Risques sur les éléments du S.I. : Applications, systèmes, réseaux, données personnelles (RGPD)...
La solution est moderne, de grande qualité graphique et très intuitive. Elle structure la démarche dans un environnement multiutilisateur, gère les changements et les demandes d'approbation (workflow collaboratif) et centralise l'information. Elle accroît la productivité des parties prenantes et la qualité des projets. Pérenne, elle peut gérer de très grandes quantités de données.
L'outil Envision Risks IT© : Représentation graphique des risques d'une application et de l'infrastructure.
Aujourd'hui, les organismes sont très dépendants des performances du Système d'Information (SI). Celui-ci renferme des trésors dans ses diverses mémoires. Il contient toutes les données stratégiques et est devenu le système nerveux et de communication central. La dépendance au SI entraine des risques informatiques, qui par leurs conséquences peuvent mettre en cause la pérennité de l'entreprise. L'analyse de risque permet d'identifier les dangers induits par les applications et les systèmes informatiques, d'évaluer les risques et de définir des barrières de protection ou de prévention qui vont réduire à des niveaux acceptables, les conséquences de l'arrivée d'évènements redoutés. C'est une mise en pratique de la science du danger: la "Cindynique" qui est enseignée dans la plupart des grandes écoles d'ingénieurs.
La gestion des risques examine les facteurs technologiques, la protection des données personnelles, la protection des avoirs informationnels, des droits d'auteurs etc. pour identifier les dangers. Les processus d'établissement de rapports sont vérifiés pour leur conformité aux exigences règlementaires et à leur efficacité à réduire l'arrivée d'évènements non souhaités (risques).
Essentiellement, la gestion du risque est la combinaison de trois étapes: l'identification et la caractérisation des risques, l'introduction de contrôles des risques (barrières) et une surveillance constante (évolution, incidents).
Elle est basée sur la cartographie des applications et des systèmes informatiques (sources de dangers), ou fait suite à une urbanisation du SI déjà réalisée, ce qui en valorise le travail (voir Envision IT). L'A.R. permet d'identifier et de rendre acceptable les risques de dysfonctionnement des éléments constitutifs du S.I. et ainsi, d'éviter des catastrophes économiques liées à l'interruption partielle ou totale des services et aux malversations diverses.
Elle permet aussi la mise en place et le suivi d'un plan d'actions actualisé.
L'entreprise évolue et par conséquence les risques. La gestion en continue des risques permet le suivi de leur évolution et la réévaluation de leur criticité, des coûts des barrières et de leur efficacité (taux de couverture).
Selon les circonstances, cette analyse de risques peut se faire indépendamment de toute cartographie préalable. L'outil se réduit à un simple gestionnaire de risques liés aux éléments constitutifs du SI.
Les dirigeant d'entreprises et les responsables IT peuvent maintenant être tenu responsables de l'utilisation des données personnelles. En plus d'amandes substantielles, des peines d'emprisonnement peuvent être prononcées à leur encontre et l'ignorance n'est plus reconnue par la jurisprudence comme système de défense.
Pour assurer la continuité du service (PCA).
Pour être en conformité avec la règlementation.
Pour produire des documents règlementaires d'analyse de risques complets et à jour
Pour éviter les catastrophes financières, humaines, environnementales, éthiques et médiatiques
La méthode proposée est basée sur la cartographie des applications, des réseaux et de l'infrastructure technique des organismes dont les dysfonctionnements peuvent entrainer des risques opérationnels ayant des conséquences financières, juridiques, des retards, une dégradation de la qualité, de l'image etc.
Par risques informatiques, il faut entendre les risques que l’organisation du SI, ses acteurs et l’environnement externe font courir à l'organisme.
Rien que dans le secteur bancaire, le Comité Bâle III a mené une analyse quantitative de ces risques sur près d’une centaine d’établissements : les résultats démontrent la fréquence et le coût global élevés des incidents opérationnels liés aux technologies de l'information (IT) : ils génèrent en moyenne près de 90 millions d’euros de perte. Une analyse plus fine démontre que si les risques les plus élevés sont aussi les mieux couverts, c’est finalement la diversité des risques non couverts qui explique l’importance du coût final.
Selon les circonstances, cette analyse de risques peut se faire indépendamment de toute cartographie préalable ou intégrée à la cartographie des applications et des systèmes du SI avec Envision IT.
Approche validée basée sur les concepts généraux de la
science du danger (cindynique)
Utilisée par de nombreuses sociétés pour gérer les risques
informatiques
Recensement exhaustifs des processus de danger
La cartographie des applications, fonctions, données,
systèmes etc. permet d'identifier sans oublie toutes les
sources de dangers
Définition, qualification et quantification des
risques
C'est la qualification et la quantification des sources de
dangers qui permettent de définir les risques : Evènement Non Souhaité (ENS)
Génération de scénarios de risques
Facilite
l'identification de nouvelles combinaisons de risques et de
comprendre leur genèse.
Mise en place de barrières techniques et opératoires
(plan d'actions)
Qualification et quantification des barrières, et des
actions à mettre en œuvre, pour minimiser ou supprimer les
conséquences d'évènements non souhaités. C'est le fond du
plan d'actions
Gestion des changements et de l'historique
Calculs automatisés de consolidation des données numériques
et mise à jour après modification: fréquences/probabilités,
coûts, taux de couverture/de confiance etc. Permet de suivre
l'évolution des risques et de prendre à temps les bonnes
décisions
Thésaurisation, valorisation, traçabilité et partage
Création d'une base de données centralisée de risques avec
accès en multiutilisateur, pour capitaliser l'effort,
permettre sa réutilisation (valorisation) et partager les
définitions communes des risques
En plus de la mise en œuvre des concepts méthodologiques cités
plus haut,
Envision® offre de nombreux outils de productivité,
d'analyse, de recherche et de stockage de l'information ainsi qu'un
système automatisé de production de livrables personnalisés aux formats
Word - Excel - HTML.
En outre l'outil possède une fonction de
génération automatique de site Web "Save As Web" pour la
consultation à distance du référentiel du projet, avec un simple
navigateur Internet Explorer.
Souplesse - Bien que livré prêt à être utilisé, l'administrateur de l'outil peut reconfigurer complètement les modèles, les types d'objets et leurs attributs, les liens ainsi que l'interface utilisateur. Il peut créer à tout moment ses propres vues d'analyse ou d'architecture produit, soit en recombinant les éléments du langage Envision soit en créant son propre formalisme.
Pérennité, Flexibilité - Envision exploite la base de données SQL Server de Microsoft®. Cette technologie centralise toute l'information graphique et textuelle dans un référentiel unique et permet de gérer une très grande quantité d'information.
Gestion des changements - Tout changement est archivé afin de permettre un retour à une situation antérieure ou pour gérer des variantes. L'outil surveille l'arrivée d'événements (paramétrables) sur les objets du référentiel ainsi que sur les mises à jour des documents externes liés. Toute modification est "historisée" et peut faire l'objet d'avertissement par e-mail. Un changement dans une vue est immédiatement répercuté sur toutes les autres vues de l'architecture et le cas échéant jusque dans les commentaires textuels (fonction de traçabilité).
Gestion des approbations - Un système de gestion collaboratif permet de traiter les listes de demandes d'approbation après modification et facilite la validation en affichant de façon collorée les différences entre les versions (workflow d'approbation).
Gestion de baseline "Baseline Management"
Création facilitée de nouvelles versions ou varientes d'un projet avec la gestion de "baseline".
Une baseline est une configuration archivée du projet, qui peut être réutilisée pour dériver une nouvelle version ou variante.
Il est également possible de naviguer facilement d'une configuration à une autre avec affichage des différences.
Valorisation de l'information en travail collaboratif
Centralisation et partage en temps réel de l'information
d'ingénierie. Les acteurs ont accès, selon leur rôle, à une
définition unique des données. La gestion précise des rôles,
permet le contrôle des accès aux vues et aux données et assure
la sécurité de l'information dans un environnement collaboratif.
Sécurité - La gestion précise et fine des rôles, permet le contrôle des accès aux vues et aux données, et assure la sécurité de l'information dans un environnement collaboratif.
Regrouper toute l'information dans un référentiel (ici SQL Server) unique permet, en plus de faciliter l'accessibilité, de créer des liens de dépendance, de calcul et de traçabilité entre tous les points de vue et les objets de l'architecture. Cela autorise l'élaboration de tableaux de bord efficaces, à jour, pertinents et en temps réel.
Architecture fonctionnelle de l'outil Envision Risks IT©.
De l'ordre: L'outil support de la méthode doit permettre de gérer une quantité importante d'informations complexes. Ces données évoluent dans le temps et sont souvent réutilisées dans des contextes différents. Envision met de l'ordre dans cette forêt en centralisant et en optimisant (pas de doublon) toute l'information dans un référentiel sécurisé. Retrouver une information et ses évolutions est un jeu d'enfant.
De la méthode: Créer de l'information normalisée, sans ambigüité, non redondante et compréhensible par tous est essentiel pour le projet. S'assurer qu'il ne manque rien (exhaustivité et complétude) sont des éléments clés pour assurer la qualité et le succès final.
Envision® possède aussi un tableur interne à la "Excel™, pour l'analyse des données du projet et la simulation des attributs numériques (ex. : analyse de la valeur), directement à partir de la base de données. La modification d'une cellule depuis le tableau est immédiatement répercutée sur l'ensemble de l'architecture et les valeurs recalculées. Associé à des filtres de recherche multiples, l'outil est une aide puissante pour la prise de décision et le choix d'une solution.
Exemple de tableau résumé des évènements.
Exemple de tableau résumé des processus de danger par sources
de danger.
Modéliser, cartographier, analyser tout type d'information d'un projet (structurée, orientée objet...)
Centraliser et partager l'information afin de supprimer les doublons, réduire la multiplication des documents de travail (information digitalization) et faciliter leur gestion
Permettre le travail collaboratif sécurisé et gérer les profils
Garder la cohérence du projet en traçant l'impact des changements internes ainsi que les mises à jour des documents externes liés
Faciliter le processus d'approbation des changements en temps réel ou en différé (Workflow)
Archiver un historique de tous les changements pour éventuellement revenir à une version précédente
Créer des liens dynamiques avec toutes les vues du projet: Fonctionnelle - Organique - Phases - Tests - Risques...
Connaître l'état détaillé du projet et gérer les avis d'expertise et de conformité
Créer des tableaux de bord dynamiques spécifiques à chacune des parties prenantes
Publier les livrables selon le format de l'entreprise (contenu et forme) vers Word, Excel, PDF, HTML ou sur un site intranet/Internet pour faciliter la consultation à distance.