SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Analyse des Enjeux Convertir en PDF Version imprimable Suggérer par mail
12-10-2005
L'analyse des enjeux correspond à une préoccupation de la Direction Générale : apporter une réponse proportionnée  aux risques, c'est à dire investir dans des solutions de  sécurité en juste proportion du risque et des enjeux.
Ce point de vue économique nécessite une évaluation rigoureuse des enjeux vus comme les conséquences directes ou indirectes d'événements pouvant perturber le bon fonctionnement des processus critiques de l'entreprise.
L'analyse des enjeux passe donc par une double analyse :
  • Quels sont mes processus critiques et quels sont les dysfonctionements susceptibles de perturber mes processus critiques ?
  • Quels sont les informations et ressources constitutifs de ces processus critiques?
Comment définir la notion de criticité ?
La criticité est liée à l'impact intrinsèque que pourraît avoir un sinistre sur une ressource ou un processus de l'entreprise en l'absence de toute mesure de sécurité.
Comment mesurer la criticité ?
Elle peut être mesurée sur une échelle (de préférence paire pour éviter un choix médian systématique) pour chacun des critères de sécurité(Disponibilité, Intégrité, Confidentialité, Preuve) :
4 = Criticité extrèmement grave pour l'entreprise
3 = Criticité forte
2 = Criticité significative
1 = Criticité insignifiante

Classification des dysfonctionnements :
ll s'agit de procéder pour les processus critiques et avec l'aide du management opérationel:
  1. à une analyse détaillée des processus de l'entreprise (voir approche par les processus)
  2. à une analyse des menaces ou scénarios de sinistres potentiels (voir liste des menaces potentielles),
  3. à une analyse des types de dysfonctionnement redoutés ,
  4. à une définition des paramètres qui influencent la gravité des dysfonctionnements,
  5. à une évaluation des seuils de criticité de ces paramètres.
Remarque : la validation des scénarios de sinistre est un préalable important : elle engage la Direction sur les scénarios à traiter et les scénarios à écarter et elle facilite les interviews des responsables et proriétaires d'actifs qui peuvent mieux réagir à une liste précise de scénarios approuvés par leur Direction qu'à des questionnaires ouverts.

Classification des informations et ressources :
Il s'agit de procéder avec les responsables opérationnels :
  1. à une sélection des informations et ressources constitutives de ces processus critiques,
  2. à une classification de celles-ci en fonction de la gravité d'une atteinte à leur
  • Disponibilité
  • Intégrité
  • Confidentialité
  • Auditabilité
L'expression des enjeux de sécurité sera alors la conclusion de l'analyse de la classification des informations et ressources et de la classification des dysfonctionnements redoutés.

L'analyse des enjeux est donc la base de l'analyse des risques et le support de tout plan d'action ou schéma directeur de sécurité.
Dernière mise à jour : ( 16-02-2007 )
< Précédent   Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.