Cartographie des risques / Analyses des risques

De nombreuses méthodes d’analyses de risques ont été développées, dont certaines sont très orientées grandes entreprises ou administrations.

La classification des risques

Les risques liés à l’information peuvent être classés selon 4 axes principaux :

  • la criticité pour le système d’information ;
  • la probabilité de réalisation ;
  • l’impact sur les métiers;
  • la détectabilité.

Les approches d’analyse des risques

On caractérise quelquefois les approches en les classant en 3 catégories :

  • La méthode quantitative : elle implique de prendre un nombre important de mesures pour calculer le coût des dommages, idéalement en termes financiers, et les effets des mesures de réduction prises. Cette analyse quantitative de risque nécessite de s’appuyer sur des faits et des chiffres avérés et constitue souvent un exercice long et délicat qui n'est pas approprié aux risques des systèmes d'information.
  • La méthode qualitative : elle fournit une voie plus facile pour mesurer la valeur des actifs et les probabilités de menaces. Ces valeurs peuvent être décrites en utilisant des expressions simples telles que "haut", "moyen" et "faible". Cette approche corrige les imperfections de l'approche quantitative en réduisant l'incertitude inhérente aux chiffres.
  • L’approche par base de connaissance : elle implique de réutiliser les bonnes pratique en matière de connaissance des risques d’organismes semblables (en taille, périmètre et/ou marché). En complément de la méthode qualitative, elle permet d’aller vite pour des risques «courants».

La gravité du risque informatique

On définit souvent la gravité d’une menace résultant d’un risque sur 4 niveaux (exemple Marion/Mehari) :

  • Insignifiant
  • Tolérable
  • Inacceptable (au sens que le Management de l'entreprise décide de ne pas l'accepter)
  • Insupportable (au sens qu'une entreprise ne peut le supporter financièrement, en terme d'imge, ...)

Comment gérer le risque ?

En matière de risk management, on distingue généralement 4 manières de gérer le risque :

  • le contournement ou évitement, qui consiste à renoncer à l’activité qui génère le risque ;
  • le contrôle du risque, qui consiste à en diminuer la probabilité, par la mise en oeuvre d’une mesure de sécurité;
  • l’assurance ou l’auto-assurance (qui peut être ou non assortie de financements spécifiques) ou le transfert non-assurantiel du risque, exemple par le biais de clauses de renonciation à recours ;
  • et évidemment son acceptation.

 

 

 

retour