De nombreuses méthodes d'analyses de risques ont été développées,
dont certaines sont très orientées grandes entreprises ou
administrations.
La classification des risques
Les risques liés à l'information peuvent être classés selon 4 axes
principaux :
-
la criticité pour le système d'information ;
-
la probabilité de réalisation ;
-
l'impact sur les métiers;
-
la détectabilité.
Les approches d'analyse des risques
On caractérise quelquefois les approches en les classant en 3
catégories :
-
La méthode quantitative : elle implique de prendre un nombre
important de mesures pour calculer le coût des dommages,
idéalement en termes financiers, et les effets des mesures de
réduction prises. Cette analyse quantitative de risque nécessite
de s'appuyer sur des faits et des chiffres avérés et constitue
souvent un exercice long et délicat qui n'est pas approprié aux
risques des systèmes d'information.
-
La méthode qualitative : elle fournit une voie plus facile pour
mesurer la valeur des actifs et les probabilités de menaces. Ces
valeurs peuvent être décrites en utilisant des expressions simples
telles que "haut", "moyen" et "faible". Cette approche corrige les
imperfections de l'approche quantitative en réduisant
l'incertitude inhérente aux chiffres.
-
L'approche par base de connaissance : elle implique de réutiliser
les bonnes pratique en matière de connaissance des risques
d'organismes semblables (en taille, périmètre et/ou marché). En
complément de la méthode qualitative, elle permet d'aller vite
pour des risques «courants».
La gravité du risque informatique
On définit souvent la gravité d'une menace résultant d'un risque sur
4 niveaux (exemple Marion/Mehari) :
-
Insignifiant
-
Tolérable
-
Inacceptable (au sens que le Management de l'entreprise décide
de ne pas l'accepter)
-
Insupportable (au sens qu'une entreprise ne peut le supporter
financièrement, en terme d'imge, ...)
Comment gérer le risque ?
En matière de risk management, on distingue généralement 4 manières
de gérer le risque :
-
le contournement ou évitement, qui consiste à renoncer à
l'activité qui génère le risque ;
-
le contrôle du risque, qui consiste à en diminuer la probabilité,
par la mise en oeuvre d'une mesure de sécurité;
-
l'assurance ou l'auto-assurance (qui peut être ou non assortie de
financements spécifiques) ou le transfert non-assurantiel du
risque, exemple par le biais de clauses de renonciation à recours
;
-
et évidemment son acceptation.
retour
|