EnteteCf2.jpg

Gestion des risques informatiques

Envision Risks IT©

Logiciel de Gestion et d'Analyse de Risques Informatiques

Basé sur les principes standards de la science du danger

Envision Risks IT est une option d'
Envision IT


Méthode générale pour analyser et gérer les risques informatiques d'une organisation.

Risques sur les éléments du S.I. : Applications, systèmes, réseaux, données personnelles (RGPD)...

Méthode basée sur les principes standards de la science du danger

La solution est moderne, de grande qualité graphique et très intuitive. Elle structure la démarche dans un environnement multiutilisateur, gère les changements et les demandes d'approbation (workflow collaboratif) et centralise l'information. Elle accroît la productivité des parties prenantes et la qualité des projets. Pérenne, elle peut gérer de très grandes quantités de données.

RisquesIT.png

L'outil Envision Risks IT© : Représentation graphique des risques d'une application et de l'infrastructure.

Généralités sur les risques informatiques

Aujourd'hui, les organismes sont très dépendants des performances du Système d'Information (SI). Celui-ci renferme des trésors dans ses diverses mémoires. Il contient toutes les données stratégiques et est devenu le système nerveux et de communication central. La dépendance au SI entraine des risques informatiques, qui par leurs conséquences peuvent mettre en cause la pérennité de l'entreprise. L'analyse de risque permet d'identifier les dangers induits par les applications et les systèmes informatiques, d'évaluer les risques et de définir des barrières de protection ou de prévention qui vont réduire à des niveaux acceptables, les conséquences de l'arrivée d'évènements redoutés. C'est une mise en pratique de la science du danger: la "Cindynique" qui est enseignée dans la plupart des grandes écoles d'ingénieurs.

L'approche standard d'analyse de risques

Elle est basée sur la cartographie des applications et des systèmes informatiques (sources de dangers), ou fait suite à une urbanisation du SI déjà réalisée, ce qui en valorise le travail (voir Envision IT). L'A.R. permet d'identifier et de rendre acceptable les risques de dysfonctionnement des éléments constitutifs du S.I. et ainsi, d'éviter des catastrophes économiques liées à l'interruption partielle ou totale des services et aux malversations diverses.

Elle permet aussi la mise en place et le suivi d'un plan d'actions actualisé.

L'entreprise évolue et par conséquence les risques. La gestion en continue des risques permet le suivi de leur évolution et la réévaluation de leur criticité, des coûts des barrières et de leur efficacité (taux de couverture).

Selon les circonstances, cette analyse de risques peut se faire indépendamment de toute cartographie préalable. L'outil se réduit à un simple gestionnaire de risques liés aux éléments constitutifs du SI.

Qui est concerné?

Les dirigeant d'entreprises et les responsables IT peuvent maintenant être tenu responsables de l'utilisation des données personnelles. En plus d'amandes substantielles, des peines d'emprisonnement peuvent être prononcées à leur encontre et l'ignorance n'est plus reconnue par la jurisprudence comme système de défense.

Pourquoi avez-vous besoin de gérer les risques (Risks Management) ?

Principe général

PrincipeRisquesInformatiques.png


La méthode proposée est basée sur la cartographie des applications, des réseaux et de l'infrastructure technique des organismes dont les dysfonctionnements peuvent entrainer des risques opérationnels ayant des conséquences financières, juridiques, des retards, une dégradation de la qualité, de l'image etc.

Par risques informatiques, il faut entendre les risques que l’organisation du SI, ses acteurs et l’environnement externe font courir à l'organisme.

Rien que dans le secteur bancaire, le Comité Bâle III a mené une analyse quantitative de ces risques sur près d’une centaine d’établissements : les résultats démontrent la fréquence et le coût global élevés des incidents opérationnels liés aux technologies de l'information (IT) : ils génèrent en moyenne près de 90 millions d’euros de perte. Une analyse plus fine démontre que si les risques les plus élevés sont aussi les mieux couverts, c’est finalement la diversité des risques non couverts qui explique l’importance du coût final.

Selon les circonstances, cette analyse de risques peut se faire indépendamment de toute cartographie préalable ou intégrée à la cartographie des applications et des systèmes du SI avec Envision IT.

Ce qu'apporte la méthode

  • Approche validée basée sur les concepts généraux de la science du danger (cindynique)
    Utilisée par de nombreuses sociétés pour gérer les risques informatiques

  • Recensement exhaustifs des processus de danger
    La cartographie des applications, fonctions, données, systèmes etc. permet d'identifier sans oublie toutes les sources de dangers

  • Définition, qualification et quantification des risques
    C'est la qualification et la quantification des sources de dangers qui permettent de définir les risques : Evènement Non Souhaité (ENS)

  • Génération de scénarios de risques
    Facilite l'identification de nouvelles combinaisons de risques et de comprendre leur genèse.

  • Mise en place de barrières techniques et opératoires (plan d'actions)
    Qualification et quantification des barrières, et des actions à mettre en œuvre, pour minimiser ou supprimer les conséquences d'évènements non souhaités. C'est le fond du plan d'actions

  • Gestion des changements et de l'historique
    Calculs automatisés de consolidation des données numériques et mise à jour après modification: fréquences/probabilités, coûts, taux de couverture/de confiance etc. Permet de suivre l'évolution des risques et de prendre à temps les bonnes décisions

  • Thésaurisation, valorisation, traçabilité et partage
    Création d'une base de données centralisée de risques avec accès en multiutilisateur, pour capitaliser l'effort, permettre sa réutilisation (valorisation) et partager les définitions communes des risques



L'outil Envision®

EnvisionYourWorld.png

En plus de la mise en œuvre des concepts méthodologiques cités plus haut, Envision® offre de nombreux outils de productivité, d'analyse, de recherche et de stockage de l'information ainsi qu'un système automatisé de production de livrables personnalisés aux formats Word - Excel - HTML.
En outre l'outil possède une fonction de génération automatique de site Web "Save As Web" pour la consultation à distance du référentiel du projet, avec un simple navigateur Internet Explorer.

Ce qu'offre l'outil Envision:

Centraliser l'information

Regrouper toute l'information dans un référentiel (ici SQL Server) unique permet, en plus de faciliter l'accessibilité, de créer des liens de dépendance, de calcul et de traçabilité entre tous les points de vue et les objets de l'architecture. Cela autorise l'élaboration de tableaux de bord efficaces, à jour, pertinents et en temps réel.

ReferentielRisksInformatiques.png

Architecture fonctionnelle de l'outil Envision Risks IT©.

Ordre et méthode!

De l'ordre: L'outil support de la méthode doit permettre de gérer une quantité importante d'informations complexes. Ces données évoluent dans le temps et sont souvent réutilisées dans des contextes différents. Envision met de l'ordre dans cette forêt en centralisant et en optimisant (pas de doublon) toute l'information dans un référentiel sécurisé. Retrouver une information et ses évolutions est un jeu d'enfant.

De la méthode: Créer de l'information normalisée, sans ambigüité, non redondante et compréhensible par tous est essentiel pour le projet. S'assurer qu'il ne manque rien (exhaustivité et complétude) sont des éléments clés pour assurer la qualité et le succès final.



Tableaux de bord

Envision® possède aussi un tableur interne à la "Excel™, pour l'analyse des données du projet et la simulation des attributs numériques (ex. : analyse de la valeur), directement à partir de la base de données. La modification d'une cellule depuis le tableau est immédiatement répercutée sur l'ensemble de l'architecture et les valeurs recalculées. Associé à des filtres de recherche multiples, l'outil est une aide puissante pour la prise de décision et le choix d'une solution.

TableauEvenements.png Exemple de tableau résumé des évènements.

TableauSourcesDeDanger.png Exemple de tableau résumé des processus de danger par sources de danger.

Ce que permet l'outil Envision:

Contactez-nous

CASE France
2 allée de Londres
91969 Courtaboeuf Cedex
33 (0)1 69 86 95 46

contact@case-france.com

Plus d'informations

Documentation & prix

Formations & prestations

Ressources & support

Publications - Vidéos & Evènements

Infos légales

Cert_Partner_rgb_6.png