Accroître et préserver la valeur de l'entreprise av ecCOBIT®5 for Risk

Jean-Louis BleicherJean-Louis Bleicher

24 Juin 2014

• Atteindre les objectifs de l’entreprise grâce à un

management des risques permettant de

Le management par les risques

Opportunité Menace

management des risques permettant de

– saisir les opportunités

– contrer les menaces

• Améliorer la gouvernance, l’efficacité opérationnelle et la

qualité

• Renforcer la confiance et la réputation

Principes clés

Evaluer Diriger Surveiller

Gouvernance

Management

Amélioration continue

Apprécier

Surveiller

Communiquer Traiter

Principales normes et référentiels majeurs

Management des risques

COSO ERM2004

FERMA2002

EBIOS2010

MEHARI2010

OCTAVE2007

Management des risques en sécurité de l’information

Management des risques informatiques

COBIT 52012

Risk IT2009

ISO 21500 (PMBOK), PRINCE2, ISO 20000 (ITIL)

ISO 310102009

ISO 310002009

ISO 270002012

ISO 270012013

ISO 270022013

ISO 270052011

ISO 270142013

2012

COBIT 5 for Risk

2013

Risk Scenarios using COBIT 5 for Risk

2014

• EDS03 : Assurer l’optimisation des risques– EDS03.1 : Evaluer la gestion des risques

– EDS03.2 : Diriger la gestion des risques

– EDS03.3 : Surveiller la gestion des risques

• APO12 : Gérer les risques– APO12.01 : Collecter les données

COBIT 5 et le management des risques

– APO12.01 : Collecter les données

– APO12.02 : Analyser les risques

– APO12.03 : Maintenir un profil de risque

– APO12.04 : Exprimer les risques

– APO12.05 : Constituer un portefeuille d’actions de gestion des

risques

– APO12.06 : Traiter les risques

COBIT 5 for risk : deux perspectives

Leviers de COBIT 5

ProcessusStructures

organisationnellesCulture, éthique et comportement

Principes, politiques et référentiels

InformationServices,

infrastructures et applications

Personnel, expertises et compétences

Fonction Risque

1Management des risques

2

• Couvre l’ensemble des risques liés au SI

• Offre un modèle complet (du pilotage à l’action)

• Aide à l’analyse des risques

• Aide au traitement des risques

Atouts de COBIT 5 for risk

• Facilite l’intégration d’autres normes et pratiques

• Enrichit le contrôle interne du SI

• Contribue à accroître et préserver la valeur

Gouvernance

Charte• Enjeux, principes et cadre

organisationnel

Politique

Documents de support

• Règles / instructions

• Méthodes, guides...

Bonnes pratiquesSécurité

ContinuitéAssurances

ActionAction

Veille Cartographie des

risques

AppréciationAppréciation

Management

TraiterIdentifierAnalyserÉvaluer

Suivi des incidents et pertesMétriques

Contrôle, Audit

MesureMesure

Tableaux de bords Rapports

RésultatRésultat

SurveillerCommuniquer

• S’assurer de la capacité à prévenir, traiter et surveiller les

risques

• Ne pas s’enliser dans la cartographie des risques

• Veiller à la synergie et à la subsidiarité des actions

• Opter pour une mise en place adaptée au contexte et

Recommandations

• Opter pour une mise en place adaptée au contexte et

progressive

Il faut toujours prendre le maximum de risques avec le maximum de précautions

(Rudyard Kipling)

QUESTIONS & REPONSES