L'expression du but : fiche et exercices niveau C1 FLE
Gestion des risques
1. Unité 5
Maitrise des Risques
Auteur: Moussa DIOMANDE
Moussa DIOMANDE www.imatabidjan.com
Cours SIA-503 : Gouvernance des Systèmes d’Information
o Chapitre 2 : les fondements de la Gouvernance des SI Ecran 1 sur 19
2. Chapitre 2 : les fondements de la Gouvernance des SI
OBJECTIFS PEDAGOGIQUES
A la fin de ce chapitre, vous serez capables de :
Définir le risque
Comprendre et appréhender les risques
Comment réduire les risques
Moussa DIOMANDE www.imatabidjan.com
Ecran 2 sur 19
3. • Avec la généralisation de l’informatique, les
entreprises gèrent un patrimoine de données en
constante progression et potentiellement sensibles.
• La gestion des risques est définie par l’ISO comme
l’ensemble des activités coordonnées visant à diriger
et piloter un organisme vis-à-vis du risque. On
dégage en général trois finalités à la gestion des
risques pour les SI :
1. Améliorer la sécurisation des systèmes
d’information.
2. Justifier le budget alloué à la sécurisation du
système d’information.
3. Prouver la crédibilité du système d’information à
l’aide des analyses effectuées.
Unité 5– Maitrise des Risques
Qu’est ce qu’un risque en système d’information? Ecran 3 sur 19
Définition d’un risque
4. • Les phases de la démarche de gestion des risques sont les
suivantes : l'identification, la quantification, le traitement et le
contrôle. Les résultats de toutes ces phases doivent être
enregistrés et tenus à jour dans un dossier de gestion des
risques.
• L'analyse du risque s'appuie sur l'emploi prévu du dispositif et
sur l'identification de ses caractéristiques relatives à la
sécurité. Elle consiste à identifier les phénomènes dangereux
potentiels, leurs causes, puis à estimer le risque associé à
chacun d'eux.
• L'évaluation du risque consiste à déterminer si le risque est
acceptable ou non.
• En cas de risque inacceptable, une phase de maîtrise du
risque s'impose. Elle consiste à rechercher et mettre en
œuvre des mesures de réduction du risque, à évaluer les
risques résiduels, à analyser le rapport bénéfice/risque en cas
de risque résiduel jugé inacceptable. Une évaluation globale
de l'acceptabilité des risques résiduels, pris dans leur
ensemble, doit être menée.
• Enfin, on doit intégrer les informations de production et
post-production et l'expérience acquise si elles remettent en
cause tout ou partie de l'analyse initiale.
Quelles sont les fondements de la gestion des risques
Unité 5– Maitrise des Risques
Qu’est ce que le risque en système d’information? Ecran 4 sur 19
5. Le système d’information d’une organisation est exposé au risques suivant:
- Inadéquation des solutions informatiques. Ce risque apparait lorsque les applications
déployées ne répondent pas aux besoins.
- Mauvais paramétrage des règles de gestion. Ce risque correspond à une mauvaise
définition et traduction dans les applications des points de contrôle pour garantir la qualité et
l’exhaustivité des données sur le flux de données.
- Non-respect du principe de séparation des taches. La séparation des tâches consiste à
cloisonner les accès aux applications en fonction des taches exercées afin de segmenter les
tâches pour un meilleur contrôle.
- Indisponibilité des systèmes. Ce risque correspond à l’indisponibilité des applications et
des données en cas d’absence d’un plan de secours ou de sauvegarde des applications.
- Rupture de la piste d’audit. Ce risque apparait lorsque la traçabilité sur des flux de gestion
n’est plus possible. Ainsi, lorsqu’il n’est pas possible de remonter à la facture correspondant à
une écriture comptable, la piste d’audit est rompue.
- Non-respect des contraintes réglementaires. Ce risque correspond à l’incapacité d’une
entreprise à répondre aux exigences de la réglementation légale locale.
- ETC
Unité 5– Maitrise des Risques
Qu’est ce qu’un risque en système d’information? Ecran 5 sur 19
Les principaux risques liés au SI
6. • L’évaluation d’un risque se
détermine en fonction du niveau
de gravité et du niveau de
probabilité que le risque survienne
• Le risque est très élevé si la gravité
est importante, le niveau de
probabilités, de menaces qui pèsent
sur les actifs, est aussi important.
• Exemple: une inondation de la salle
de serveur à un niveau de gravité
Très Grave et le niveau de
probabilité improbable entraine un
risque de priorité 2 Pour
l’entreprise.
Comment évaluer les risques?
Unité 5– Maitrise des Risques
Quelles sont les fondements de la gestion des risque? Ecran 6 sur 19
7. EBIOS(Expression des Besoins et Identification des Objectifs de Sécurité)
• Il s’agit d’une méthode développée et maintenue par la DCSSI (Direction
Centrale de la Sécurité des Systèmes d’Information).
• EBIOS appréhende les risques de sécurité en tenant compte des trois blocs
interdépendants des concepts de gestion. La méthode travaille par
construction du risque, adoptant une prise en compte du contexte de
l’organisation cible, en privilégiant le périmètre du SI,
Quelles sont les fondements de la gestion des risque? Ecran 7 sur 19
Quelles sont les méthodes de gestion de risque?
MEHARI(Méthode Harmonisée d’Analyse de RIsques)
• MEHARI demeure une des méthodes d’analyse des risques les plus
utilisées actuellement. Elle est dérivée de deux autres méthodes
d’analyse des risques (MARION et MELISA).
• MEHARI se présente comme une véritable boîte à outils de la sécurité
des SI, permettant d’appréhender le risque de différentes manières au
sein d’une organisation, et composée de plusieurs modules.
OCTAVE (Operationally Critical Threat, Asset, and Vulnerability
Evaluation)
• Cette méthode d’évaluation du risque est publiée par le
Software Engineering Institute (SEI) de la Carnegie Mellon
University.
• OCTAVE est une méthode d’évaluation des vulnérabilités et des
menaces sur les actifs opérationnels. Une fois ces derniers
identifiés, la méthode permet de mesurer les menaces et les
vulnérabilités pesant sur eux.
Unité 5– Maitrise des Risques
8. Si vous aviez des questions et/ou besoin d’explication envoyez moi un mail et je
vous réponds dans la soirée.
Moussa DIOMANDE www.imatabidjan.com
Stop and Think ? Ecran 8 sur 13
Unité 5– Maitrise des Risques
9. Quelle est l’importance de la
communication dans la gestion
des Risques
NB: Répondez dans le forum consacré au chapitre 2 & unité 5.
QUESTION ?
Fin de l’unité 5 Ecran 9 sur 13
Moussa DIOMANDE www.imatabidjan.com
Unité 5– Maitrise des Risques