Documente Academic
Documente Profesional
Documente Cultură
8 avril 2010
Gina Gull-Mnez,
Directeur de lAudit des Processus et des Projets SI, Sanofi-Aventis
Vincent Manire
Consultant
Introduction - Prsentation du groupe de travail Elments gnriques sur les risques Retours dexprience Enseignements Conclusions
8 avril 2010
Introduction
Dans le cadre des activits de lAFAI :
Publier les bonnes pratiques professionnelles
catalogue dune douzaine douvrages, issus du partage dexprience au sein de groupes de travail constitus de professionnels expriments
8 avril 2010
ORGANISATION/PARTICIPANTS
Le groupe de travail tait compos de membres permanents issus des grandes entreprises, des cabinets daudits, de consultants, exerant des mtiers diffrents :
Responsable daudit Risk manager Responsable scurit informatique Responsable mthode
Il a bnfici de la prsence dinvits, qui ont apport un angle de vue particulier ou un tmoignage de leur exprience.
8 avril 2010
DROUL/MODE DE FONCTIONNEMENT
Tmoignages anonymes ayant pour objectif
Restituer de faon standardise les prsentations-tmoignages pour faciliter la perception par le lecteur ; Fournir un cadre structur pour les participants appels tmoigner.
Faire ressortir des enseignements et des facteurs cls de succs pour russir une dmarche cartographie.
8 avril 2010
Introduction - Prsentation du groupe de travail Elments gnriques sur les risques Retours dexprience Enseignements Conclusions
8 avril 2010
Origine Bernoulli
"Le risque est l'esprance mathmatique d'une fonction de probabilit d'vnements". En termes plus simples, il s'agit de la valeur moyenne des consquences d'vnements affects de leur probabilit d'occurrence. Ainsi, un vnement e1 a une probabilit d'occurrence p1 avec une consquence probable C1 ; de mme un vnement en aura une probabilit pn et une consquence Cn, alors le risque vaudra R = p1.C1 + p2.C2 + ... + pn.Cn. Un produit pi.Ci est appel valeur de l'ala i.
Origine IFACI
Risque : possibilit que se produise un vnement qui aura un impact sur la ralisation des objectifs. Le risque se mesure en termes de consquences et de probabilit. Cartographie des risques : positionnement des risques majeurs se lon diffrents axes tels que limpact potentiel, la probabilit de survenance ou le niveau actuel de matrise des risques. Son objectif est de permettre dorienter le plan daudit interne et daider le management prendre en compte la dimension risque dans son pilotage interne.
Cartographie des risques informatiques 8 avril 2010
8 avril 2010
8 avril 2010
8 avril 2010
8 avril 2010
Introduction - Prsentation du groupe de travail Elments gnriques sur les risques Retours dexprience Enseignements Conclusions
8 avril 2010
Retours dexprience
Structure des retours dexprience selon la fiche tmoignage :
Contexte de la cartographie Objectif de la cartographie Acteurs concerns Dmarches Reprsentations
8 avril 2010
8 avril 2010
8 avril 2010
8 avril 2010
Lvaluation de limpact financier est rare, Les risques bruts (ou inhrents) et les risques nets (ou rsiduels) sont gnralement pris en compte, Mthodes et rfrentiels : on retrouve les standards du contrle interne SI et de la scurit
Cobit, COSO, ISO 27xxx,
8 avril 2010
La charge de travail initiale dpend du primtre de lanalyse, mais elle est gnralement consquente
par exemple, 20-25 jours par branche pour une cartographie Direction Gnrale
La frquence de mise jour est souvent annuelle pour les cartographies Groupe et Audit interne et peut-tre trimestrielle pour les cartographies oprationnelles
8 avril 2010
rduction de l impact
Risques forts
Mesure de limpact
8 avril 2010
Accs non autoris des donnes 3 confidentielles concernant les salaris Mauvaise gestion des habilitations suite aux mouvements de personnel Risque d'erreurs li es une mauvaise utilisation et connaissance du systme d'information
4 5
Occasionnelle
Risque li l'appauvrissement et la perte de connaissance des outils informatiques 6 Risque daccs linformation stratgique par des personnes internes/externes au 8 service et la socit
8
Erreurs gnres par les outils informatiques supportant la maintenance 9 des quipements
Rare
Obsolescence de vieilles applications
11
Faible
Moyen
8 avril 2010
8 avril 2010
Actifs
31
Perte ou altration des preuves empchant toute investigation Dsaccord, sanction des autorits de tutelle ou sanction pnale Perte de certification Intrusion de personne
6 25 16 16 13 18 11 72 15 12
0 0 0 1 1 0 0 3 0 0
Menaces
Menaces physiques (Incendies, inondations, tremblements de terre) Dfaillance des prestations de tiers Interruption des activits mtiers Accs non autioris Abus de droits Reniement d'actions
Ma tr iel tra Ma ns po tr rta iel ble fixe Su pp ort de Su sto pp cka ort ge sd dy es na toc Lo mi gic kag d'a qu e es dm iel d tati inis e s qu erv tra Ap e ice tio plic n o , de atio us nm Arc yst main m ten hit tie ect e d anc r ure 'ex e L'o plo , se rga t ap itat nis ion plic me Ac atio SI tivi ns ts rs m So eau tier us x -tra s itan Pe t/F rso ou nn rni es sse Ce urs rtif ica /Ind tio us P n, I trie rim ma ls tr ge ep de Se hy ma rvi siq rqu ce ue et m ed Do e la oy nn en Ds es se i n / In ne for rgi ma ee tio tu ns tilit air es
6 0 0 0 0 1 1 0 1 0 0
16 20 1 0 0 0 0 1 0 2 0 1 0 0 0 1 1 0 0 2 0 0
29 1 0 0 0 0 0 0 6 1 2
41 44 16 30 0 0 1 0 0 4 3 12 3 2 0 1 0 0 0 1 0 6 0 0 0 4 4 0 0 3 0 0 2 0 0 1 4 0 0 4 6 7 2 0
1 0 1 0 0 0 0 0 0 0 0
30 31 37 0 5 0 2 1 0 0 3 1 2 3 6 6 0 0 1 0 1 2 2 0 0 0 10 8 0 0 11 0 0
0 151 0 0 0 0 0 0 0 0 0 0 1 7 1 2 1 3 2 18 4 3
8 avril 2010
Introduction - Prsentation du groupe de travail Elments gnriques sur les risques Retours dexprience Enseignements Conclusions
8 avril 2010
ENSEIGNEMENTS (1/2)
Difficult de comprhension par les mtiers de certains critres de linformation, notamment Efficacit et Fiabilit Pas dvaluation scientifique Subjectivit dans lidentification et lvaluation des risques Htrognit et granularit des risques
8 avril 2010
ENSEIGNEMENTS (2/2)
Consolidation difficile Niveaux de maturit ou de sensibilit diffrents Primtre de la dmarche Mobilisation des ressources Vocabulaire : pas de dfinition unique dune entreprise une autre et au sein dune mme entreprise : Menace, risque de scurit, risque mtier, risque oprationnel
Constat gnral : Il ny a pas de cartographie unique et il apparat que cela naurait pas forcment de sens.
8 avril 2010
Introduction - Prsentation du groupe de travail Elments gnriques sur les risques Retours dexprience Enseignements Conclusions
8 avril 2010
Conclusions (1/2)
Concilier diversit et cohrence densemble
Effectuer un travail amont de clarification du vocabulaire et des notions retenus Conserver les initiatives locales rpondant des besoins spcifiques de management oprationnel : scurit, audit interne, contrle interne, DSI, Mtiers Mais, mettre en place un pilotage global de la gestion des risques informatiques
vision globale des initiatives, maintien de la cohrence et pertinence, optimisation des moyens, matrise de la communication et du reporting en matire de risque
8 avril 2010
Conclusions (2/2)
Concilier diversit et cohrence densemble
Etablir un rfrentiel des risques informatiques Choisir un outil afin de faciliter le partage et la consolidation des risques Avoir une vision intgre des dmarches connexes propres linformatique : Qualit, ITIL, Gouvernance, Scurit, Etablir la contribution de la gestion des risques informatiques la gestion globale des risques de lentreprise
8 avril 2010
IFACI
Enqute Cahier de recherche Cartographie des risques publi en 2003
8 avril 2010
Backup
8 avril 2010
DROUL/MODE DE FONCTIONNEMENT
Guide de constitution de louvrage :
Introduction : lancer le sujet et notamment le positionner par rapport la cartographie globale des risques dune organisation Pourquoi la cartographie Justification Dfinition Mthode Quels acteurs ? Comment raliser la cartographie ? Quelle dmarche ? Quels outils mettre en uvre ? Mise jour et priodicit Tmoignages Fiche selon format ci-aprs Glossaire Bibliographie
8 avril 2010
8 avril 2010
Conclusion
laborer une cartographie des risques informatiques est possible et les bnfices sont rels. Toutefois, quand des risques ont t exprims et partags au sein dune organisation, on ne peut plus ne rien faire. Lenjeu rel porte donc plus sur lutilisation de la cartographie que sur la cartographie elle-mme. Les risques sont dynamiques (surtout sur un sujet technologique) et la vision que lon en a doit ltre aussi. Cest donc tout un processus de gestion des risques informatiques qui doit donc tre mis en uvre.
Cartographie des risques informatiques 8 avril 2010