D�marche g�n�rale pour analyser et g�rer les risques informatiques d'une organisation.

Risques sur les �l�ments du S.I. : Applications, syst�mes, r�seaux, donn�es personnelles...

La solution est moderne, de grande qualit� graphique et tr�s intuitive. Elle structure la d�marche dans un environnement multiutilisateur, g�re les changements et les demandes d'approbation (workflow collaboratif) et centralise l'information. Elle accroit la productivit� des parties prenantes et la qualit� des projets. P�renne, elle peut g�rer de tr�s grandes quantit�s de donn�es.

L'outil Envision Risks IT^� : Repr�sentation graphique des risques d'une application et de l''infrastructure.

G�n�ralit�s sur les risques informatiques

Aujourd'hui, les organismes sont tr�s d�pendants des performances du Syst�me d'Information (SI). Celui-ci renferme des tr�sors dans ses diverses m�moires. Il contient toutes les donn�es strat�giques et est devenu le syst�me nerveux et de communication central. La d�pendance au SI entraine des risques informatiques, qui par leurs cons�quences peuvent mettre en cause la p�rennit� de l'entreprise. L'analyse de risque permet d'identifier les dangers induits par les applications et les syst�mes informatiques, d'�valuer les risques et de d�finir des barri�res de protection ou de pr�vention qui vont r�duire � des niveaux acceptables, les cons�quences de l'arriv�e d'�v�nements redout�s. C'est une mise en pratique de la science du danger: la Cindynique qui est enseign�e dans la plupart des grandes �coles d'ing�nieurs.

La gestion des risques examine les facteurs politiques, sociaux, �conomiques et d'ing�nierie pour identifier les dangers. Les processus d'�tablissement de rapports sont v�rifi�s pour leur conformit� aux exigences r�glementaires et � leur efficacit� � r�duire l'arriv�e d'�v�nements non souhait�s (risques).
Essentiellement, la gestion du risque est la combinaison de trois �tapes: l'identification des risques, l'introduction de contr�les des risques (barri�res) et une surveillance constante.

L'approche standard d'analyse de risques

Elle est bas�e sur la cartographie des applications et des syst�mes informatiques (sources de dangers), ou fait suite � une urbanisation du SI d�j� r�alis�e, ce qui en valorise le travail (voir Envision IT). L'A.R. permet d'identifier et de rendre acceptable les risques de dysfonctionnement des �l�ments constitutifs du S.I. et ainsi, d'�viter des catastrophes �conomiques li�es � l'interruption partielle ou totale des services et aux malversations diverses.

L'entreprise �volue et par cons�quence les risques. La gestion en continue de ceux-ci permet le suivi de l'�volution des dangers, des incidents et la r��valuation de la criticit� des risques, des co�ts des barri�res et de leur efficacit� (taux de couverture) afin d'avoir une connaissance actualis�e de l'�tat des dangers. Elle permet aussi la mise en place d'un plan d'actions � jour.

Selon les circonstances, cette analyse de risques peut se faire ind�pendamment de toute cartographie pr�alable. L'outil se r�duit � un simple gestionnaire de risques li�s aux �l�ments constitutifs du SI.

Qui est concern�?

Les dirigeant d'entreprises et les responsables IT peuvent maintenant �tre tenu responsables de l'utilisation des donn�es personnelles. En plus d'amandes substantielles, des peines d'emprisonnement peuvent �tre prononc�es � leur encontre et l'ignorance n'est plus reconnue par la jurisprudence comme syst�me de d�fense.

Pourquoi avez-vous besoin de g�rer les risques (Risks Management) ?

Pour assurer la continuit� du service.
Pour �tre en conformit� avec la r�glementation.
Pour produire des documents r�glementaires d'analyse de risques
Pour �viter les catastrophes financi�res, humaines, environnementales, �thiques et m�diatiques

Principe g�n�ral

La m�thode propos�e est bas�e sur la cartographie des processus, des activit�s et des proc�dures des organismes dont les dysfonctionnements peuvent entrainer des risques op�rationnels ayant des cons�quences financi�res, juridiques, des retards, une d�gradation de la qualit�, de l'image etc.

Par risques op�rationnels, il faut entendre les risques que l�organisation, ses acteurs et l�environnement externe font courir � l'organisme (banque, soci�t� immobili�re etc.).

Le Comit� B�le III a men� une analyse quantitative de ces risques sur pr�s d�une centaine d��tablissements : les r�sultats d�montrent la fr�quence et le co�t global �lev�s des incidents op�rationnels : ils g�n�rent en moyenne pr�s de 90 millions d�euros de perte. Une analyse plus fine d�montre que si les sinistres les plus �lev�s sont aussi les mieux couverts (incendie, d�g�ts des eaux), c�est finalement la diversit� des risques non couverts qui explique l�importance du co�t final.

Selon les circonstances, cette analyse de risques peut se faire ind�pendamment de toute cartographie pr�alable ou int�gr�e � la cartographie des processus m�tiers avec Envision IT.

B�n�fices

M�thode valid�e bas�e sur les concepts g�n�raux de la science du danger (cindynique)
Utilis�e par de nombreuses soci�t�s pour g�rer les risques informatiques
Recensement exhaustifs des processus de danger
La cartographie des applications, fonctions, donn�es, syst�mes etc. permet d'identifier sans oublie toutes les sources de dangers
D�finition, qualification et quantification des risques
C'est la qualification et la quantification des sources de dangers qui permettent de d�finir les risques
G�n�ration de sc�narios de risques
Facilite l'identification de nouvelles combinaisons de risques et de comprendre leur gen�se.
Mise en place de barri�res techniques et op�ratoires (plan d'actions)
Qualification et quantification des barri�res, et des actions � mettre en �uvre, pour minimiser ou supprimer les cons�quences d'�v�nements non souhait�s. C'est le fond du plan d'actions
Gestion des changements et de l'historique
Calculs automatis�s de consolidation des donn�es num�riques et mise � jour apr�s modification: fr�quences/probabilit�s, co�ts, taux de couverture/de confiance etc. Permet de suivre l'�volution des risques et de prendre � temps les bonnes d�cisions
Th�saurisation, valorisation, tra�abilit� et partage
Cr�ation d'une base de donn�es centralis�e de risques avec acc�s en multiutilisateur, pour capitaliser l'effort, permettre sa r�utilisation (valorisation) et partager les d�finitions communes des risques

L'outil Envision^®

En plus de la mise en �uvre des concepts m�thodologiques cit�s plus haut, Envision^® offre de nombreux outils de productivit�, d'analyse, de recherche et de stockage de l'information ainsi qu'un syst�me automatis� de production de livrables personnalis�s aux formats Word - Excel - HTML.
En outre l'outil poss�de une fonction de g�n�ration automatique de site Web "Save As Web" pour la consultation � distance du r�f�rentiel du projet, avec un simple navigateur Internet Explorer.

Souplesse - Bien que livr� pr�t � �tre utilis�, l'administrateur de l'outil peut reconfigurer compl�tement les mod�les, les types d'objets et leurs attributs, les liens ainsi que l'interface utilisateur. Il peut cr�er � tout moment ses propres vues d'analyse ou d'architecture produit, soit en recombinant les �l�ments du langage Envision soit en cr�ant son propre formalisme.
P�rennit�, Flexibilit� - Envision exploite la base de donn�es SQL Server de Microsoft^®. Cette technologie centralise toute l'information graphique et textuelle dans un r�f�rentiel unique et permet de g�rer une tr�s grande quantit� d'information.
Changements - Un syst�me de gestion d'�v�nements permet de cr�er des "workflows" sp�cifiques de suivi et de validation des changements. Envision "historise" tous les changements. Une modification dans une vue est imm�diatement r�percut�e sur toutes les autres vues de l'architecture et le cas �ch�ant, jusque dans les commentaires textuels (fonction de tra�abilit�).
Approbation - Un syst�me collaboratif g�re les listes de demandes d'approbation apr�s modification et facilite la validation en affichant les diff�rences entre les versions (workflow d'approbation).
Valorisation de l'information en travail collaboratif
Centralisation et partage en temps r�el de l'information d'ing�nierie. Les acteurs ont acc�s, selon leur r�le, � une d�finition unique des donn�es. La gestion pr�cise des r�les, permet le contr�le des acc�s aux vues et aux donn�es et assure la s�curit� de l'information dans un environnement collaboratif.

Centraliser l'information

Regrouper toute l'information dans un r�f�rentiel (ici SQL Server) unique permet, en plus de faciliter l'accessibilit�, de cr�er des liens de d�pendance, de calcul et de tra�abilit� entre tous les points de vue et les objets de l'architecture. Cela autorise l'�laboration de tableaux de bord efficaces, � jour, pertinents et en temps r�el.

Architecture fonctionnelle de l'outil Envision Risks IT^�.

Ordre et m�thode!

De l'ordre: L'outil support de la m�thode doit permettre de g�rer une quantit� importante d'informations complexes. Ces donn�es �voluent dans le temps et sont souvent r�utilis�es dans des contextes diff�rents. Envision met de l'ordre dans cette for�t en centralisant et en optimisant (pas de doublon) toute l'information dans un r�f�rentiel s�curis�. Retrouver une information et ses �volutions est un jeu d'enfant.

De la m�thode: Cr�er de l'information normalis�e, sans ambig�it�, non redondante et compr�hensible par tous est essentiel pour le projet. S'assurer qu'il ne manque rien (exhaustivit� et compl�tude) sont des �l�ments cl�s pour assurer la qualit� et le succ�s final.

Tableaux de bord

Envision^® poss�de aussi un tableur interne � la "Excel�, pour l'analyse des donn�es du projet et la simulation des attributs num�riques (ex. : analyse de la valeur), directement � partir de la base de donn�es. La modification d'une cellule depuis le tableau est imm�diatement r�percut�e sur l'ensemble de l'architecture et les valeurs recalcul�es. Associ� � des filtres de recherche multiples, l'outil est une aide puissante pour la prise de d�cision et le choix d'une solution.

Exemple de tableau r�sum� des �v�nements.

Exemple de tableau r�sum� des processus de danger par sources de danger.

Ce que permet l'outil Envision:

Mod�liser, cartographier, analyser tout type d'information d'un projet (structur�e, orient�e objet...)
Centraliser et partager l'information afin de supprimer les doublons, r�duire la multiplication des documents de travail (information digitalization) et faciliter leur gestion
Permettre le travail collaboratif s�curis� et g�rer les profils
Tracer et �valuer l'impact de tous les changements
Approuver rapidement et facilement toutes les demandes d'approbation de changements (Workflow)
Garder un historique de tous les changements pour �ventuellement revenir � une version pr�c�dente
Cr�er des liens dynamiques avec toutes les vues du projet: Fonctionnelle - Organique - Phases - Tests - Risques...
Connaitre l'�tat d�taill� du projet et g�rer les avis d'expertise et de conformit�
Cr�er des tableaux de bord dynamiques sp�cifiques � chacune des parties prenantes
Publier les livrables selon le format de l'entreprise (contenu et forme) vers Word, Excel, PDF ou sur un site intranet/Internet pour faciliter la consultation � distance.

Gestion des risques informatiques

Envision Risks IT^©

Logiciel de Gestion et d'Analyse de Risques Informatiques.

Envision Risks IT est une option d'
Envision IT

Risques sur les �l�ments du S.I. : Applications, syst�mes, r�seaux, donn�es personnelles...