Post on 03-Apr-2015
11
PLAN DU COURSPLAN DU COURS
IV.IV. Outils de traitement des risquesOutils de traitement des risques
V.V. Dynamique de réduction des risquesDynamique de réduction des risques
Prochain cours :Prochain cours :
IV.IV. Les SIGRLes SIGR
V.V. Gestion de criseGestion de crise
22
PLAN DU COURSPLAN DU COURS
Outils de traitement des risquesOutils de traitement des risques
1.1. Rappel sur le choix des instrumentsRappel sur le choix des instruments
2.2. Instruments de réductionInstruments de réduction
3.3. Instruments de transfertInstruments de transfert
4.4. Impacts des deux types d’instrumentsImpacts des deux types d’instruments
5.5. Gestion des risques spéculatifsGestion des risques spéculatifs
33
IV Outils de traitement des risquesIV Outils de traitement des risques
1. Rappel sur le choix des instruments1. Rappel sur le choix des instruments
Se référer à la liste des instruments évoqués Se référer à la liste des instruments évoqués
Recenser ceux qui s’appliquent aux risques Recenser ceux qui s’appliquent aux risques
identifiésidentifiés
Analyser les principaux coûts et avantages des Analyser les principaux coûts et avantages des
différents instrumentsdifférents instruments
Décrire les principales caractéristiques et Décrire les principales caractéristiques et
différences des instrumentsdifférences des instruments
Définir les moyens de leur mise en œuvreDéfinir les moyens de leur mise en œuvre
44
IV Outils de traitement des risquesIV Outils de traitement des risques
PréventioPréventio
nn
Protection Protection
Transfert Transfert
Rétention Rétention
Possibilité d’associer les deux types Possibilité d’associer les deux types
d’instruments d’instruments
Choisir la combinaison la plus fiable et Choisir la combinaison la plus fiable et
économiqueéconomique
55
IV Outils de traitement des risquesIV Outils de traitement des risques
2. Instruments de réduction : 2. Instruments de réduction : préventionprévention
Agir sur les causesAgir sur les causes
F F ou ou PREVENTIONPREVENTION
F = 0F = 0
- Evitement ou suppressionEvitement ou suppression
66
IV Outils de traitement des risquesIV Outils de traitement des risques
2. Instruments de réduction :2. Instruments de réduction : prévention prévention
F = 0F = 0
- Transfert contractuel pour Transfert contractuel pour
réductionréduction
« cédant »« cédant » « «
acceptant »acceptant »
responsabilité financière et légaleresponsabilité financière et légale
77
IV Outils de traitement des risquesIV Outils de traitement des risques
2. Instruments de réduction : 2. Instruments de réduction : prévention prévention
F > 0F > 0
- Formations, sensibilisationsFormations, sensibilisations
- Référentiels de sécuritéRéférentiels de sécurité
88
IV Outils de traitement des risquesIV Outils de traitement des risques
2. Instruments de réduction : 2. Instruments de réduction : protectionprotection
Agir sur les conséquencesAgir sur les conséquences
G G ou ou PROTECTIONPROTECTION
Ségrégation (protection passive)Ségrégation (protection passive)
- par séparation par séparation
- par duplicationpar duplication
99
IV Outils de traitement des risquesIV Outils de traitement des risques
2. Instruments de réduction : 2. Instruments de réduction : protectionprotection
SégrégationSégrégation
- par séparation par séparation
►►Disperser sur plusieurs sites une même Disperser sur plusieurs sites une même
activitéactivité
Inconvénient :Inconvénient :
- surinvestissement et surcoûts de productionsurinvestissement et surcoûts de production
- Accroissement de la fréquenceAccroissement de la fréquence
1010
IV Outils de traitement des risquesIV Outils de traitement des risques
2. Instruments de réduction : 2. Instruments de réduction : protectionprotection
SégrégationSégrégation
- par duplicationpar duplication
► ► capacités en « stand by » (ex : sites de capacités en « stand by » (ex : sites de
secours)secours)
InconvénientInconvénient : surinvestissement : surinvestissement
1111
IV Outils de traitement des risquesIV Outils de traitement des risques
2. Instruments de réduction : 2. Instruments de réduction : protectionprotection
Protection activeProtection active
- Gestion de criseGestion de crise
1212
IV Outils de traitement des risquesIV Outils de traitement des risques
3. Instruments de financement3. Instruments de financement
Instruments de rétentionInstruments de rétention
Instrument de transfertInstrument de transfert
-> Pour financer les risques résiduels -> Pour financer les risques résiduels
(notamment)(notamment)
1313
IV Outils de traitement des risquesIV Outils de traitement des risques
3. Instruments de financement : 3. Instruments de financement : rétentionrétention
Instruments de rétentionInstruments de rétention
Traitement courantTraitement courant
ProvisionsProvisions
Emprunt Emprunt
CaptiveCaptive
Rétention forcée Rétention forcée ## Rétention volontaire Rétention volontaire
1414
IV Outils de traitement des risquesIV Outils de traitement des risques
3. Instruments de financement : 3. Instruments de financement : rétentionrétention
Traitement courantTraitement courant
- Méthode simple et économiqueMéthode simple et économique
- Attention à la disponibilité des fondsAttention à la disponibilité des fonds
- Davantage pour des frais récurrentsDavantage pour des frais récurrents
1515
IV Outils de traitement des risquesIV Outils de traitement des risques
3. Instruments de financement : 3. Instruments de financement : rétentionrétention
Provisions Provisions
- Non financéesNon financées
►Sous forme de charge courante Sous forme de charge courante
►pas de contrepartie à l’actif en trésoreriepas de contrepartie à l’actif en trésorerie
- Financées Financées
►Sous forme de dotation annuelleSous forme de dotation annuelle
►contrepartie à l’actif en trésoreriecontrepartie à l’actif en trésorerie
1616
IV Outils de traitement des risquesIV Outils de traitement des risques
3. Instruments de financement : 3. Instruments de financement : rétentionrétention
EmpruntsEmprunts
- Remboursement sur ses fonds propresRemboursement sur ses fonds propres
Captives Captives
- Financées par la même famille Financées par la même famille
économiqueéconomique
1717
IV Outils de traitement des risquesIV Outils de traitement des risques
3. Instruments de financement : 3. Instruments de financement : rétentionrétention
Zoom sur les captives Zoom sur les captives
Société d’assurance fondée par une Société d’assurance fondée par une
entreprise qui en détient le capital social entreprise qui en détient le capital social
dans le but de procurer des couvertures dans le but de procurer des couvertures
d’assurances à cette entreprised’assurances à cette entreprise
1818
IV Outils de traitement des risquesIV Outils de traitement des risques
3. Instruments de financement : 3. Instruments de financement : transferttransfert
Instrument de transfert contractuelInstrument de transfert contractuel
Le « receveur » s’engageLe « receveur » s’engage
Fonds dédiés à des dommages précis sur Fonds dédiés à des dommages précis sur
des actifs précis pour des montants précisdes actifs précis pour des montants précis
Contrat écritContrat écrit
Sécurité = solidité financière du « Sécurité = solidité financière du «
receveur »receveur »
1919
IV Outils de traitement des risquesIV Outils de traitement des risques
3. Instruments de financement : 3. Instruments de financement : transferttransfert
Instrument de transfert contractuelInstrument de transfert contractuel
Transfert contractuel à un non assureurTransfert contractuel à un non assureur
Achat de couvertures d’assuranceAchat de couvertures d’assurance
2020
IV Outils de traitement des risquesIV Outils de traitement des risques
3. Instruments de financement : 3. Instruments de financement : transferttransfert
Transfert contractuel à un non Transfert contractuel à un non
assureurassureur
- Transfert de la responsabilité financièreTransfert de la responsabilité financière
- Cocontractant (ou receveur) doit être Cocontractant (ou receveur) doit être
solvablesolvable
- Si défaut du receveur, la perte Si défaut du receveur, la perte
redevient à la charge du cédantredevient à la charge du cédant
2121
IV Outils de traitement des risquesIV Outils de traitement des risques
3. Instruments de financement : 3. Instruments de financement : transferttransfert
Achat de couvertures d’assuranceAchat de couvertures d’assurance
- Forme plus classique et plus sûre de Forme plus classique et plus sûre de
transferttransfert
- En échange d’une cotisationEn échange d’une cotisation
- Plus onéreux, à long terme, que la Plus onéreux, à long terme, que la
rétentionrétention
- Indispensable si capacité de rétention Indispensable si capacité de rétention
faiblefaible
2222
IV Outils de traitement des risquesIV Outils de traitement des risques
4. Traitement des risques spéculatifs 4. Traitement des risques spéculatifs
Risques non assurables par les Risques non assurables par les
professionnels de l’assuranceprofessionnels de l’assurance
Ex du fabricant de jouetsEx du fabricant de jouets
2323
V Stratégie de réduction des risquesV Stratégie de réduction des risques
Prendre en compte le contexte Prendre en compte le contexte
Rappel : Rappel :
La valeur d’un risque dépend deLa valeur d’un risque dépend de Probabilité d’occurrence d’une (ou des) menace Probabilité d’occurrence d’une (ou des) menace
(s), fonction du niveau des vulnérabilités(s), fonction du niveau des vulnérabilités Pertinence du scénario de risquePertinence du scénario de risque Gravité du scénario de risque Gravité du scénario de risque
2424
V Stratégie de réduction des risquesV Stratégie de réduction des risques
Définir les objectifs de sécuritéDéfinir les objectifs de sécurité Généraux : qui touchent à l’organisation, aux Généraux : qui touchent à l’organisation, aux
comportementscomportements
Opérationnels : qui touchent aux fonctions du Opérationnels : qui touchent aux fonctions du
système système
Identifier les mesures pour répondre à ces Identifier les mesures pour répondre à ces
objectifsobjectifs
2525
V Stratégie de réduction des risquesV Stratégie de réduction des risques
Construire un plan d’action stratégique Construire un plan d’action stratégique
et opérationnelet opérationnel
2626
V Dynamique de réduction des risquesV Dynamique de réduction des risques
Impact des instruments Impact des instruments
Chaque fiche projet (mise en place d’une Chaque fiche projet (mise en place d’une
mesure) intègre des indicateurs de coûts mesure) intègre des indicateurs de coûts
et de délaiset de délaisProjet Elaborer la Politique de sécurité des services réseauObjectif La politique de sécurité des services réseau doit permettre d’identifier les
services (portable, LAN, Wifi, centre d’hébergement, etc.) et de définir les besoins de sécurité associés.
Contenu La politique de sécurité des services réseau est à développer selon les axes suivants :
Recenser les « services » (connexions Wifi, sites distants, sites d’hébergement, établissement, téléphonie IP, etc.),
Etc..
Coûts de conception
7 j en interne
20 j de conseilPriorité Haute
2727
V Dynamique de réduction des risquesV Dynamique de réduction des risques
Impact des instruments Impact des instruments
Déterminer l’impact des mesures sur les Déterminer l’impact des mesures sur les
niveaux de risques niveaux de risques
Préciser pour chaque mesure :Préciser pour chaque mesure : Difficulté de mise en œuvreDifficulté de mise en œuvre
Efficacité Efficacité
Délai de mise en œuvreDélai de mise en œuvre
Risque résiduelRisque résiduel
2828
V Dynamique de réduction des risquesV Dynamique de réduction des risques
Impact des mesures Impact des mesures
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33Politique de sécurité
Existe-t-il une politique de sécurité locale spécifique (formelle ou informelle) ? Sur quelle base méthodologique a-t-elle été développée ? Les domaines non techniques (RH, crises, continuité, etc.) sont-ils couverts?
0 PS_1 0 0 1 0 0 1 2 2 3 1 0 0 0 1 1 2 2 3 1 3 2 2 1 1 0 0 0 0 0 2 3 1 1
La démarche de politique de sécurité (ou pour le moins les pratiques de sécurité) est-elle soutenue par le management ?
0 PS_2 1
Organisation de la sécurité
Comment est organisée la sécurité des SI au sein de la direction et de ses processus? Les acteurs sont-ils désignés et connus (par la DG et au sein de la direction) et par la même sont-ils légitimes?
0 ORG_1 1 1 1 1 1
MenacesQUESTIONS Mesures de réduction basées sur la norme ISO 27002
Note n+1
Note initiale
Note Cible
Initial Brut 5 3 5 10 3 11 16
Initial Net 5,0 3,0 5,0 10,0 3,0 11,0 16,0
Cible 5,0 3,0 5,0 10,0 3,0 11,0 16,0
N+1 5,0 3,0 5,0 10,0 3,0 11,0 16,0
Niveau des
menaces