SlideShare a Scribd company logo
1 of 26
Download to read offline
Gestion des risques
LE RISQUE
2
"Risque" selon ISO
ISO Guide 73, Management du risque – Vocabulaire
2002 "Combinaison de la probabilité d’un événement et de ses conséquences"
2009 "Effet de l'incertitude sur l'atteinte des objectifs"
– Un effet = un écart, positif ou négatif, par rapport à une attente
– Un risque est souvent exprimé en termes
• des conséquences d'un événement et
• de sa vraisemblance ["likelihood"]
3
Sources : ISO Guide 73:2002, Management du risque - Vocabulaire
ISO Guide 73:2009, Management du risque - Vocabulaire
Types de risques liés à l'informatique
Source : ISACA (2009), "The Risk IT Framework", Figure 2
ou ISACA (2014), "COBIT 5 for Risk", Figure 5
Opportunités
d'apporter
de la valeur
Risques des
projets
Risques
opérationnels
4
Menace
Vulnérabilité
Faiblesse dans une défense
Conséquences
Impacts sur les actifs
Défenses en
profondeur
Le modèle du « fromage suisse »
"Swiss cheese model"
Basé sur : Reason, J. (1997), "Managing The Risks of Organisational Accidents"
5
LE MANAGEMENT DES RISQUES
6
Normes de management des risques
Evolution
BS 7799-3
:2006
EBIOS 19972004
OCTAVE 19992007
et d'autres influences
ISO 31000
:2009
AS/NZS 4360
:1995
:2004
ISO Guide 73
:2002 :2009
Vocabulaire
ISO 27005
:2011
ISO 13335-1
:2004
ISO 13335-3
:1998
ISO 13335-4
:2000
ISO 27005
:2008
Gestion des risques
(entreprise)
Gestion des risques
(sécurité de
l'information)
7
Management des risques
Le processus selon ISO 31000:2009 (et ISO 27005:2011)
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
Processus similaire : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 8
Etablissement du contexte
" ... définition
du domaine d'application ainsi que
des critères de risque ..."
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
9
Identification du risque
"processus de recherche, de
reconnaissance et de description
des risques"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
10
Cette étape
peut faire appel
à la créativité !
Identification du risque
Exemple (méthode CORAS) : Identification des scénarios de risque
11
Basé sur : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
Identification du risque
Exemple (méthode CORAS) : Identification des vulnérabilités
12
Source : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
Analyse du risque
• Vraisemblance
• Conséquence(s)
"comprendre la nature d'un risque et
... déterminer le niveau de risque"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
13
Conséquence
Critique
Majeure
Modérée
Mineure
Insignifiante
Très probableProbablePossibleNégligeable
Analyse des risques
Exemple : résumé de l'analyse sous forme d'une matrice des risques
R1
R6
R2
R3R8
R7R4 R5
Vraisemblance
14
Peu probable
Evaluation du risque
"comparaison des résultats de
l'analyse du risque avec les critères
de risque afin de déterminer si le
risque et/ou son importance sont
acceptables ou tolérables"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
15
Conséquence
Critique
Majeure
Modérée
Mineure
Insignifiante
Très probableProbablePossiblePeu probableNégligeable
Evaluation des risques
Exemple : résumé de l'évaluation sous forme d'une matrice des risques
Vraisemblance
R1
R6
R2
R3R8
R7R4 R5
= Priorité 1
= Priorité 2
= Acceptable
16
Traitement du risque
"processus destiné à modifier un risque"
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
17
Traitement du risque
Choix de la stratégie de traitement
Basé sur : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information
18
Traitement du risque
Acceptation du risque résiduel après réduction
Risque
actuel
Risque
résiduel
Réduction du
risque due
au
traitement
proposé
Traitement
du risque
Niveau de risque "acceptable"
Basé sur : ISO/IEC 13335-1:2004, Concepts and models for ICT security management
19
Traitement du risque
Acceptation du traitement
Réduction du risque
= (Risque initial) – (Risque résiduel)
Coût du traitement proposé
20
>
Principe de proportionnalité
Plan de traitement des risques
Exemple
Action A
2016
A+1
2017
A+2
2018
Coûts
(mandats,
achats)
Effort
métier
Effort
administratif
DSI
Effort
technique
DSI
Délai
1. Analyser & évaluer les risques [en cours] 15kFr 3 jh 20 jh - 02.2016
2. Inventorier la règlementation applicable - 3 jh 1 jh - 04.2016
3. Elaborer la Politique générale de sécurité 15kFr 5 jh 10 jh - 09.2016
4. Elaborer une charte sur l'utilisation de l'IT - 5 jh 5 jh - 12.2016
5. Processus de tests périodiques de la sécurité 30kFr/an - 5 jh +
10 jh/an
10 jh/an 06.2016
6. Mettre sur pied un programme de sensibilisation
InfoSéc internalisé
15kFr 5 jh +
1 jh/an
5 jh +
10 jh/an
- 12.2016
7. Approfondir l'analyse BIA
(pré-requis pour la démarche DRP)
15kFr 10 jh 10 jh - 04.2017
etc. etc. etc.
21
Le processus est itératif !
Source : ISO 31000:2009, Management du risque — Principes et lignes directrices
22
RÉFÉRENCES
23
Informatique Sécurité de l'info,
Sécurité informatique
Management du risque
Entreprise
 ISO 31000
 COSO ERM
•Risk IT + COBIT 4.1
•COBIT 5 for Risk
•ISO 27005
•OCTAVE family
•EBIOS, MEHARI
•CORAS
•ENISA
•CPI-RISC
Développement
 STRIDE, DREAD, ...
Audit / Gouvernance •CobiT 4.1 + Val IT
•CobiT Quickstart
•COBIT 5
• Gouvernance: ISO 38500
• Audit: ISO 27007
• Audit: ISO 27008
• Gouvernance: ISO 27014
Bonnes pratiques •ITIL, ... •ISO 27002
Certification •ISO 20000, ... •ISO 27001
Quelques méthodes et normes
24
Références
Vocabulaire ISO
Les normes sont payantes, mais un extrait – contenant toutes les définitions
des termes – peut être consulté gratuitement ici :
• ISO Guide 73
Management du risque – Vocabulaire
– https://www.iso.org/obp/ui/#iso:std:iso:guide:73:ed-1:v1:fr
• ISO/CEI 27000
Systèmes de management de la sécurité de l'information – Vue
d'ensemble et vocabulaire
– https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-3:v1:fr
25
Références
Méthodes simples
• Méthode d'ENISA (European Union Agency for Network and Information Security)
– http://www.enisa.europa.eu/activities/risk-management/current-risk/risk-
management-inventory/files/deliverables [Documentation complète en français, anglais, etc.]
• CORAS - méthode et outil graphique
– http://coras.sourceforge.net/
– Lund, M.S., Solhaug, B., Stølen, K. (2011), "Model-Driven Risk Analysis, The CORAS
Approach", Springer, ISBN 978-3-642-12323-8
Chapter 3 - A Guided Tour of the CORAS Method :
http://www.springer.com/cda/content/document/cda_downloaddocument/978364
2123221-c3.pdf [Documentation complète, en anglais]
• OCTAVE Allegro - la méthode la plus simple de la famille "OCTAVE"
– http://www.cert.org/archive/pdf/07tr012.pdf [Méthode complète & work-sheets, en anglais]
• CPI-RISC - méthode rapide basée sur l'évaluation du niveau de maturité
– http://cpi-risc.org/en/Downloads.html [Documentation partielle, en anglais]
26

More Related Content

What's hot

Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours -  ibtissam el hassani-2015-2016Management des risques - Support de cours -  ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016ibtissam el hassani
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif ibtissam el hassani
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet Es-sahli bilal
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesOlivier Pinette
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetChef De Projet Détendu
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIPECB
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographieibtissam el hassani
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
 L’organisation et la formalisation du management des risques selon l’ISO 31000  L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000 PECB
 
Fiche 4 management des risques
Fiche  4    management des risquesFiche  4    management des risques
Fiche 4 management des risquesHalim ARROUDJ
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risquesMariem SELLAMI
 
Evaluer les risques dans un projet
Evaluer les risques dans un projetEvaluer les risques dans un projet
Evaluer les risques dans un projetClément Dussarps
 
Les tableaux de bord & les indicateurs de performance
Les tableaux de bord & les indicateurs de performanceLes tableaux de bord & les indicateurs de performance
Les tableaux de bord & les indicateurs de performanceAhmed Mesellem
 
Management des risques
Management des risquesManagement des risques
Management des risquesyounes elhaiba
 
Gestion des risques_demarche
Gestion des risques_demarcheGestion des risques_demarche
Gestion des risques_demarcheRémi Bachelet
 
Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)
Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)
Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)Moulin de COLAGNE
 

What's hot (20)

Management des risques - Support de cours - ibtissam el hassani-2015-2016
Management des risques - Support de cours -  ibtissam el hassani-2015-2016Management des risques - Support de cours -  ibtissam el hassani-2015-2016
Management des risques - Support de cours - ibtissam el hassani-2015-2016
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif Management des risques 10 : Aspect Réglementaire et Normatif
Management des risques 10 : Aspect Réglementaire et Normatif
 
management-risques-projet
 management-risques-projet  management-risques-projet
management-risques-projet
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Mesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les RisquesMesure & Analyse: Mesurer les Risques
Mesure & Analyse: Mesurer les Risques
 
Maîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projetMaîtrise de risques en gestion de projet
Maîtrise de risques en gestion de projet
 
Cartographie des risques - Exemple pratique en 5 étapes, Kjell Larsson, Alger...
Cartographie des risques - Exemple pratique en 5 étapes, Kjell Larsson, Alger...Cartographie des risques - Exemple pratique en 5 étapes, Kjell Larsson, Alger...
Cartographie des risques - Exemple pratique en 5 étapes, Kjell Larsson, Alger...
 
Management des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SIManagement des risques IT, levier de gouvernance de la sécurité des SI
Management des risques IT, levier de gouvernance de la sécurité des SI
 
Management des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et CartographieManagement des risques 9 : Risques d’Entreprise et Cartographie
Management des risques 9 : Risques d’Entreprise et Cartographie
 
L’organisation et la formalisation du management des risques selon l’ISO 31000
 L’organisation et la formalisation du management des risques selon l’ISO 31000  L’organisation et la formalisation du management des risques selon l’ISO 31000
L’organisation et la formalisation du management des risques selon l’ISO 31000
 
Fiche 4 management des risques
Fiche  4    management des risquesFiche  4    management des risques
Fiche 4 management des risques
 
La gestion des risques
La gestion des risquesLa gestion des risques
La gestion des risques
 
Evaluer les risques dans un projet
Evaluer les risques dans un projetEvaluer les risques dans un projet
Evaluer les risques dans un projet
 
Les tableaux de bord & les indicateurs de performance
Les tableaux de bord & les indicateurs de performanceLes tableaux de bord & les indicateurs de performance
Les tableaux de bord & les indicateurs de performance
 
METHODE OCTAVE
METHODE OCTAVE METHODE OCTAVE
METHODE OCTAVE
 
Risque achat , scm
Risque achat , scmRisque achat , scm
Risque achat , scm
 
Management des risques
Management des risquesManagement des risques
Management des risques
 
Gestion des risques_demarche
Gestion des risques_demarcheGestion des risques_demarche
Gestion des risques_demarche
 
Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)
Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)
Amélioration continue : PDCA ou roue de Deming (AQUAM Conseil)
 

Viewers also liked

Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risquesCarine Pascal
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risquesmoussadiom
 
Management des risque etude de cas 1 - MOSAR/MADS
Management des risque   etude de cas 1 - MOSAR/MADSManagement des risque   etude de cas 1 - MOSAR/MADS
Management des risque etude de cas 1 - MOSAR/MADSibtissam el hassani
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliShellmates
 
Gestion du risque dans un projet Agile
Gestion du risque dans un projet AgileGestion du risque dans un projet Agile
Gestion du risque dans un projet AgileBasile du Plessis
 
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...PMI-Montréal
 
Comment gérer sa relation commerciale
Comment gérer sa relation commercialeComment gérer sa relation commerciale
Comment gérer sa relation commercialeFacilityse Conseil
 
Tesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbTesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbRicardo Urbina Miranda
 

Viewers also liked (12)

Identifier les risques
Identifier les risquesIdentifier les risques
Identifier les risques
 
Gestion des risques
Gestion des risquesGestion des risques
Gestion des risques
 
Management des risque etude de cas 1 - MOSAR/MADS
Management des risque   etude de cas 1 - MOSAR/MADSManagement des risque   etude de cas 1 - MOSAR/MADS
Management des risque etude de cas 1 - MOSAR/MADS
 
BSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis RemliBSides Algiers - Normes ISO 2700x - Badis Remli
BSides Algiers - Normes ISO 2700x - Badis Remli
 
ISO 27500
ISO 27500ISO 27500
ISO 27500
 
Gestion du risque dans un projet Agile
Gestion du risque dans un projet AgileGestion du risque dans un projet Agile
Gestion du risque dans un projet Agile
 
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
La valeur ajoutée de la gestion des risques - Pour l'entreprise, le chargé de...
 
Comment gérer sa relation commerciale
Comment gérer sa relation commercialeComment gérer sa relation commerciale
Comment gérer sa relation commerciale
 
Renders
RendersRenders
Renders
 
Netclu09 27005
Netclu09 27005Netclu09 27005
Netclu09 27005
 
Orange consulting en 3 minutes
Orange consulting en 3 minutesOrange consulting en 3 minutes
Orange consulting en 3 minutes
 
Tesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pbTesis r urbina_abril2012_v3_presentacion_pb
Tesis r urbina_abril2012_v3_presentacion_pb
 

Similar to Gestion des risques

Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...PECB
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015Alain Huet
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...PMI-Montréal
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2ISACA Chapitre de Québec
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerThierry Pertus
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internetproximit
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk ManagerComsoce
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerComsoce
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialearmelleguillermet
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéPECB
 
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...Alban Jarry
 
Conference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERMConference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERMAlban Jarry
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERMDavid Dubois
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt convertiIsmailElouarga
 
2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnels2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnelsFatima Zahra z
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014Abdeljalil AGNAOU
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informationsNetSecure Day
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15Alain Huet
 

Similar to Gestion des risques (20)

Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
Le pilotage des risques avec Méhari-Standard (2017) : Indicateurs et tableau ...
 
Ichec entrepr ah 2015
Ichec entrepr ah 2015Ichec entrepr ah 2015
Ichec entrepr ah 2015
 
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
MATINÉE PMI : La gestion des risques de sécurité de l'information dans les pr...
 
Université laval présentation sur la gestion des risques 31-03-2015 vf2
Université laval   présentation sur la gestion des risques 31-03-2015 vf2Université laval   présentation sur la gestion des risques 31-03-2015 vf2
Université laval présentation sur la gestion des risques 31-03-2015 vf2
 
Conix - EBIOS Risk Manager
Conix - EBIOS Risk ManagerConix - EBIOS Risk Manager
Conix - EBIOS Risk Manager
 
Sécurité Internet
Sécurité InternetSécurité Internet
Sécurité Internet
 
EBIOS Risk Manager
EBIOS Risk ManagerEBIOS Risk Manager
EBIOS Risk Manager
 
Présentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk ManagerPrésentation Méthode EBIOS Risk Manager
Présentation Méthode EBIOS Risk Manager
 
ASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation socialeASIS Training #4 - Gestion des risques et innovation sociale
ASIS Training #4 - Gestion des risques et innovation sociale
 
ISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformitéISO/IEC 27005 : processus de traitement des risques et conformité
ISO/IEC 27005 : processus de traitement des risques et conformité
 
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...
Conference Actuaris - Retour d’expérience client sur Solvabilité 2, ORSA, Act...
 
Conference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERMConference EIFR - la conception d un systeme de gestion des risques ERM
Conference EIFR - la conception d un systeme de gestion des risques ERM
 
Développer la culture ERM
Développer la culture ERMDévelopper la culture ERM
Développer la culture ERM
 
Risk management - FR
Risk management - FRRisk management - FR
Risk management - FR
 
Presentation ppt converti
Presentation ppt convertiPresentation ppt converti
Presentation ppt converti
 
2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnels2009264111856 03 hlnedufourrisquesoprationnels
2009264111856 03 hlnedufourrisquesoprationnels
 
Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-Sécurité vs Continuité -rev2-
Sécurité vs Continuité -rev2-
 
AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014AMAN - JNS4 Management sécurité 13 Mai 2014
AMAN - JNS4 Management sécurité 13 Mai 2014
 
#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations#NSD15 - Intelligence juridique & systèmes d'informations
#NSD15 - Intelligence juridique & systèmes d'informations
 
Infosafe ah 2014 15
Infosafe ah 2014 15Infosafe ah 2014 15
Infosafe ah 2014 15
 

More from eGov Innovation Center

eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...
eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...
eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...eGov Innovation Center
 
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...eGov Innovation Center
 
eGov Workshop - Introduction à la signature électronique - Leo Bolshanin
eGov Workshop - Introduction à la signature électronique - Leo BolshanineGov Workshop - Introduction à la signature électronique - Leo Bolshanin
eGov Workshop - Introduction à la signature électronique - Leo BolshanineGov Innovation Center
 
Ouverture eGov Workshop - Signature électronique
Ouverture eGov Workshop - Signature électronique Ouverture eGov Workshop - Signature électronique
Ouverture eGov Workshop - Signature électronique eGov Innovation Center
 
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc Beuchat
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc BeuchateGov Workshop - Digital Signature in the Blockchain - Jean-Luc Beuchat
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc BeuchateGov Innovation Center
 
Open Data : les données du territoire en libre-service - SITG
Open Data : les données du territoire en libre-service - SITGOpen Data : les données du territoire en libre-service - SITG
Open Data : les données du territoire en libre-service - SITGeGov Innovation Center
 
Préservation et accès aux données du CERN - Jean-Yves Le Meur
Préservation et accès aux données du CERN - Jean-Yves Le MeurPréservation et accès aux données du CERN - Jean-Yves Le Meur
Préservation et accès aux données du CERN - Jean-Yves Le MeureGov Innovation Center
 
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...eGov Innovation Center
 
Protection des données et droit du travail - Juliette Ancelle
Protection des données et droit du travail - Juliette AncelleProtection des données et droit du travail - Juliette Ancelle
Protection des données et droit du travail - Juliette AncelleeGov Innovation Center
 
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...eGov Innovation Center
 
La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...eGov Innovation Center
 
Introduction à Blockchain, Bitcoin, Ethereum
Introduction à Blockchain, Bitcoin, EthereumIntroduction à Blockchain, Bitcoin, Ethereum
Introduction à Blockchain, Bitcoin, EthereumeGov Innovation Center
 
e-factures: avantageux pour vous, pratique pour vos citoyens
e-factures: avantageux pour vous, pratique pour vos citoyense-factures: avantageux pour vous, pratique pour vos citoyens
e-factures: avantageux pour vous, pratique pour vos citoyenseGov Innovation Center
 
La carte professionnelle, un outil de lutte contre le travail au noir
La carte professionnelle, un outil de lutte contre le travail au noirLa carte professionnelle, un outil de lutte contre le travail au noir
La carte professionnelle, un outil de lutte contre le travail au noireGov Innovation Center
 
Smart City – pour mieux comprendre les besoins
Smart City – pour mieux comprendre les besoinsSmart City – pour mieux comprendre les besoins
Smart City – pour mieux comprendre les besoinseGov Innovation Center
 

More from eGov Innovation Center (20)

eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...
eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...
eGov Workshop - Contrôle de la validitié d'un document grâce à la signature é...
 
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...
eGov Workshop - Etude de cas sur la signature électronique via Skribble - Mik...
 
eGov Workshop - Introduction à la signature électronique - Leo Bolshanin
eGov Workshop - Introduction à la signature électronique - Leo BolshanineGov Workshop - Introduction à la signature électronique - Leo Bolshanin
eGov Workshop - Introduction à la signature électronique - Leo Bolshanin
 
Ouverture eGov Workshop - Signature électronique
Ouverture eGov Workshop - Signature électronique Ouverture eGov Workshop - Signature électronique
Ouverture eGov Workshop - Signature électronique
 
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc Beuchat
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc BeuchateGov Workshop - Digital Signature in the Blockchain - Jean-Luc Beuchat
eGov Workshop - Digital Signature in the Blockchain - Jean-Luc Beuchat
 
Open Data : les données du territoire en libre-service - SITG
Open Data : les données du territoire en libre-service - SITGOpen Data : les données du territoire en libre-service - SITG
Open Data : les données du territoire en libre-service - SITG
 
Préservation et accès aux données du CERN - Jean-Yves Le Meur
Préservation et accès aux données du CERN - Jean-Yves Le MeurPréservation et accès aux données du CERN - Jean-Yves Le Meur
Préservation et accès aux données du CERN - Jean-Yves Le Meur
 
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...La protection des données: de la fermeture à l'ouverture - Fédération des ent...
La protection des données: de la fermeture à l'ouverture - Fédération des ent...
 
Protection des données et droit du travail - Juliette Ancelle
Protection des données et droit du travail - Juliette AncelleProtection des données et droit du travail - Juliette Ancelle
Protection des données et droit du travail - Juliette Ancelle
 
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...
eGov - La Protection des données de la fermeture à l'ouverture - Olivia Guyot...
 
La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...La protection des données selon la LIPAD - Préposé cantonal à la protection ...
La protection des données selon la LIPAD - Préposé cantonal à la protection ...
 
Introduction à Blockchain, Bitcoin, Ethereum
Introduction à Blockchain, Bitcoin, EthereumIntroduction à Blockchain, Bitcoin, Ethereum
Introduction à Blockchain, Bitcoin, Ethereum
 
Le paiement par mobile
Le paiement par mobileLe paiement par mobile
Le paiement par mobile
 
e-factures: avantageux pour vous, pratique pour vos citoyens
e-factures: avantageux pour vous, pratique pour vos citoyense-factures: avantageux pour vous, pratique pour vos citoyens
e-factures: avantageux pour vous, pratique pour vos citoyens
 
Paiements électronique
Paiements électroniquePaiements électronique
Paiements électronique
 
User Experience & eGovernment for all
User Experience & eGovernment for allUser Experience & eGovernment for all
User Experience & eGovernment for all
 
Digital Seniors
Digital SeniorsDigital Seniors
Digital Seniors
 
La carte professionnelle, un outil de lutte contre le travail au noir
La carte professionnelle, un outil de lutte contre le travail au noirLa carte professionnelle, un outil de lutte contre le travail au noir
La carte professionnelle, un outil de lutte contre le travail au noir
 
Des sites vraiment faciles?
Des sites vraiment faciles?Des sites vraiment faciles?
Des sites vraiment faciles?
 
Smart City – pour mieux comprendre les besoins
Smart City – pour mieux comprendre les besoinsSmart City – pour mieux comprendre les besoins
Smart City – pour mieux comprendre les besoins
 

Recently uploaded

The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)IES VE
 
Les Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence ArtificielleLes Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence ArtificielleErol GIRAUDY
 
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...Infopole1
 
KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311Erol GIRAUDY
 
Mes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examensMes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examensErol GIRAUDY
 
Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en BootstrapInstallation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en BootstrapMaxime Huran 🌈
 

Recently uploaded (6)

The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)The Importance of Indoor Air Quality (French)
The Importance of Indoor Air Quality (French)
 
Les Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence ArtificielleLes Metiers de l'Intelligence Artificielle
Les Metiers de l'Intelligence Artificielle
 
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
Workshop l'IA au service de l'industrie - Présentation générale - Extra 14...
 
KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311KIT-COPILOT and more Article du 20240311
KIT-COPILOT and more Article du 20240311
 
Mes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examensMes succès sur Microsoft LEARN et examens
Mes succès sur Microsoft LEARN et examens
 
Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en BootstrapInstallation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
Installation de Sylius 2.0 et découverte du nouveau backoffice en Bootstrap
 

Gestion des risques

  • 3. "Risque" selon ISO ISO Guide 73, Management du risque – Vocabulaire 2002 "Combinaison de la probabilité d’un événement et de ses conséquences" 2009 "Effet de l'incertitude sur l'atteinte des objectifs" – Un effet = un écart, positif ou négatif, par rapport à une attente – Un risque est souvent exprimé en termes • des conséquences d'un événement et • de sa vraisemblance ["likelihood"] 3 Sources : ISO Guide 73:2002, Management du risque - Vocabulaire ISO Guide 73:2009, Management du risque - Vocabulaire
  • 4. Types de risques liés à l'informatique Source : ISACA (2009), "The Risk IT Framework", Figure 2 ou ISACA (2014), "COBIT 5 for Risk", Figure 5 Opportunités d'apporter de la valeur Risques des projets Risques opérationnels 4
  • 5. Menace Vulnérabilité Faiblesse dans une défense Conséquences Impacts sur les actifs Défenses en profondeur Le modèle du « fromage suisse » "Swiss cheese model" Basé sur : Reason, J. (1997), "Managing The Risks of Organisational Accidents" 5
  • 6. LE MANAGEMENT DES RISQUES 6
  • 7. Normes de management des risques Evolution BS 7799-3 :2006 EBIOS 19972004 OCTAVE 19992007 et d'autres influences ISO 31000 :2009 AS/NZS 4360 :1995 :2004 ISO Guide 73 :2002 :2009 Vocabulaire ISO 27005 :2011 ISO 13335-1 :2004 ISO 13335-3 :1998 ISO 13335-4 :2000 ISO 27005 :2008 Gestion des risques (entreprise) Gestion des risques (sécurité de l'information) 7
  • 8. Management des risques Le processus selon ISO 31000:2009 (et ISO 27005:2011) Source : ISO 31000:2009, Management du risque — Principes et lignes directrices Processus similaire : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 8
  • 9. Etablissement du contexte " ... définition du domaine d'application ainsi que des critères de risque ..." Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 9
  • 10. Identification du risque "processus de recherche, de reconnaissance et de description des risques" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 10 Cette étape peut faire appel à la créativité !
  • 11. Identification du risque Exemple (méthode CORAS) : Identification des scénarios de risque 11 Basé sur : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
  • 12. Identification du risque Exemple (méthode CORAS) : Identification des vulnérabilités 12 Source : Lund, M.S. et al (2011), "Model-Driven Risk Analysis, The CORAS Approach"
  • 13. Analyse du risque • Vraisemblance • Conséquence(s) "comprendre la nature d'un risque et ... déterminer le niveau de risque" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 13
  • 14. Conséquence Critique Majeure Modérée Mineure Insignifiante Très probableProbablePossibleNégligeable Analyse des risques Exemple : résumé de l'analyse sous forme d'une matrice des risques R1 R6 R2 R3R8 R7R4 R5 Vraisemblance 14 Peu probable
  • 15. Evaluation du risque "comparaison des résultats de l'analyse du risque avec les critères de risque afin de déterminer si le risque et/ou son importance sont acceptables ou tolérables" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 15
  • 16. Conséquence Critique Majeure Modérée Mineure Insignifiante Très probableProbablePossiblePeu probableNégligeable Evaluation des risques Exemple : résumé de l'évaluation sous forme d'une matrice des risques Vraisemblance R1 R6 R2 R3R8 R7R4 R5 = Priorité 1 = Priorité 2 = Acceptable 16
  • 17. Traitement du risque "processus destiné à modifier un risque" Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 17
  • 18. Traitement du risque Choix de la stratégie de traitement Basé sur : ISO 27005:2011, Gestion des risques liés à la sécurité de l'information 18
  • 19. Traitement du risque Acceptation du risque résiduel après réduction Risque actuel Risque résiduel Réduction du risque due au traitement proposé Traitement du risque Niveau de risque "acceptable" Basé sur : ISO/IEC 13335-1:2004, Concepts and models for ICT security management 19
  • 20. Traitement du risque Acceptation du traitement Réduction du risque = (Risque initial) – (Risque résiduel) Coût du traitement proposé 20 > Principe de proportionnalité
  • 21. Plan de traitement des risques Exemple Action A 2016 A+1 2017 A+2 2018 Coûts (mandats, achats) Effort métier Effort administratif DSI Effort technique DSI Délai 1. Analyser & évaluer les risques [en cours] 15kFr 3 jh 20 jh - 02.2016 2. Inventorier la règlementation applicable - 3 jh 1 jh - 04.2016 3. Elaborer la Politique générale de sécurité 15kFr 5 jh 10 jh - 09.2016 4. Elaborer une charte sur l'utilisation de l'IT - 5 jh 5 jh - 12.2016 5. Processus de tests périodiques de la sécurité 30kFr/an - 5 jh + 10 jh/an 10 jh/an 06.2016 6. Mettre sur pied un programme de sensibilisation InfoSéc internalisé 15kFr 5 jh + 1 jh/an 5 jh + 10 jh/an - 12.2016 7. Approfondir l'analyse BIA (pré-requis pour la démarche DRP) 15kFr 10 jh 10 jh - 04.2017 etc. etc. etc. 21
  • 22. Le processus est itératif ! Source : ISO 31000:2009, Management du risque — Principes et lignes directrices 22
  • 24. Informatique Sécurité de l'info, Sécurité informatique Management du risque Entreprise  ISO 31000  COSO ERM •Risk IT + COBIT 4.1 •COBIT 5 for Risk •ISO 27005 •OCTAVE family •EBIOS, MEHARI •CORAS •ENISA •CPI-RISC Développement  STRIDE, DREAD, ... Audit / Gouvernance •CobiT 4.1 + Val IT •CobiT Quickstart •COBIT 5 • Gouvernance: ISO 38500 • Audit: ISO 27007 • Audit: ISO 27008 • Gouvernance: ISO 27014 Bonnes pratiques •ITIL, ... •ISO 27002 Certification •ISO 20000, ... •ISO 27001 Quelques méthodes et normes 24
  • 25. Références Vocabulaire ISO Les normes sont payantes, mais un extrait – contenant toutes les définitions des termes – peut être consulté gratuitement ici : • ISO Guide 73 Management du risque – Vocabulaire – https://www.iso.org/obp/ui/#iso:std:iso:guide:73:ed-1:v1:fr • ISO/CEI 27000 Systèmes de management de la sécurité de l'information – Vue d'ensemble et vocabulaire – https://www.iso.org/obp/ui/#iso:std:iso-iec:27000:ed-3:v1:fr 25
  • 26. Références Méthodes simples • Méthode d'ENISA (European Union Agency for Network and Information Security) – http://www.enisa.europa.eu/activities/risk-management/current-risk/risk- management-inventory/files/deliverables [Documentation complète en français, anglais, etc.] • CORAS - méthode et outil graphique – http://coras.sourceforge.net/ – Lund, M.S., Solhaug, B., Stølen, K. (2011), "Model-Driven Risk Analysis, The CORAS Approach", Springer, ISBN 978-3-642-12323-8 Chapter 3 - A Guided Tour of the CORAS Method : http://www.springer.com/cda/content/document/cda_downloaddocument/978364 2123221-c3.pdf [Documentation complète, en anglais] • OCTAVE Allegro - la méthode la plus simple de la famille "OCTAVE" – http://www.cert.org/archive/pdf/07tr012.pdf [Méthode complète & work-sheets, en anglais] • CPI-RISC - méthode rapide basée sur l'évaluation du niveau de maturité – http://cpi-risc.org/en/Downloads.html [Documentation partielle, en anglais] 26