C’est quoi un risque?
Un risque est un élément factuel. Un risque c’est;
- un événement qui survient/survenu (analyse à posteriori.
- un incident qui perturbe le résultat attendu créant une non-qualité.
- le fait qu’un événement puisse empêcher de maintenir une situation donnée et maintenir un objectif dans des conditions fixées et satisfaire une finalité programmée.
Nomme 4 localisations des risques :
Risque sur les echanges informatiques ; internet, swift, etc.
Risque sur le manque de procédure techniques bien définies sur les échanges informatiques.
Risque sur les secrets.
Risque de perte d’intégrité des échanges ; fraudes, usurpations d’identité, etc.
Les 4 etapes du processus de gestion du risque
- Identification du risque; Déterminer les événements de risques potentiels + futures causes/conséquences
- Evaluation du risque ; apprécier l’impact de l’événement de risque.
- Gestion des risques ; définir les mesures strat. Et op. Pour eviter, transférer et/ou reduire la survenance et l’impact des risques.
- Contrôle des risques ; s’assurer de la cohérence et de l’adéquation du niveau des risques en regard des objectifs fixés, d’analyser les risques afin de s’assurer de l’application de mesures d’atténuation et de mitigation des risques.
Deux méthodes d’évaluation du risque ;
ROI : return on investment
ROSI : return on security investment
Les estimations de font par rapport au risques (par rapport au profit)
Il n’y a rien a gagner selon l’investissement fait, car le risque de piratage est non calculable. La question est tjrs : j’ai 1 million d’euro, est ce que ca vaut la peine antivirus?
Suite de l’évaluation du risque : la hiérarchisation. explique ca.
Hiérarchisation effectuée en fonction de ;
La criticité du risque: frequence et gravité de l’événement
L’acceptabilité du risque
L’evitabilité du risque
Du coût du risque
P=protection, E=exposition, D=détection, R=réponse
La Protection doit tjrs être superieur à l’Exposition
E = detection + réponse. Ex: si le coffre fort résiste seulement 4 min. Mais le P+R est de 4min30, alors le voleur a 30 secondes pour vider le coffre. P est plus petit que E, le coffre à servi a rien d’être acheter.
Parle moi du traitement du risque
Plusieurs scénarios peuvent être envisagé pour améliorer une situation. Ils seront analyser en fonction de ;
Faisabilité
Rapport coût/efficacité
Bénéfices secondaires pour les acteurs de terrain
Le choix du plan d’action résulte d’un compromis entre ;
- criticité du risque à traiter
- point de vue des différents acteurs
- contraintes réglementaires, budgétaires, sociales, politiques
- mise en oeuvre repose sur la capacité de l’institution à mobiliser les acteurs concernés
Contrôle et surveillance du risque c’est quoi ?
La mise en place de protocole de contrôle continu, mise a jour des procédures, retour sur les failles, réévaluation du risque, KM et veille stratégique
