1 PLAN DU COURS IV.Outils de traitement des risques V.Dynamique de réduction des risques Prochain...

11

PLAN DU COURSPLAN DU COURS

IV.IV. Outils de traitement des risquesOutils de traitement des risques

V.V. Dynamique de réduction des risquesDynamique de réduction des risques

Prochain cours :Prochain cours :

IV.IV. Les SIGRLes SIGR

V.V. Gestion de criseGestion de crise

22

PLAN DU COURSPLAN DU COURS

Outils de traitement des risquesOutils de traitement des risques

1.1. Rappel sur le choix des instrumentsRappel sur le choix des instruments

2.2. Instruments de réductionInstruments de réduction

3.3. Instruments de transfertInstruments de transfert

4.4. Impacts des deux types d’instrumentsImpacts des deux types d’instruments

5.5. Gestion des risques spéculatifsGestion des risques spéculatifs

33

IV Outils de traitement des risquesIV Outils de traitement des risques

1. Rappel sur le choix des instruments1. Rappel sur le choix des instruments

Se référer à la liste des instruments évoqués Se référer à la liste des instruments évoqués

Recenser ceux qui s’appliquent aux risques Recenser ceux qui s’appliquent aux risques

identifiésidentifiés

Analyser les principaux coûts et avantages des Analyser les principaux coûts et avantages des

différents instrumentsdifférents instruments

Décrire les principales caractéristiques et Décrire les principales caractéristiques et

différences des instrumentsdifférences des instruments

Définir les moyens de leur mise en œuvreDéfinir les moyens de leur mise en œuvre

44


PréventioPréventio

nn

Protection Protection

Transfert Transfert

Rétention Rétention

Possibilité d’associer les deux types Possibilité d’associer les deux types

d’instruments d’instruments

Choisir la combinaison la plus fiable et Choisir la combinaison la plus fiable et

économiqueéconomique

55


2. Instruments de réduction : 2. Instruments de réduction : préventionprévention

Agir sur les causesAgir sur les causes

F F ou ou PREVENTIONPREVENTION

F = 0F = 0

- Evitement ou suppressionEvitement ou suppression

66


2. Instruments de réduction :2. Instruments de réduction : prévention prévention

F = 0F = 0

- Transfert contractuel pour Transfert contractuel pour

réductionréduction

« cédant »« cédant » « «

acceptant »acceptant »

responsabilité financière et légaleresponsabilité financière et légale

77


2. Instruments de réduction : 2. Instruments de réduction : prévention prévention

F > 0F > 0

- Formations, sensibilisationsFormations, sensibilisations

- Référentiels de sécuritéRéférentiels de sécurité

88


2. Instruments de réduction : 2. Instruments de réduction : protectionprotection

Agir sur les conséquencesAgir sur les conséquences

G G ou ou PROTECTIONPROTECTION

Ségrégation (protection passive)Ségrégation (protection passive)

- par séparation par séparation

- par duplicationpar duplication

99



SégrégationSégrégation

- par séparation par séparation

►►Disperser sur plusieurs sites une même Disperser sur plusieurs sites une même

activitéactivité

Inconvénient :Inconvénient :

- surinvestissement et surcoûts de productionsurinvestissement et surcoûts de production

- Accroissement de la fréquenceAccroissement de la fréquence

1010



SégrégationSégrégation

- par duplicationpar duplication

► ► capacités en « stand by » (ex : sites de capacités en « stand by » (ex : sites de

secours)secours)

InconvénientInconvénient : surinvestissement : surinvestissement

1111



Protection activeProtection active

- Gestion de criseGestion de crise

1212


3. Instruments de financement3. Instruments de financement

Instruments de rétentionInstruments de rétention

Instrument de transfertInstrument de transfert

-> Pour financer les risques résiduels -> Pour financer les risques résiduels

(notamment)(notamment)

1313


3. Instruments de financement : 3. Instruments de financement : rétentionrétention

Instruments de rétentionInstruments de rétention

Traitement courantTraitement courant

ProvisionsProvisions

Emprunt Emprunt

CaptiveCaptive

Rétention forcée Rétention forcée ## Rétention volontaire Rétention volontaire

1414



Traitement courantTraitement courant

- Méthode simple et économiqueMéthode simple et économique

- Attention à la disponibilité des fondsAttention à la disponibilité des fonds

- Davantage pour des frais récurrentsDavantage pour des frais récurrents

1515



Provisions Provisions

- Non financéesNon financées

►Sous forme de charge courante Sous forme de charge courante

►pas de contrepartie à l’actif en trésoreriepas de contrepartie à l’actif en trésorerie

- Financées Financées

►Sous forme de dotation annuelleSous forme de dotation annuelle

►contrepartie à l’actif en trésoreriecontrepartie à l’actif en trésorerie

1616



EmpruntsEmprunts

- Remboursement sur ses fonds propresRemboursement sur ses fonds propres

Captives Captives

- Financées par la même famille Financées par la même famille

économiqueéconomique

1717



Zoom sur les captives Zoom sur les captives

Société d’assurance fondée par une Société d’assurance fondée par une

entreprise qui en détient le capital social entreprise qui en détient le capital social

dans le but de procurer des couvertures dans le but de procurer des couvertures

d’assurances à cette entreprised’assurances à cette entreprise

1818


3. Instruments de financement : 3. Instruments de financement : transferttransfert

Instrument de transfert contractuelInstrument de transfert contractuel

Le « receveur » s’engageLe « receveur » s’engage

Fonds dédiés à des dommages précis sur Fonds dédiés à des dommages précis sur

des actifs précis pour des montants précisdes actifs précis pour des montants précis

Contrat écritContrat écrit

Sécurité = solidité financière du « Sécurité = solidité financière du «

receveur »receveur »

1919



Instrument de transfert contractuelInstrument de transfert contractuel

Transfert contractuel à un non assureurTransfert contractuel à un non assureur

Achat de couvertures d’assuranceAchat de couvertures d’assurance

2020



Transfert contractuel à un non Transfert contractuel à un non

assureurassureur

- Transfert de la responsabilité financièreTransfert de la responsabilité financière

- Cocontractant (ou receveur) doit être Cocontractant (ou receveur) doit être

solvablesolvable

- Si défaut du receveur, la perte Si défaut du receveur, la perte

redevient à la charge du cédantredevient à la charge du cédant

2121



Achat de couvertures d’assuranceAchat de couvertures d’assurance

- Forme plus classique et plus sûre de Forme plus classique et plus sûre de

transferttransfert

- En échange d’une cotisationEn échange d’une cotisation

- Plus onéreux, à long terme, que la Plus onéreux, à long terme, que la

rétentionrétention

- Indispensable si capacité de rétention Indispensable si capacité de rétention

faiblefaible

2222


4. Traitement des risques spéculatifs 4. Traitement des risques spéculatifs

Risques non assurables par les Risques non assurables par les

professionnels de l’assuranceprofessionnels de l’assurance

Ex du fabricant de jouetsEx du fabricant de jouets

2323

V Stratégie de réduction des risquesV Stratégie de réduction des risques

Prendre en compte le contexte Prendre en compte le contexte

Rappel : Rappel :

La valeur d’un risque dépend deLa valeur d’un risque dépend de Probabilité d’occurrence d’une (ou des) menace Probabilité d’occurrence d’une (ou des) menace

(s), fonction du niveau des vulnérabilités(s), fonction du niveau des vulnérabilités Pertinence du scénario de risquePertinence du scénario de risque Gravité du scénario de risque Gravité du scénario de risque

2424


Définir les objectifs de sécuritéDéfinir les objectifs de sécurité Généraux : qui touchent à l’organisation, aux Généraux : qui touchent à l’organisation, aux

comportementscomportements

Opérationnels : qui touchent aux fonctions du Opérationnels : qui touchent aux fonctions du

système système

Identifier les mesures pour répondre à ces Identifier les mesures pour répondre à ces

objectifsobjectifs

2525


Construire un plan d’action stratégique Construire un plan d’action stratégique

et opérationnelet opérationnel

2626

V Dynamique de réduction des risquesV Dynamique de réduction des risques

Impact des instruments Impact des instruments

Chaque fiche projet (mise en place d’une Chaque fiche projet (mise en place d’une

mesure) intègre des indicateurs de coûts mesure) intègre des indicateurs de coûts

et de délaiset de délaisProjet Elaborer la Politique de sécurité des services réseauObjectif La politique de sécurité des services réseau doit permettre d’identifier les

services (portable, LAN, Wifi, centre d’hébergement, etc.) et de définir les besoins de sécurité associés.

Contenu La politique de sécurité des services réseau est à développer selon les axes suivants :

Recenser les « services » (connexions Wifi, sites distants, sites d’hébergement, établissement, téléphonie IP, etc.),

Etc..

Coûts de conception

7 j en interne

20 j de conseilPriorité Haute

2727


Impact des instruments Impact des instruments

Déterminer l’impact des mesures sur les Déterminer l’impact des mesures sur les

niveaux de risques niveaux de risques

Préciser pour chaque mesure :Préciser pour chaque mesure : Difficulté de mise en œuvreDifficulté de mise en œuvre

Efficacité Efficacité

Délai de mise en œuvreDélai de mise en œuvre

Risque résiduelRisque résiduel

2828


Impact des mesures Impact des mesures

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33Politique de sécurité

Existe-t-il une politique de sécurité locale spécifique (formelle ou informelle) ? Sur quelle base méthodologique a-t-elle été développée ? Les domaines non techniques (RH, crises, continuité, etc.) sont-ils couverts?

0 PS_1 0 0 1 0 0 1 2 2 3 1 0 0 0 1 1 2 2 3 1 3 2 2 1 1 0 0 0 0 0 2 3 1 1

La démarche de politique de sécurité (ou pour le moins les pratiques de sécurité) est-elle soutenue par le management ?

0 PS_2 1

Organisation de la sécurité

Comment est organisée la sécurité des SI au sein de la direction et de ses processus? Les acteurs sont-ils désignés et connus (par la DG et au sein de la direction) et par la même sont-ils légitimes?

0 ORG_1 1 1 1 1 1

MenacesQUESTIONS Mesures de réduction basées sur la norme ISO 27002

Note n+1

Note initiale

Note Cible

Initial Brut 5 3 5 10 3 11 16

Initial Net 5,0 3,0 5,0 10,0 3,0 11,0 16,0

Cible 5,0 3,0 5,0 10,0 3,0 11,0 16,0

N+1 5,0 3,0 5,0 10,0 3,0 11,0 16,0

Niveau des

menaces

1 PLAN DU COURS IV.Outils de traitement des risques V.Dynamique de réduction des risques Prochain...

Documents

Transcript of 1 PLAN DU COURS IV.Outils de traitement des risques V.Dynamique de réduction des risques Prochain...