Titre de la présentation
24 mai 2011
Jean-Louis Bleicher
Le management par le risque informatique
Quelques données
• Le chiffre d’affaires annuel de la cybercriminalité serait environ deux fois supérieur à celui du trafic de drogue (# 1000 M $)
• Parmi les cyber-attaques récentes– Turbomeca (janvier à septembre 2010) – espionnage industriel
– Bercy (décembre à mars 2011) – 150 PC « visités »– Bercy (décembre à mars 2011) – 150 PC « visités »
– Commission Européenne (mars 2011) # attaque Bercy
– Sony Online Entertainment (avril-mai 2011) – vol de données personnelles et d’informations cartes
AG AFAI 24 Mai 2011 2
De nombreuses menaces
• Cyber-attaques• Incidents d’exploitation
• Mauvaise gestion de projet• Mauvaise gestion de la productionproduction
• Mauvaise gestion des incidents• Erreurs humaines• Non respect des procédures• Défaillance d’un prestataire• Insuffisance de contrôle• Insuffisance de compétence• …
AG AFAI 24 Mai 2011 3
Risque informatique (quelques caractéristiques)
• Menaces à caractère dynamique
• Large éventail de menaces et d’événements à prendre en compte
• Prépondérance d’événements touchant à l’immatériel, difficiles à appréhender
• Impacts stratégiques, opérationnels, légaux et juridiques, financiers, sur la réputation et l’image souvent importants
AG AFAI 24 Mai 2011 4
Le risque informatique est complexe Il faut le gérer avec des outils adaptés…
pour faciliter le management par le risque informatique
Risque informatique (définition)
• Risque métier lié à l’utilisation, la possession, l’exploitation, l’implication, l’adoption ou au poids de l’informatique au sein d’une entreprise.
Il est constitué des événements qui pourraient avoir un impact sur les affaires.
(Risk IT)(Risk IT)
AG AFAI 24 Mai 2011 5
Risques de l’entreprise
Risque informatique
Risque stratégique
Risque environnemental
Risque de marché
Risque de crédit
Risque opérationnel
Risque de non-conformité
Risque informatique (catégories)
• Risk IT distingue 3 catégories de risque informatique
Génération de valeur/ bénéfices grâce à l’informatique
• Technologie génératrice de nouvelles initiatives affaire/métier
• Technologie génératrice d’efficience pour les opérations
Valeur affaire/métier
Manque à gagner
GainExemples
Risqu
e inform
atique
AG AFAI 24 Mai 2011 6
l’informatique
Réalisation de programmes et projets informatiques
Fourniture de services et exploitation informatiques
d’efficience pour les opérations
•Qualité des projets• Pertinence des projets•Maîtrise des projets
• Interruptions de service informatique
• Problèmes de sécurité• Problèmes de non-conformité
Valeur affaire/métier
Perte Préservation
Risqu
e inform
atique
Principales normes et référentiels
ISO/IEC ISO 31010
2009
ISO 310002009
AS/NZS 43602004
Management du risque Management du risque
COSO ERM2004
Management des risques de l’entrepriseCadre de référence
AIRMIC, Alarm, IRM
2010
Management des risques de l’entreprise
Référentiel
Norme
ISO 270002009
Systèmes de management de la sécurité de l'information -
Vue d'ensemble et vocabulaire
ISO 270012005
Systèmes de management de la sécurité de l'information -
Exigences
ISO 270022005
Code de bonne pratique pour le management de la sécurité de l'information
ISO 270052008
Gestion des risques en sécurité de l'information
Technologies de l'information
Techniques de sécurité
ISO/IEC Guide 73
2009
Management du risque -Vocabulaire
2009
Gestion des risques -Techniques d'évaluation
des risques
2009
Management du risque -Principes et lignes
directrices
7AG AFAI 24 Mai 2011
EBIOS2010
MEHARI2010
CRAMM2005
OCTAVE2007
Structure du référentiel Risk IT
Domaine(ex. ER)
Processus
Modèle de maturité synthétique
Modèle de maturité détaillé
AG AFAI 24 Mai 2011 8
Processus(ex. ER2)
Activité(ex. ER2.1)
détaillé
Tableau RACI
Objectifs et métriques
Éléments d’entrée/sortie
Le modèle Risk IT
3 domaines9 processus
47 bonnes pratiques
Gouvernance des risques
Etablir et maintenir une
vision commune des risques
Intégrer au management des risques de l’entreprise
Prendre en compte le risque
dans les décisions
affaire/métier
9AG AFAI 24 Mai 2011
Objectifs affaire/métier
Communication
Evaluation des risques
Collecter les données
Analyser les risques
Maintenir le profil de risque
Traitement des risques
Exprimer les risques
Gérer les risques
Réagir aux événements
ZOOM SUR 3 PROCESSUS DE RISK IT
AG AFAI 24 Mai 2011 10
GR2 : Intégrer au management des risques de l’entreprise
• Définir et maintenir l’autorité relative au management des risques informatiques
• Coordonner la stratégie en matière de risques informatiques avec la stratégie en matière de risques affaire/métier
• Harmoniser les pratiques de management des risques informatiques avec celles de management des risques de informatiques avec celles de management des risques de l’entreprise
• Fournir les ressources adéquates pour le management des risques informatiques
• Obtenir une assurance indépendante sur le management des risques informatiques
AG AFAI 24 Mai 2011 11
Intégration
Management des risques informatiques : responsabilité et autorité
Acteur
Gouvernance des risques
Evaluation des risques
Traitement des risques
Vision
com
mun
e des risqu
es
Intégration au MRE
Décisions tenant com
pte des
risqu
es
Collecter les do
nnées
Analyser les risques
Maintenir le profil de ris
que
Exprimer les ris
ques
Gérer les risqu
es
Réagir aux événements
Conseil d’administration
L’acteur porte la responsabilité et/ou a une autorité partielle
L’acteur a toute autorité sur le processus
AG AFAI 24 Mai 2011 12
Conseil d’administration
Président Directeur Général ou Directeur Général – DG (CEO)
Directeur des risques – DR (CRO)
Directeur Informatique – DI (CIO)
Directeur financier – DF (CFO)
Comité des risques de l’entreprise
Responsable affaire/métier
Propriétaire de processus affaire/métier
Fonctions de contrôle des risques
Directeur des Ressources Humaines (DRH)
Conformité et Audit
ER2 : Analyser les risques
• Définir le périmètre de l’analyse des risques informatiques
• Estimer les risques informatiques
• Identifier les options de traitement des risques
• Faire faire une revue de l’analyse des risques par un pair
AG AFAI 24 Mai 2011 13
Appréciation
Appréciation des risques
Estimer la fréquence Risque
Tolérance au risque
Scénarios de risque informatique
AG AFAI 24 Mai 2011 14
fréquence et l’impact
Analyse des
risques
Risqueinformatique spécifiques et affinés
Appréciation des risques
• Risk IT propose une méthode d’analyse des risques basée sur l’analyse de scénarios
• Risk IT propose des aides pour évaluer la fréquence et l’importance des risques pour les affaires/métiers
Evénement• Divulgation Interruption • Modification
AG AFAI 24 Mai 2011 15
[Acteur]• Interne (personnel, sous-traitant) • Externe (concurrent, étranger, partenaire affaire/métier, régulateur, marché)
Eléments temporels• Durée • Périodicité d’occurrence (critique, non-critique)• Temps de détection
Scénario de risque
Type de menace• Malveillance• Accident/erreur • Défaillance• Naturelle • Exigence externe
• Modification• Vol • Destruction • Conception inefficace• Exécution inefficace • Règles et réglementations• Mauvaise utilisation
Actif / Ressource• Personnes et organisation • Processus• Infrastructure (installations) • Infrastructure informatique • Information • Applications+
+
+
+
Scénarios génériques RISK IT
1 Choix de programme informatique
2 Nouvelles technologies
3 Choix de technologie
4 Prise de décision en matière d’investissement informatique
5 Responsabilité informatique
6 Intégration informatique au sein des processus affaire/métier
7 État de l’infrastructure technique
8 Ancienneté du logiciel applicatif
19 Personnel informatique
20 Expertise et compétence informatique
21 Intégrité du logiciel
22 Infrastructure (matériel)
23 Performance logiciel
24 Capacité système
25 Ancienneté de l’infrastructure logicielle
26 Logiciel malveillant
AG AFAI 24 Mai 2011 16
8 Ancienneté du logiciel applicatif
9 Agilité et flexibilité de l’architecture
10 Conformité règlementaire
11 Implémentation de logiciel
12 Fin de projet informatique
13 Coût de projet informatique
14 Réalisation de projet
15 Qualité projet
16 Choix/ performance des tiers fournisseurs
17 Vol d’infrastructure
18 Destruction d’infrastructure
26 Logiciel malveillant
27 Attaques logicielles
28 Supports d’information
29 Performance des services publics
30 Action revendicative
31 Intégrité des (bases de) données
32 Intrusion logique
33 Erreurs d’exploitation informatique
34 Conformité contractuelle
35 Environnement
36 Catastrophes naturelles
TR2 : Gérer les risques
• Inventorier les contrôles
• Surveiller l’alignement opérationnel sur les seuils de tolérance au risque
• Traiter les expositions aux risques et les opportunités découvertes
• Mettre en place des contrôles
• Réaliser un rapport sur la progression du plan d’actions concernant les risques informatiques
AG AFAI 24 Mai 2011 17
Traitement
Traitement des risques
Risques dépassant le niveau de tolérance
Choisir les options de traitement des risques
Options de traitement des risques
Paramètres de sélection du traitement des risques
Coût de traitement pour ramener les risques dans les niveaux de tolérance
Ampleur des risques
Capacité à mettre en œuvre le traitement
Analyse des risques
AG AFAI 24 Mai 2011 18
1. Eviter 2. Réduire/Atténuer
3. Partager/Transférer 4. Accepter
œuvre le traitement
Efficacité du traitement
Efficience du traitement
Traitement des risques
Hiérarchiser les options de traitement
des risques
Traitements des risques hiérarchisés
Plan d’actions concernant les
risques
Hiérarchisation du traitement des risques
Étude d’opportunité
Étude d’opportunité
Gain rapide
Ne rien faire
Ratio efficacité/coûtNiveau de
risq
ue actue
l
Réduction des risques
• Risk IT capitalise sur les bonnes pratiques de contrôle et de management de COBIT et Val IT
Contrôle indispensable
Référence du contrôle
Libellé du contrôle
Objectif de contrôle COBIT / Pratique clé de management Val IT
Effet sur la
fréquence
Effet sur l’impact
1. Choix de programme informatique
Oui PO1 PO1.1 Gestion de la valeur
Travailler avec les affaires/métiers pour s’assurer que le portefeuille d’investissements informatiques de l’entreprise contient des programmes ou
Important
AG AFAI 24 Mai 2011 19
valeur informatique
d’investissements informatiques de l’entreprise contient des programmes ou projets dont les analyses de rentabilité sont solides. Reconnaître qu’il y a des investissements obligatoires, indispensables et discrétionnaires qui diffèrent en complexité et en degré de liberté pour ce qui est de l’attribution des crédits. Les processus informatiques doivent fournir aux programmes des composants informatiques efficaces et efficients et des alertes, au plus tôt, pour tout écart par rapport au plan, par exemple, en ce qui concerne les coûts, les délais et les fonctionnalités, susceptible d’avoir des conséquences sur les résultats attendus des programmes. Les services informatiques doivent être rendus sur la base de contrats de services (CS ou Service Level Agreement SLA) équitables et applicables. La responsabilité finale de l’obtention des bénéfices et du contrôle des coûts est clairement assignée et supervisée. Établir une appréciation juste, transparente, reproductible et comparable des analyses de rentabilité qui tient compte de la valeur financière, du risque de ne pas fournir une capacité et de ne pas réaliser les bénéfices attendus.
Contenu de Risk IT
• Le Référentiel Risk IT– Description du modèle (domaines, processus, activités)– Modèles de maturité, tableaux RACI, objectifs et métriques, éléments d’entrée/sortie
• Le Guide Utilisateur Risk IT– Guide pratique de mise en place du management des risques informatiques dont
–informatiques dont • Description des scénarios génériques et du traitement des risques à l’aide de COBIT et Val IT
– Comparaison de Risk IT avec COSO ERM, ISO 31000 et ISO 27005
• Outils complémentaires du Guide Utilisateur– 7 documents Word d’aide à la mise en œuvre
AG AFAI 24 Mai 2011 20
AFAI, ISACA et Risk IT
• L’AFAI a réalisé l’adaptation en français de Risk IT avec la participation de chapitres francophones
• L’ISACA a mis en place une certification spécifique– Parrainage jusqu’au 30 juin 2011
• L’AFAI proposera une formation au management des risques informatiques basée sur Risk IT dans le courant du second semestre 2011
AG AFAI 24 Mai 2011 21
Top Related