Démarche générale pour analyser et gérer les risques informatiques d'une organisation.

Risques sur les éléments du S.I. : Applications, systèmes, réseaux, données personnelles (RGPD...

La solution est moderne, de grande qualité graphique et très intuitive. Elle structure la démarche dans un environnement multiutilisateur, gère les changements et les demandes d'approbation (workflow collaboratif) et centralise l'information. Elle accroit la productivité des parties prenantes et la qualité des projets. Pérenne, elle peut gérer de très grandes quantités de données.

L'outil Envision Risks IT^© : Représentation graphique des risques d'une application et de l''infrastructure.

Généralités sur les risques informatiques

Aujourd'hui, les organismes sont très dépendants des performances du Système d'Information (SI). Celui-ci renferme des trésors dans ses diverses mémoires. Il contient toutes les données stratégiques et est devenu le système nerveux et de communication central. La dépendance au SI entraine des risques informatiques, qui par leurs conséquences peuvent mettre en cause la pérennité de l'entreprise. L'analyse de risque permet d'identifier les dangers induits par les applications et les systèmes informatiques, d'évaluer les risques et de définir des barrières de protection ou de prévention qui vont réduire à des niveaux acceptables, les conséquences de l'arrivée d'évènements redoutés. C'est une mise en pratique de la science du danger: la Cindynique qui est enseignée dans la plupart des grandes écoles d'ingénieurs.

La gestion des risques examine les facteurs politiques, sociaux, économiques et d'ingénierie pour identifier les dangers. Les processus d'établissement de rapports sont vérifiés pour leur conformité aux exigences règlementaires et à leur efficacité à réduire l'arrivée d'évènements non souhaités (risques).
Essentiellement, la gestion du risque est la combinaison de trois étapes: l'identification des risques, l'introduction de contrôles des risques (barrières) et une surveillance constante.

L'approche standard d'analyse de risques

Elle est basée sur la cartographie des applications et des systèmes informatiques (sources de dangers), ou fait suite à une urbanisation du SI déjà réalisée, ce qui en valorise le travail (voir Envision IT). L'A.R. permet d'identifier et de rendre acceptable les risques de dysfonctionnement des éléments constitutifs du S.I. et ainsi, d'éviter des catastrophes économiques liées à l'interruption partielle ou totale des services et aux malversations diverses.

L'entreprise évolue et par conséquence les risques. La gestion en continue de ceux-ci permet le suivi de l'évolution des dangers, des incidents et la réévaluation de la criticité des risques, des coûts des barrières et de leur efficacité (taux de couverture) afin d'avoir une connaissance actualisée de l'état des dangers. Elle permet aussi la mise en place d'un plan d'actions à jour.

Selon les circonstances, cette analyse de risques peut se faire indépendamment de toute cartographie préalable. L'outil se réduit à un simple gestionnaire de risques liés aux éléments constitutifs du SI.

Qui est concerné?

Les dirigeant d'entreprises et les responsables IT peuvent maintenant être tenu responsables de l'utilisation des données personnelles. En plus d'amandes substantielles, des peines d'emprisonnement peuvent être prononcées à leur encontre et l'ignorance n'est plus reconnue par la jurisprudence comme système de défense.

Pourquoi avez-vous besoin de gérer les risques (Risks Management) ?

Pour assurer la continuité du service.
Pour être en conformité avec la règlementation.
Pour produire des documents règlementaires d'analyse de risques
Pour éviter les catastrophes financières, humaines, environnementales, éthiques et médiatiques

Principe général

La méthode proposée est basée sur la cartographie des processus, des activités et des procédures des organismes dont les dysfonctionnements peuvent entrainer des risques opérationnels ayant des conséquences financières, juridiques, des retards, une dégradation de la qualité, de l'image etc.

Par risques opérationnels, il faut entendre les risques que l’organisation, ses acteurs et l’environnement externe font courir à l'organisme (banque, société immobilière etc.).

Le Comité Bâle III a mené une analyse quantitative de ces risques sur près d’une centaine d’établissements : les résultats démontrent la fréquence et le coût global élevés des incidents opérationnels : ils génèrent en moyenne près de 90 millions d’euros de perte. Une analyse plus fine démontre que si les sinistres les plus élevés sont aussi les mieux couverts (incendie, dégâts des eaux), c’est finalement la diversité des risques non couverts qui explique l’importance du coût final.

Selon les circonstances, cette analyse de risques peut se faire indépendamment de toute cartographie préalable ou intégrée à la cartographie des processus métiers avec Envision IT.

Bénéfices

Méthode validée basée sur les concepts généraux de la science du danger (cindynique)
Utilisée par de nombreuses sociétés pour gérer les risques informatiques
Recensement exhaustifs des processus de danger
La cartographie des applications, fonctions, données, systèmes etc. permet d'identifier sans oublie toutes les sources de dangers
Définition, qualification et quantification des risques
C'est la qualification et la quantification des sources de dangers qui permettent de définir les risques
Génération de scénarios de risques
Facilite l'identification de nouvelles combinaisons de risques et de comprendre leur genèse.
Mise en place de barrières techniques et opératoires (plan d'actions)
Qualification et quantification des barrières, et des actions à mettre en œuvre, pour minimiser ou supprimer les conséquences d'évènements non souhaités. C'est le fond du plan d'actions
Gestion des changements et de l'historique
Calculs automatisés de consolidation des données numériques et mise à jour après modification: fréquences/probabilités, coûts, taux de couverture/de confiance etc. Permet de suivre l'évolution des risques et de prendre à temps les bonnes décisions
Thésaurisation, valorisation, traçabilité et partage
Création d'une base de données centralisée de risques avec accès en multiutilisateur, pour capitaliser l'effort, permettre sa réutilisation (valorisation) et partager les définitions communes des risques

L'outil Envision^®

En plus de la mise en œuvre des concepts méthodologiques cités plus haut, Envision^® offre de nombreux outils de productivité, d'analyse, de recherche et de stockage de l'information ainsi qu'un système automatisé de production de livrables personnalisés aux formats Word - Excel - HTML.
En outre l'outil possède une fonction de génération automatique de site Web "Save As Web" pour la consultation à distance du référentiel du projet, avec un simple navigateur Internet Explorer.

Souplesse - Bien que livré prêt à être utilisé, l'administrateur de l'outil peut reconfigurer complètement les modèles, les types d'objets et leurs attributs, les liens ainsi que l'interface utilisateur. Il peut créer à tout moment ses propres vues d'analyse ou d'architecture produit, soit en recombinant les éléments du langage Envision soit en créant son propre formalisme.
Pérennité, Flexibilité - Envision exploite la base de données SQL Server de Microsoft^®. Cette technologie centralise toute l'information graphique et textuelle dans un référentiel unique et permet de gérer une très grande quantité d'information.
Changements - L'outil surveille l'arrivée d'événements (paramétrables) sur les objets du référentiel ainsi que sur les mises à jour des documents externes liés. Toute modification est "historisée" et peut faire l'objet d'avertissement par e-mail. Un changement dans une vue est immédiatement répercuté sur toutes les autres vues de l'architecture et le cas échéant jusque dans les commentaires textuels (fonction de traçabilité).
Approbation - Un système de gestion collaboratif permet de traiter les listes de demandes d'approbation après modification et facilite la validation en affichant de façon collorée les différences entre les versions (workflow d'approbation).
Valorisation de l'information en travail collaboratif
Centralisation et partage en temps réel de l'information d'ingénierie. Les acteurs ont accès, selon leur rôle, à une définition unique des données. La gestion précise des rôles, permet le contrôle des accès aux vues et aux données et assure la sécurité de l'information dans un environnement collaboratif.

Centraliser l'information

Regrouper toute l'information dans un référentiel (ici SQL Server) unique permet, en plus de faciliter l'accessibilité, de créer des liens de dépendance, de calcul et de traçabilité entre tous les points de vue et les objets de l'architecture. Cela autorise l'élaboration de tableaux de bord efficaces, à jour, pertinents et en temps réel.

Ordre et méthode!

De l'ordre: L'outil support de la méthode doit permettre de gérer une quantité importante d'informations complexes. Ces données évoluent dans le temps et sont souvent réutilisées dans des contextes différents. Envision met de l'ordre dans cette forêt en centralisant et en optimisant (pas de doublon) toute l'information dans un référentiel sécurisé. Retrouver une information et ses évolutions est un jeu d'enfant.

De la méthode: Créer de l'information normalisée, sans ambigüité, non redondante et compréhensible par tous est essentiel pour le projet. S'assurer qu'il ne manque rien (exhaustivité et complétude) sont des éléments clés pour assurer la qualité et le succès final.

Tableaux de bord

Envision^® possède aussi un tableur interne à la "Excel™, pour l'analyse des données du projet et la simulation des attributs numériques (ex. : analyse de la valeur), directement à partir de la base de données. La modification d'une cellule depuis le tableau est immédiatement répercutée sur l'ensemble de l'architecture et les valeurs recalculées. Associé à des filtres de recherche multiples, l'outil est une aide puissante pour la prise de décision et le choix d'une solution.

Exemple de tableau résumé des évènements.

Exemple de tableau résumé des processus de danger par sources de danger.

Ce que permet l'outil Envision:

Modéliser, cartographier, analyser tout type d'information d'un projet (structurée, orientée objet...)
Centraliser et partager l'information afin de supprimer les doublons, réduire la multiplication des documents de travail (information digitalization) et faciliter leur gestion
Permettre le travail collaboratif sécurisé et gérer les profils
Garder la cohérence du projet en traçant l'impact des changements internes ainsi que les mises à jour des documents externes liés
Faciliter le processus d'approbation des changements en temps réel ou en différé (Workflow)
Archiver un historique de tous les changements pour éventuellement revenir à une version précédente
Créer des liens dynamiques avec toutes les vues du projet: Fonctionnelle - Organique - Phases - Tests - Risques...
Connaitre l'état détaillé du projet et gérer les avis d'expertise et de conformité
Créer des tableaux de bord dynamiques spécifiques à chacune des parties prenantes
Publier les livrables selon le format de l'entreprise (contenu et forme) vers Word, Excel, PDF ou sur un site intranet/Internet pour faciliter la consultation à distance.

Gestion des risques informatiques

Envision Risks IT^©

Logiciel de Gestion et d'Analyse de Risques Informatiques

Basé sur les principes standards de la science du danger

Envision Risks IT est une option d'
Envision IT

Risques sur les éléments du S.I. : Applications, systèmes, réseaux, données personnelles (RGPD...