Gestion des risques informatiques

Envision Risks IT est une option d'
Envision IT

Panorama des fonctionnalités principales

Méthode générale pour analyser et gérer les risques informatiques d'une organisation.

Risques sur les éléments du S.I. : Applications, systèmes, réseaux, données personnelles (RGPD)...

Méthode basée sur les principes standards de la science du danger

La solution est moderne, de grande qualité graphique et très intuitive. Elle structure la démarche dans un environnement multi-utilisateur, gère les changements et les demandes d'approbation (workflow collaboratif) et centralise l'information. Elle accroît la productivité des parties prenantes et la qualité des projets. Pérenne, elle peut gérer de très grandes quantités de données.

L'outil Envision Risks IT^© : Représentation graphique des risques d'une application et de l'infrastructure.

Généralités sur les risques informatiques

Aujourd'hui, les organismes sont très dépendants des performances du Système d'Information (SI). Celui-ci renferme des trésors dans ses diverses mémoires. Il contient toutes les données stratégiques et est devenu le système nerveux et de communication central. La dépendance au SI entraine des risques informatiques, qui par leurs conséquences peuvent mettre en cause la pérennité de l'entreprise. L'analyse de risque permet d'identifier les dangers induits par les applications et les systèmes informatiques, d'évaluer les risques et de définir des barrières de protection ou de prévention qui vont réduire à des niveaux acceptables, les conséquences de l'arrivée d'évènements redoutés. C'est une mise en pratique de la science du danger: la "Cindynique" qui est enseignée dans la plupart des grandes écoles d'ingénieurs.

• La gestion des risques examine les facteurs technologiques, la protection des données personnelles, la protection des avoirs informationnels, des droits d'auteurs etc. pour identifier les dangers. Les processus d'établissement de rapports sont vérifiés pour leur conformité aux exigences règlementaires et à leur efficacité à réduire l'arrivée d'évènements non souhaités (risques).

• Essentiellement, la gestion du risque est la combinaison de trois étapes: l'identification et la caractérisation des risques, l'introduction de contrôles des risques (barrières) et une surveillance constante (évolution, incidents).

L'approche standard d'analyse de risques

Elle est basée sur la cartographie des applications et des systèmes informatiques (sources de dangers), ou fait suite à une urbanisation du SI déjà réalisée, ce qui en valorise le travail (voir Envision IT). L'A.R. permet d'identifier et de rendre acceptable les risques de dysfonctionnement des éléments constitutifs du S.I. et ainsi, d'éviter des catastrophes économiques liées à l'interruption partielle ou totale des services et aux malversations diverses.

Elle permet aussi la mise en place et le suivi d'un plan d'actions actualisé.

L'entreprise évolue et par conséquence les risques. La gestion en continue des risques permet le suivi de leur évolution et la réévaluation de leur criticité, des coûts des barrières et de leur efficacité (taux de couverture).

Selon les circonstances, cette analyse de risques peut se faire indépendamment de toute cartographie préalable. L'outil se réduit à un simple gestionnaire de risques liés aux éléments constitutifs du SI.

Qui est concerné?

Les dirigeant d'entreprises et les responsables IT peuvent maintenant être tenu responsables de l'utilisation des données personnelles. En plus d'amandes substantielles, des peines d'emprisonnement peuvent être prononcées à leur encontre et l'ignorance n'est plus reconnue par la jurisprudence comme système de défense.

Pourquoi avez-vous besoin de gérer les risques (Risks Management) ?

• Pour assurer la continuité du service (PCA).

• Pour être en conformité avec la règlementation.

• Pour produire des documents règlementaires d'analyse de risques complets et à jour

• Pour éviter les catastrophes financières, humaines, environnementales, éthiques et médiatiques

Principe général

La méthode proposée est basée sur la cartographie des applications, des réseaux et de l'infrastructure technique des organismes dont les dysfonctionnements peuvent entrainer des risques techniques ayant des conséquences opérationnelles : financières, juridiques, des retards, une dégradation de la qualité, de l'image etc.

Par risques informatiques, il faut entendre les risques que l’organisation du SI, ses acteurs et l’environnement externe font courir à l'organisme.

Rien que dans le secteur bancaire, le Comité Bâle III a mené une analyse quantitative de ces risques sur près d’une centaine d’établissements : les résultats démontrent la fréquence et le coût global élevés des incidents opérationnels liés aux technologies de l'information (IT) : ils génèrent en moyenne près de 90 millions d’euros de perte. Une analyse plus fine démontre que si les risques les plus élevés sont aussi les mieux couverts, c’est finalement la diversité des risques non couverts qui explique l’importance du coût final.

Selon les circonstances et dans le cas ou les sources de dangers ont déjà identifié (avec Word, Excel, XML,...), cette analyse de risques peut se faire indépendamment de toute cartographie du SI, en important facilement dans l'outil les sources de dangers pralablement répertoriées.

Ce qu'apporte la méthode

• Approche validée basée sur les concepts généraux de la science du danger (cindynique)
  Utilisée par de nombreuses sociétés pour gérer les risques informatiques

• Recensement exhaustifs des processus de danger
  La cartographie des applications, fonctions, données, systèmes etc. permet d'identifier sans en oublier, toutes les sources de dangers

• Définition, qualification et quantification des risques
  C'est la qualification et la quantification des sources de dangers qui permettent de définir la criticité des risques : Evènement Non Souhaité (ENS)

• Génération de scénarios de risques
  Facilite l'identification de nouvelles combinaisons de risques et de comprendre leur genèse.

• Mise en place de barrières techniques et opératoires (plan d'actions)
  Qualification et quantification des barrières, et des actions à mettre en œuvre, pour minimiser ou supprimer les conséquences d'évènements non souhaités. C'est le fond du plan d'actions

• Thésaurisation, valorisation, traçabilité et partage
  Création d'une base de données centralisée de risques avec accès en multiutilisateur, pour capitaliser l'effort, permettre sa réutilisation (valorisation) et partager les définitions communes des risques

Evolutivité

Adaptez l'outil et la méthode à votre besoin!

A tout instant, vous pouvez redéfinir à votre convenance l'outil et sa base de données, pour supporter votre propre version de la méthode d'analyse de risques. C'est possible avec le méta outil inclus dans la solution.

Les principaux outils collaboratifs d'Envision

Ils vont vous aider à réduire les coûts et les délais et à augmenter la qualité du projet. Ils vont réellement vous faire gagner de l'argent, voici comment :

• Gestion des rôles : Pour une organisation précise, détaillée et formalisée de l'équipe

• Travail collaboratif : Un travail multi-utilisateur en temps réel, sécurisé pour réduire les délais et mieux communiquer

• Bac à sable : Pour favoriser l'innovation de vos projets en testant les changements, sans risque et en réunion dans des bacs à sable collaboratifs

• Suivi des impacts : Une analyse collorée des impacts des modifications sur tout le projet, pour réduire les coûts de régression

• Workflow d'approbation : Pour gérer les demandes d'approbation des modifications avec affichage coloré des différences

• Gestion de "Baselines" : Pour créer des versions, des variantes, une ligne de base pour un nouveau projet ou simplement pour revenir à un état antérieur, avec affichage des différences

• Gestion des rappels (reminders) : La gestion des rappels par e-mails, pour vous avertir de l'arrivée d'événements divers et pour vous aider à prendre des décisions sans perte de temps

• Analyse matricielle : Des tableaux de bord personnalisables et dynamiques pour analyser et modifier facilement à la volée de grandes quantités de données sans avoir à naviguer dans les vues

• Publication : Un générateur de rapport 100% automatique vers Word/Excel/HTML, livrable immédiatement sans retouche et au format de l'entreprise pour recentrer l'activité de l'équipe sur des tâches à plus haute valeur ajoutée

• Pérennité : La pérennité et la sécurité de vos projets sont assurées avec l'intégration d'outils de renommée mondiale : Windows, SQL Server, Active Directory de Microsoft

• Souplesse : L'administrateur de l'outil peut reconfigurer complètement les méta modèles pour les adapter à un besoin de modélisation particulier : les types d'objets et leurs attributs, les liens ainsi que l'interface utilisateur.

Centraliser l'information

Regrouper toute l'information dans un référentiel unique (ici SQL Server "on-premise" ou sur le "cloud") supprime les doublons, facilite l'accessibilité aux données, permet la traçabilité des changements sur tout le projet, de créer des liens de dépendance et de calcul transverses et réduit significativement la quantité de fichiers à gérer.

Architecture fonctionnelle de l'outil Envision Risks IT^©.

Ordre et méthode!

De l'ordre: L'outil support de la méthode doit permettre de gérer une quantité importante d'informations complexes. Ces données évoluent dans le temps et sont souvent réutilisées dans des contextes différents. Envision met de l'ordre dans cette forêt en centralisant et en optimisant (pas de doublon) toute l'information dans un référentiel sécurisé. Retrouver une information et ses évolutions est un jeu d'enfant.

De la méthode: Créer de l'information normalisée, sans ambigüité, non redondante et compréhensible par tous est essentiel pour le projet. S'assurer qu'il ne manque rien (exhaustivité et complétude) sont des éléments clés pour assurer la qualité et le succès final.

Tableaux de bord

Envision^® possède un générateur de tableaux de bord pour l'analyse des données du projet et la simulation de scénarios (ex. : analyse des coûts...), directement à partir de la base de données. La modification d'une cellule depuis le tableau est immédiatement répercutée sur l'ensemble de l'architecture et les valeurs recalculées. Associé à des filtres de recherche multiples, l'outil offre aux parties prenantes une aide puissante, adaptée à chacun, pour la prise de décision et le choix d'une solution.

Résumé

Envision est une solution moderne, modulaire et pérenne pour :

• Modéliser, cartographier, analyser tout type d'information : structurée, objet, systémique, fractale...

• Centraliser l'information pour la partager, supprimer les doublons, réduire la multiplication des documents de travail

• Travailler en mode collaboratif sécurisé pour accroitre l'efficacité de l'équipe

• Encourager les améliorations et les changements pour augmenter la qualité du projet

• S'assurer de la cohérence du projet en traçant l'impact des changements pour limiter le coût de la régressivité

• Faciliter le processus d'approbation des changements avec comparaison colorée

• Préparer l'avenir avec la gestion de baselines et de variantes

• Prendre des décisions urgentes avec la gestion de rappels suite à l'arrivée d'événements divers

• Connaître l'état détaillé du projet à un instant "T" et les avis d'expertise

• Faire des synthèses et modifier les données à la volée avec des tableaux de bord personnalisés

• Publier automatiquement des rapports complets, 100% Word, Excel, HTML pour gagner du temps et de la valeur ajoutée