), par exemple dans une démarche ISO 27001
•Mettre en place un management des risques et garantir que toutes les
situations de risques critiques ont été identifiées, prises en compte et un
plan d’action défini
Pour plus de modèles : Modèles Powerpoint PPT gratuits
(Source : www.ysosecure.com consulté Le 15/06/2013 )
Page 20
1.2. Limites de la méthode MEHARI
MEHARI est une démarche d'analyse des risques de systèmes
d'informations. Elle ne répondra pas efficacement à des besoins :
• De formalisation d'expression de besoins de sécurité par
exemple lors de la rédaction d'un cahier des charges de refonte
d'une partie du système d'information,
• De TPE/PME n'ayant aucune culture sécurité informatique et qui
peuvent souhaiter qu'en une poignée de jours, soient définies les
solutions de base de sécurité (sauvegardes, authentification,
politique de sauvegarde, politique anti virale, ...)
• D'analyse de conformité technique.
Enfin si les concepts de MEHARI peuvent s'appliquer à d'autres
domaines de la gestion des risques (risques opérationnels, risques
scadas...), les bases développées actuellement au CLUSIF ne
qu'aux
risques
liés aux systèmes d'information.
Pour pluss'appliquent
de modèles : Modèles
Powerpoint
PPT gratuits
(Source : www.ysosecure.com consulté Le 15/06/2013 )
Page 21
II.
II. Evaluation qualitative et quantitative des risques
Pour exprimer le risque informatique en termes métiers Risk IT
s’appuie sur plusieurs modèles :
• COBIT : critères d’information ( efficacité, efficience,
confidentialité, intégrité, disponibilité, conformité, fiabilité)
• Tableau de bord prospectif détaillé : finance, client, processus
internes, apprentissage et croissance
• Westerman (IT Risk: Turning Business Threats into Competitive
Advantage) : agilité, exactitude, accès, disponibilité
• COSO ERM : stratégie, opérations, rapports, conformité
• FAIR (Factor Analysis of Information Risk) : productivité, coût de
traitement, coût de remplacement, avantage concurrentiel,
juridique, réputation
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 22
L’étape que les normes ISO appellent évaluation des risques est,
en fait, une étape de jugement sur les caractéristiques acceptables
ou non des risques qu’ils sont décrits
2.1. L’évaluation des risques pour leur gestion individualisées
Le résultat de l’étape d’estimation
est, pour ce type de
management, une évaluation de l’impacte (I) et de la probabilité (P)
de chaque risque
Le support de décision peut ainsi être :
• Une fonction de gravité du risque G = f (P, I),
• Une table d’acceptabilité fonction de P et de I ci-dessous:
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 23
2.2. Évaluation des risques pour leur gestion globale
Le résultat de l’étape est, pour ce type de
management, une note globale permettant une
hiérarchisation des risques.
La décision de traiter le risque ou non dépend
alors d’un seuil de décision qui doit être fixé par un
comité ad hoc.
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 24
2.3. Risque Informatique et Roue de deming PDCA
Pour plus de modèles : Modèles Powerpoint PPT gratuits
(Origine Risk IT : ISACA)
Page 25
1
Concepts de base
2
Gestion des risques
3
Risques informatiques
I.
Emplacement du risque informatique
II.
Matrice des risques et des contrôles
III. Cartographie des risques
IV. Les sinistres informatiques
4
Niveau et facteurs de réduction
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 26
I. Emplacement du risque informatique
Le risque informatique est une composante de l’univers des
risques globaux de l’entreprise.
Pour plus de modèles : Modèles Powerpoint PPT gratuits
(AFAI : Risk IT, 2008)
Page 27
II.
II. Matrice des risques et des contrôles
La matrice des risques et des contrôles présente :
• À gauche : les risques identifiés et leur couverture par les contrôles
• Au centre : les risques et des contrôles qui permet d’indiquer l’assertion des
EF concernés par le contrôle clé.
• À droite : les étapes de l’approche d’audit à documenter l’évaluation de la
conception des contrôles et l’évaluation de leur fonctionnement.
Pour plus de modèles : Modèles Powerpoint PPT gratuits
(AFAI : Guide d’audit des applications informatiques, 2008)
Page 28
III.
III. Cartographie des risques
• Le processus de cartographie des risques : positionnement des
risques majeurs selon différents axes tels que l'impact potentiel, la
probabilité de survenance ou le niveau actuel de maîtrise des
risques. Son objectif est de permettre d'orienter le plan d'audit
interne et d'aider le management à prendre en compte la dimension
risque dans son pilotage interne.
• Il existe en synthèse 4 types de cartographies identifiés autour
des risques informatiques :
• Cartographie des risques d'entreprise : pour suivre la maîtrise des
principaux risques de l'entreprise
• cartographie des risques Sécurité de l'information : pour protéger
les actifs du SI au regard des menaces qu'ils encourent
• cartographie des risques pour construction du plan d'audit : pour
identifier l'exposition au risque et définir le plan d'audit
• cartographie des risques liés à la fonction des Systèmes
d'Information
: pour
Pour plus de modèles
: Modèles Powerpoint
PPTpiloter
gratuits les processus DSI et la réussite des
projets informatiques
Page 29
IV. Les Sinistres informatiques
Pour plus de modèles : Modèles Powerpoint PPT gratuits
(Club de la sécurité de l’information Français « CLUSIF », 2001)
Page 30
1
Concepts de base
2
Gestion des risques
3
Risques informatiques
4
Niveau et facteurs de réduction
I.
Le niveau du risque informatique
II.
Les solutions d’assurances
III. Le plan de secoure informatique
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 31
I. Le niveau du risque informatique
• Lorsque la qualité d'un risque n'est pas jugée
suffisante, nous ne proposons pas de garanties
pour le couvrir.
• Une assurance pour éviter de solliciter les fonds
propres de l’entreprise :
• Identification et analyse des risques
• Méthodes qualité et procédures
• Assurance contre les risques sévères
• La qualité de protection d'une entreprise se
mesure au degré de réactivité de ses
Pour plus de modèles : Modèles Powerpoint PPT gratuits
responsables.
Page 32
II. Les solutions d’assurance
1.1. Couvertures contre les risques informatiques
Entreprises
Itinérants
Production
Gestion
du réseau
Pour plus de modèles :Architecture
Modèles Powerpoint
PPT gratuits
Données et Applications
Système d’Information
Page 33
(Source : BAUDY N., Risques Informatiques et Assurances)
1.2. Les garanties
Faits générateurs
Garanties
o Tous dommages matériels o Remplacement ou réparation
des équipements
o Dommages immatériels
o Reconstitution des données
malveillants
o Dommages immatériels
accidentels
o Frais supplémentaires
d’exploitation
o Pertes d’exploitation
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 34
(Source : BAUDY N., Risques Informatiques et Assurances)
II. Le plan de secours
PCA = Plan de
Continuité d’Activité
Pour plus de modèles : Modèles Powerpoint PPT gratuits
(Club de la sécurité de l’information Français « CLUSIF », 2003)
Page 35
Conclusion : ce qu’on doit retenir
Une bonne maîtrise des risques informatiques :
• Aide les responsables et le managers à se poser les questions
clés, à prendre de meilleures décisions en tenant compte des
risques, et à s’assurer que le risque informatique est géré de
manière effective dans leur entreprise,
• Permet de gagner du temps, de réaliser des économies et de
limiter l’effort grâce à des outils pour traiter les risques métiers,
• Intègre le management des risques métiers liés à l’informatique
au management de risque global,
• Aide le leadership à comprendre l’appétence et la tolérance aux
risques.
Le cadre Risk IT peut être considéré, à notre avis, comme un
guide universel des bonnes pratiques dictées par les besoins
des dirigeants
d’entreprises
Pour plus de modèles
: Modèles Powerpoint
PPT gratuits pour la maitrise des risques
informatiques.
Page 36
Bibliographie
• ISACA, (2012), « Manuel de préparation CISA 2012 » Edition
ISACA,
• DERRIEN, Y., (1992), « Les techniques de l’audit informatique »,
Edition DUNOD,
• BOUDRIGA, Z., (2012), « L’audit interne : organisation et pratiques
», Edition Azurite,
• BITTERLI, P. R. et al, (2008), « Guide d’audit des applications
informatiques : une approche inspirée des audits financiers »,
AFAI,
• BLEICHER, J. L., (2011), « Risk IT : Le management par le risque
informatique,
• BLEICHER, J. L., (2013), « Risk IT : Prenez le risque d’utiliser,
• CLUSIF, (2009), « La gestion des risques : Concepts et méthodes
»,
• CLUSIF, (2012),« Menaces informatiques et pratiques de sécurité
France
», Powerpoint PPT gratuits
Pour plusen
de modèles
: Modèles
• BAUDY, N., «Risques Informatiques et Assurances
Page 37
Webographie
• http://www.afai.fr/index.php?m=19
Consulté
le
15/06/2013,
• http://www.ysosecure.com/methodeMEHARI/methode-mehari.html
Consulté
le
15/06/2013.
Pour plus de modèles : Modèles Powerpoint PPT gratuits
Page 38
Documents connexes
Présenter un projet sur powerpoint
Présenter un projet sur powerpoint
File - Page d`accueil
File - Page d`accueil
fiche_peda_LE_MENER
fiche_peda_LE_MENER
La stratégie de la Tunisie en matière de conservation des eaux et
La stratégie de la Tunisie en matière de conservation des eaux et
PRESENTATION ORALE METHODO
PRESENTATION ORALE METHODO
Leçon 4 Tome I
Leçon 4 Tome I
Documents | Le Partenariat Afrique-UE - The Africa
Documents | Le Partenariat Afrique-UE - The Africa
proposition de loi -Léa -Margaux -Elisa
proposition de loi -Léa -Margaux -Elisa
Accès Libre - Colloque International sur le Libre Accès 2016
Accès Libre - Colloque International sur le Libre Accès 2016
Translator / Marketing Coordinator,
Translator / Marketing Coordinator,
Guide d`animation du formateur
Guide d`animation du formateur
Veille marketing - Manager Academy Paca
Veille marketing - Manager Academy Paca
Vous allez utiliser trois jours de classe dans la salle d`ordinateur pour
Vous allez utiliser trois jours de classe dans la salle d`ordinateur pour
Téléchargement
publicité