Analyse de risques – Sécurité de l’information

Dans le domaine de la sécurité de l’information, l’analyse de risques couvre la partie des risques associés aux activités nécessitant un système d’information (SI). L’analyse de risques est une démarche visant à aider l’entreprise à piloter les projets de sécurité au regard d’une évaluation des risques réels liés au SI. C’est une approche structurée et méthodologique, intégrant la dimension «métier» de l’entreprise ainsi que les aspects humains, organisationnels et techniques. Généralement, une analyse de risques va être réalisée pour : améliorer la sécurisation des systèmes d’information ; justifier le budget alloué à la sécurisation du SI ; démontrer le niveau de protection du SI.

La réalisation d’une analyse de risques nécessite l’implication d’interlocuteurs transverses (Direction, DSI, Responsable métiers, …) pour identifier les objectifs principaux de l’entreprise, les exigences légales et réglementaires et les contraintes de la DSI auxquelles elle est soumise,  afin de déterminer les caractéristiques particulières en matière de sécurité mais également, d’apporter une appréciation qualitative de la sensibilité des actifs à protéger.

Associant un niveau de sensibilité et/ou de criticité (estimée à l’aide d’études statistiques, de probabilité de survenance et d’évaluation d’impact) aux actifs à protéger, une analyse de risques permet de décider du traitement de chacun des risques ; à savoir si le risque doit être :

  • refusé dans le cas où la gravité du risque est trop élevée et les coûts de traitement trop importants ;
  • transféré à un tiers (assureur, partenaire, fournisseur ou client) qui peut l’appréhender plus efficacement (et facilement) ;
  • à réduire en déployant des mesures de sécurisation (protection, prévention, etc.), dans le but de réduire la probabilité d’occurrence et/ou l’impact du risque ;
  • accepté en connaissance de cause et avec objectivité.

Prenant en compte la situation opérationnelle réelle de l’entreprise, l’analyse de risques est utilisée pour identifier les vulnérabilités et cartographier les risques réels liés au SI ; calculer le coût des incidents et ainsi mesurer le coût de l’insécurité ; définir les exigences de protection du SI à déployer à travers des directives techniques et fonctionnelles ; concevoir une stratégie de protection en planifiant les actions et les budgets dans un plan pluriannuel.

Méthodes : EBIOS, MEHARI, Critères DICP de classification de l’Information, etc.

 


A PROPOS DES MISSIONS D’ANALYSES DE RISQUES

Ce sont des missions intégrées à de l’offre Gouvernance de la SSI d’Harmonie Technologie. L’offre Gouvernance de la SSI d’Harmonie Technologie regroupe les missions d’organisation et management de la sécurité, de roadmap SSI; d’analyse de risques; de politique de sécurité et tableaux de bord SSI ; de sensibilisation ; de continuité d’activité ; d’accompagnement à la certification ISO, PCI-DSS, HDS, etc.

Spécialiste de la sécurité des systèmes d’informations, Harmonie Technologie accompagne depuis 2005 les grands comptes dans la maîtrise des risques SI. Avec une double compétence fonctionnelle et technique, le cabinet de conseil intervient de façon globale : audit, conseil, formation, intégration et expertise technique.

 Les 4 domaines d’expertise d’Harmonie Technologie sont :

  • La gouvernance de la SSI
  • Le gestion des identités et des accès
  • La protections des données et des applications
  • La cybersécurité, audit et surveillance

Laisser un commentaire

Looking for a First-Class Business Plan Consultant?