SSi-Conseil Sécurité des Systèmes d'Information
Accueil SSi-Conseil arrow Risk Management arrow Risk Management arrow Analyse des situations de risques
Accueil SSi-Conseil
Accès privilégié
SSI-Conseil
>Enjeux & Risques
Enjeux de la SSI
Risques
>Consulting Sécurité
Démarche Sécurité
Schéma Directeur SSI
Management SSI
Gestion opérationnelle
Communication SSI
>Gestion de Risques
Risk Management
>ISO 27000
ISO 27000
>Continuité d'Activité
Continuité d'Activité
>Services & Assistance
Assistance / Conseil SSi
TPE PME/PMI
>Formation
Formations
>Plus
Liens utiles
Auto-diagnostic SSi
Alertes Virus
Outils gratuits en ligne
Recherche avancée
Download zone
Legal crédits & ©
Glossaire
Plan du Site
>Partenaires
Ysosecure
Janua
Groupe-Stédia
BCP-Expert
Syndicate
Jeudi 17 Avril 2014
Advertisement
Analyse des situations de risques Convertir en PDF Version imprimable Suggérer par mail
12-10-2005
Analyse des situations de risques ou scénarios de risques :

Il s'agit de décrire les causes et origines du risque, c'est à dire les circonstances conduisant à son déclenchement, d'analyser les composantes du risque constituant sa gravité et de trouver des solutions permettant de la réduire pour la rendre "tolérable".

Rappel des principes d'analyse de risque proposés par Méhari™ :
Méhari™ propose une mesure de la gravité du risque sur la base de l'équation suivante :

Gravité du Risque = Potentialité*Impact

La potentialité traduit une notion de probabilité, l'impact une notion de conséquence.
  • Une situation de risque peut-être caractérisée par une potentialité et un impact intrinsèques, en l'absence de toute mesure de sécurité.
  • Potentialité intrinsèque et impact intrinsèque peuvent être évalués.
  • Des mesures de sécurité peuvent réduire ce risque intrinsèque par le biais de facteurs significatifs de réduction de risque;
  • Ces facteurs d'atténuation de risques peuvent être évalués.
  • Sur la base de ces éléments, il est possible d'évaluer une potentialité réelle et un impact résiduel caractéristiques du risque, et d'en déduire un indicateur de gravité du risque.
Méhari™ propose des bases de connaissances et des outils d'assistance pour mener ce processus d'analyse et d'évaluation à bien :
  • Une assistance à l'évaluation de l'exposition naturelle,

  • Une assistance à l'évaluation des facteurs de réduction des risques (dissuasion, prévention, protection, "palliation" et récupération) en fonction de la qualité des services de sécurité si celle-ci a été évaluée dans un audit préalable Méhari,

  • Un tableau générique d'impact intrinsèque pouvant être élaboré à la suite d'une classification ou directement à partir d'une échelle de valeurs de dysfonctionnements,

  • Des automatismes de calcul de la potentialité et de l'impact en fonction de l'exposition naturelle, de l'impact intrinsèque et des facteurs d'atténuation des risques.

Image
Sources CLUSIF

Les risques sont évalués en fonction d'une base de connaissance établissant pour un domaine donné des scénarios de risques.

Établissement des métriques :

Méhari™ propose 2 voies d'analyse des composantes Potentialité et Impact :

  • soit à partir d'une approche analytique basée sur l'audit des services de sécurité– approche souvent réalisée avec les techniciens,
  • soit à partir d'une évaluation des facteurs de risques c'est l'approche globale qui fait d'abord appel à l'appréciation et au raisonnement des utilisateurs du si.
Image
Sources CLUSIF

Calcul du risque :

La cotation établie varie de 0 à 4 avec les 3 classifications suivantes :

  •  Les risques tolérables, généralement aux niveaux 0, 1 et 2
  •  Les risques inadmissibles au niveau 3
  •  Les risques insupportables au niveau 4.

L’impact :

L’impact est une évaluation globale de l’ensemble des conséquences d’un scénario de risques précis.
La métrique standard de l’impact est une cotation sur une échelle à 4 niveaux (de 1 à 4) décrite ci-dessous :

  • Niveau 1       Impact insignifiant au niveau de l’organisation
  • Niveau 2       Impact significatif, causant du tort à l’organisation
  • Niveau 3       Impact très grave, sans cependant menacer la vie de l’organisation
  • Niveau 4       Impact extrêmement grave, menaçant l’organisation ou l’une de ses activités

La potentialité :

La potentialité est une estimation de la possibilité qu’un scénario précis survienne.

La métrique de la potentialité est une cotation sur une échelle à 4 niveaux (de 1 à 4) plus un niveau de potentialité 0 signifiant que le scénario de risque ne s’applique pas ou est sans objet pour l’organisation. La signification des niveaux de cette échelle est donnée ci-dessous :

  • Niveau 0       Non envisageable ou non envisagé
  • Niveau 1       Très improbable, ne surviendra probablement jamais
  • Niveau 2       Possible, bien que improbable
  • Niveau 3       Probable, devrait arriver un jour
  • Niveau 4       Très probable, surviendra sûrement à court terme

La gravité :

La mesure globale du risque, sa gravité, résulte d’une décision stratégique de l’organisation fondée sur les valeurs d’impact et de potentialité. Cette décision peut être traduite en termes « d’aversion aux risques ».

Il en résulte une grille d’aversion aux risques traduisant la gravité d’un scénario de risques en fonction de son impact et de sa potentialité.

Exemple de grille d’aversion aux risques :

Image
Sources CLUSIF

Réduire la gravité :
L'analyse des situations de risques va permettre de mettre en oeuvre les mesures de sécurité capables de réduire soit l'impact soit la potentialité :
Image


Dernière mise à jour : ( 15-06-2009 )
< Précédent   Suivant >
Copyright 2005-2014 SSi-Conseil
Mambo Free Software released under the GNU/GPL License.