mise en place d’une démarche personnalisée de gestion des risques it pour deloitte- maroc
DESCRIPTION
Deloite marocTRANSCRIPT
-
UNIVERSITE MOHAMMED V AGDAL
ECOLE MOHAMMADIA DINGENIEURS
Ralis par:
M. Hassan EL OUMRI
Dirig par:
M. Samir BENNANI
M. Rabii BERADY
M. Amine SERRAR
Mise en place dune dmarche personnalise de gestion des risques IT pour
DELOITTE- Maroc
Anne universitaire 2011-2012
Filire: Gnie Informatique
Options: Systmes dinformations
Mmoire de Projet de Fin dEtudes
N INF 26/12
-
UNIVERSITE MOHAMMED V AGDAL
ECOLE MOHAMMADIA DINGENIEURS
Filire: Gnie Informatique
Option: Systmes dinformations
Mmoire de Projet de Fin dEtudes
N INF 26/12
Mise en place dune dmarche personnalise de gestion des risques IT pour
DELOITTE- Maroc
Ralis par:
M. Hassan EL OUMRI
Soutenu le 31 Mai 2012 devant le jury :
Mme A.RETBI Prsident e Professeur lEMI
M M.KHALIDI IDRISSI Rapporteur Professeur lEMI
M S. BENNANI Encadrant Professeur lEMI
M R. BERADY Encadrant Manager DELOITTE
M A.SERRAR Encadrant Superviseur DELOITTE
Anne universitaire 2011-2012
-
Remerciements
Au terme de ce travail, je tiens remercier vivement et profondment tous ceux qui
ont contribu de prs ou de loin la ralisation de ce projet de fin dtudes.
De prime bord, je remercie personnellement Monsieur Samir BENNANI, qui ma
fait lhonneur de mencadrer et grce qui jai pu mener bien ce travail. Je tiens lui
tmoigner ma reconnaissance pour la qualit de son encadrement, son soutien et ses prcieux
conseils.
Mes sincres remerciements sont tout particulirement adresss Messieurs Rabii
BERADY, Amine SERRAR et Omar KARRAKCHOU, mes parrains de stage DELOITTE,
pour leurs encouragements, leurs soutiens et leurs implications lors de ce projet.
Je remercie galement tous les membres de jury davoir bien voulu valuer mon
modeste travail.
Je tiens exprimer ma gratitude tout le corps professoral et administratif de lEcole
Mohammedia dIngnieurs pour avoir fait preuve de disponibilit et dattention tout au long
de la priode de formation.
-
1
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
DDICACES
A mes trs chers parents,
Pour vos sacrifices, votre soutien inconditionnel, votre patience et votre
respect, je ne puis vous exprimer toute ma gratitude.
Pour mavoir laiss choisir mon chemin, trouver ma voie et devenir ce que je
suis, je vous suis reconnaissante jamais. Que Dieu vous procure sant,
bonheur et longue vie.
A Ahmed Amine, Mariam, Marwa et Samid
Que vous trouvez ici lexpression de mon plus grand amour pour vos
encouragements, vos conseils et votre soutien.
A mes tantes et mes cousins,
Que vous trouvez ici lexpression de mon plus grand attachement pour avoir
pris soin de moi, pour mavoir encourage et pour vos prires si nombreuses.
A Samia, Rachida, Salma, Sara, nada, asma, Sakina, mrym, meriem, Anass,
omar, Youssef, soufiane, jihad, hassan, ikhlef, amine, soulayman, nadia,
asmae, achraf, adnane
Pour votre amiti et votre soutien. Que ces annes lEcole ne soient quun
avant-got de tout ce qui est encore venir.
A tous ceux que jestime, amis de longue date ou connus lEcole, mais que je
ne peux tous citer.
Je vous ddie ce travail
-
2
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Rsum . Le management des risques est un processus permanent qui irrigue toute organisation.
Il est mis en uvre par lensemble des collaborateurs, tous les niveaux de lorganisation, en
particulier au niveau du systme dinformation. En effet, la mise en place dun dispositif de
management des risques informatiques, qui permet dobtenir une vision globale de
lexposition du systme dinformation aux risques. est devenu une ncessit au sein de
lentreprise, vu le gain important quapporte le systme dinformation en productivit.
Cest dans ce cadre, et afin dassurer une meilleur comptitivit et garder sa position
de leader dans le march marocain, Deloitte Maroc a dcid daccompagner les entreprises
dans la gestion et lvaluation des risques de leurs systmes dinformations et de pouvoir
prendre instantanment toute mesure correctrice approprie. Ce service dbouchera sur la
mise en uvre dune mthode personnalise de gestion des risques IT qui rpondra aux
besoins immdiats des clients.
Ainsi, la finalit de ce projet tait llaboration dune dmarche de gestion des risques
informatiques lis aux systmes dinformation, intgrant les concepts du management des
risques, et rpondant la problmatique de rigidit des mthodes existantes. Plusieurs
paramtres ont t considrs pour justifier le bienfond de cette dmarche personnalise, et
la pertinence des lments qui la constituent.
Par ailleurs, la dmarche propose doit respecter les normes et la mthodologie
prtablies au sein de DELOITTE ainsi que les rglementations en matire de risque qui
rgissent les secteurs bancaires et dassurances.
-
3
2102 - 1102 euqitamrofnI tnemetrapD sedutEd niF ed tejorP
.
.
.
.
.
.
.
.
-
4
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
ABSTRACT
Risk management is an ongoing process that irrigates organization. It is implemented
by all employees at all levels of the organization, particularly in the information system.
Indeed, the establishment of a mechanism for managing information risk, which provides an
overview of the system's exposure to risk information, has become a necessity in the business,
given the large gain brings to the information system productivity.
It is within this framework, and to ensure a better competitiveness and maintain
its leading position in the Moroccan market, Deloitte Morocco has decided to support
companies in the risk management assessment of their information systems and instantly be
able to take any appropriate remedial action. This service will result in the implementation of
a custom method of risk management IT that will meet the immediate needs of customers.
Also, the purpose of this project was to develop an approach to IT risk management related to
information systems, incorporating the concepts of risk management, and responding to the
problem of rigidity of the existing methods. Several parameters were considered to
justify the validity of this personalized approach, and relevance of its constituent elements.
Moreover, the proposed approach must meet the standards and methodology pre within
Deloitte and regulations with regard to risk governing the banking and insurance.
-
5
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Table de matires
INTRODUCTION ................................................................................................. 1
1. Premier Chapitre : Contexte et dmarche du projet ........... 3 1.1 Prsentation de lorganisme daccueil................................................................................. 3 1.1.1 Deloitte dans le monde ..................................................................................................... 3
1.1.2 Deloitte Maroc ................................................................................................................. 4
1.2. Prsentation du projet ......................................................................................................... 5
1.2.1. Management des risques des systmes dinformations.6 1..2.2. Dfinition gnrale de laudit..........................................................................................7
1.3. Contexte et objectif du projet ........................................................................................ 8 1.3.1. Cadrage............................................................................................................................ 8
1.3.2. Problmatique.................................................................................................................. 8
1.3.3. Objectif du projet............................................................................................................. 9
1.3.4. Dfinition du projet...................................................................................................... 9
1.4. Conclusion.12
2. Deuxime chapitre : Etude Benchmark........................................................................... 13
2.1. Prsentation des Missions de Contrles Gnraux Informatiques.13 2.1.1 Prsentation des missions................................................................................................ 13
2.1.2 Description du droulement des missions ...................................................................... 13
2.1.3 Apport des missions daudit la dmarche de gestion des risques IT.... 14
2.2. Analyse des mthodes existantes : tude Benchmark....14 2.2.1 Cadrage de ltude.................................................................................................. 15 2.2.2 Documentation........................................................................ 15 2.2.3 Choix des mthodes.... 15 2.2.4 Analyse approfondie........................................................................... 16 2.2.5 Synthse...... 22
2.3. Conclusion 26
3. Troisime chapitre : Elaboration de la dmarche personnalise de la gestion des
risques IT.27 3.1. Description gnrale de la dmarche................................................................................ 27
3.1.1. Justification de la proposition ....................................................................................... 27
3.1.2. Description gnrale de la mthode ............................................................................. 27
3.2. Description dtaille de la dmarche................................................................................ 28
3.2.1. La proposition ............................................................................................................... 28
3.2.2. Phase de cadrage de la mission.......................................................................................31
3.2.3. Identification des risques34
-
6
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
3.2.4. Evaluation des risques.37 3.2.5. Recommandations...40 3.2.6. Traitement des risques....41 3.2.7. Suivi et contrle des risques42 3.2.8. Capitalisation et documentation..43
3.3. Conclusion.....44
4. Quatrime chapitre : Etude de cas ...45 4.1. Cadrage de ltude............................................................................................................ 45 4.2. Phase de cadrage de la mission......................................................................................... 46
4.3. Identification des risques.................................................................................................. 48
4.4. Evaluation des risques .. 49 4.5. Rdaction des recommandations....51 4.6. Runion de validation ......52 4.7. Conclusion ....52
CONCLUSION GENERALE .............................................................................................. 53
Bibliographie ......................................................................................................................... 54
Webographie .......................................................................................................................... 54
Annexes .................................................................................................................................. 55
-
7
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Liste des figures :
Figure 1.1 : Implantations des firmes Deloitte dans le monde ..4 Figure 1.2 : Organigramme Deloitte MAROC......5 Figure 1.3 : Phases du projet....11 Figure 1.4 : Phases du projet....11 Figure 2.1 : Dmarche de ltude Benchmark.....15 Figure 2.2 : Architecture gnrale de la mthode CRAMM...16 Figure 2.3 : Dmarche gnrale de la mthode EBIOS......17 Figure 2.4 : Dmarche gnrale de la mthode MEHARI......18 Figure 2.5 : Cube COSO.....20 Figure 2.6 : Processus gnraux de la norme ISO 27005 ..21 Figure 2.7 : Domaines du rfrentiel Risk IT......22 Figure 3.1 : Processus gnraux de la dmarche personnalise...28 Figure 3.2 : Points cls de la proposition.....30 Figure 3.3 : Phases de lidentification des risques...34 Figure 3.4 : Matrice de criticit....39 Figure 4.1 : Planning prvisionnel de la mission.....46 Figure 4.2 : Diagramme dobjet de laxe Organisation du SI cible.....47
Liste des tableaux :
Tableau 1.1 : Description des tapes du projet..12 Tableau 2.1 : Synthse des principales caractristiques de mthodes de gestion des risque.23
Tableau 2.2 : Comparatif des mthodes de gestion des risques.....23 Tableau 2.3 : Description des principales caractristiques des rfrentiels tudis...24 Tableau 3.1 : Synoptique de la phase de la proposition......31 Tableau 3.2 : Synoptique de la phase de cadrage.. 34 Tableau 3.3 : Synoptique de la phase didentification des risques.37 Tableau 3.4: Synoptique des phases valuation des risques et recommandations.41 Tableau 4.1 : Liste des risques et des scnarios des risques identifis par rapport au processus
de la gestion de lassurance non vie 49 Tableau 4.2 : Evaluation des risques et des scnarios des risques identifis par rapport au
processus de la gestion de lassurance non vie.51 Tableau 4.3 : Liste des principales recommandations.52
-
8
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Introduction :
Aujourdhui, et dans un contexte de rcession mondiale, les entreprises voluent dans un
environnement trs incertain, domin par une forte concurrence nationale et internationale.
Pour garantir leur ractivit, rester comptitive, et assurer la continuit de leur service, elles
sont dans lobligation de mettre en place un systme de management des risques lis leurs
activits. Dans cette perspective, le but de la gestion des risques est dagir et prendre des
dcisions en avenir incertain, prvenir les risques et palier aux menaces qui peuvent affectes
lactivit des entreprises. En effet, sil y a incertitude, il y aura toujours des risques encourus
qu'il conviendrait alors de grer.
En particulier, les entreprises sont dans la ncessit de protger leur systme
dinformation contre toutes menaces pouvant affectes sa disponibilit ou altrer les donnes
stockes dans le SI. En effet, le systme dinformation est devenu une ressource trs prcieuse
pour lentreprise, il lui permet de comprendre son environnement, de grer ses activits au
quotidien, de gagner en production et de prendre des dcisions stratgiques. De plus, avec
louverture des marchs et lmergence des nouvelles technologies de linformation et de la
communication, le Systme dInformation, qui permet de grer la masse dinformation de
toute entreprise, ne constitue plus seulement un lment essentiel dans la gestion, il devient
lui-mme stratgique pour les organisations soucieuses de se doter davantages concurrentiels
durables.
Dans ce cadre, Deloitte Maroc se propose daccompagner les entreprises dans la gestion et
lvaluation des risques de leurs systmes dinformations, afin de pouvoir prendre
instantanment toute mesure correctrice approprie. Ce service dbouchera sur la mise en
uvre dune mthode personnalise de gestion des risques IT qui rpondra aux besoins
immdiats des clients.
Le prsent rapport sarticule autour de quatre parties : La premire partie prsentera
lorganisme daccueil, le contexte gnral du projet et les concepts relatifs au domaine de
laudit et du management des risques des systmes dinformations. La deuxime partie
concernera ltude benchmark des principales approches danalyse des risques existantes et
prsentera les missions de contrles gnraux informatiques effectues lors du stage ;
lobjectif de cette partie est de mettre en exergue les bases sur lesquelles a t labore la
-
9
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
mthode de gestion des risques IT, dont la description dtaille sera expose dans le troisime
chapitre. Et enfin, le dernier chapitre sera consacr la mise en uvre de la dmarche
propose dans le cadre dune tude de cas pratique.
-
10
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
1. Premier Chapitre : Contexte et dmarche du
projet
Ce premier chapitre prsente lenvironnement dans lequel sest effectu le stage ainsi que
le contexte du projet de fin dtudes. Dans un premier temps, nous prsentons lorganisme
daccueil Deloitte & Touche dans lequel sest droul le stage. Puis, nous exposons les
concepts relatifs laudit informatique et au management des risques des Systmes
dInformations qui constituent le cadre gnral de ce projet, pour ensuite dtailler la
problmatique, les objectifs attendus, la mthodologie de conduite de projet suivie et le
planning selon lequel il sera ralis.
1.1. Prsentation de lorganisme daccueil :
1.1.1. Deloitte dans le monde
Deloitte est lun des quatre grands cabinets daudit et de conseil dans le monde (Big Four)
avec PricewaterhouseCoopers, Ernst & Young et KPMG, n des fusions successives des
acteurs anglo-saxons historiques de ce secteur.
1989 marque un tournant dans lhistoire de (DHS) et (TRI) avec lannonce du
rapprochement lchelle mondiale de ces deux grands cabinets daudit et de conseil, qui,
aprs stre alli Tohmatsu, donnent ainsi naissance Deloitte Touche Tohmatsu (DTT).
Deloitte a t fond Londres en 1845 par William
Deloitte qui sassocie en 1925 Charles Haskins et E. Sells
New York pour former Deloitte Haskins & Sells (DHS).
Sir George Touche, lui aussi novateur dans ses ides, a cr
son cabinet londonien en 1899 et sest associ en 1958 avec
PS Ross, devenant ainsi Touche Ross International (TRI).
Enfin, au Japon, lamiral Nobuzo Tohmatsu, a fond en
1968 le cabinet Tohmatsu & Co, devenu rapidement numro
un dans son pays.
William Welch
Deloitte Nabuzo
Tohmatsu
-
11
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Fort dun hritage de plus de 150 ans dexcellence, Deloitte Touche Tohmatsu est
aujourdhui leader mondial au sein des Big Four , avec un chiffre daffaires atteignant
26,6 milliards de dollars en 2010. Il sagit galement du plus grand cabinet daudit au monde
avec une masse salariale de 169 000 employs, prsents dans 150 pays et servant plus de la
moiti des plus grandes entreprises mondiales. La figure suivante (figure 1.1) prsente
limplantation des firmes Deloitte dans le monde :
1.1.2. Deloitte Maroc
Cre en 1994, l'initiative de Deloitte & Touche France, le cabinet d'audit Deloitte
Maroc mobilise des comptences diversifies pour rpondre l'ventail des services attendus
par ses clients, de toutes tailles et de tous secteurs des grandes entreprises multinationales
aux micro-entreprises locales, en passant par les entreprises moyennes.
Les 120 collaborateurs de Deloitte MAROC incarnent le dynamisme et la russite de
la firme par leur engagement et leur souci permanent de garantir l'excellence des prestations
qu'ils assurent. Celles-ci couvrent une palette d'offres trs large :
Audit
Consulting & Risk services
Juridique et fiscal
Expertise comptable
Corporate finance
Figure 1.1 : Implantations des firmes Deloitte dans le monde
-
12
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
La figure 1.2 dcrit les diffrentes entits de Deloitte Maroc :
Le stage de fin dtudes qui fait lobjet de ce rapport a t effectu au sein de lentit
Entreprise Risk Services . Cette activit concerne principalement laudit et le conseil des
SI, des processus et organisations travers les services suivants :
Audit des systmes d'informations.
Qualit et scurit des processus.
Scurit des systmes, des rseaux et de l'information.
Externalisation de la fonction daudit interne.
Audit de la mthodologie de gestion des projets.
Audit de la fonction informatique
Gestion des risques de taux et change, valuation d'instruments financiers,
passage aux nouvelles normes comptables.
Management des risques oprationnels & conseil en respect des
rglementations.
1.2. Prsentation du projet
Ce projet de fin dtude sinscrit dans le cadre de laudit des systmes dinformations et
du management des risques informatiques. En effet, nous proposons en premier lieu de
dfinir quelques concepts cls intrinsques ces domaines que nous synthtisons dans ce qui
suit.
Figure 1.2 : Organigramme Deloitte MAROC
-
13
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
1.2.1. Management des risques des systmes dinformations
1.2.1.1. Risque (rf : www.wikepedia.org)
Le risque est la prise en compte d'une exposition un danger, un prjudice ou autre
vnement dommageable, inhrent une situation ou une activit. Le risque est dfini par la
probabilit de survenue de cet vnement et par l'ampleur de ses consquences (ala et enjeu).
Il peut tre appliqu une personne, une population, des biens, l'environnement ou le milieu
naturel. Ainsi la criticit du risque est calcule comme suit :
Criticit du risque = probabilit doccurrence du risque * impact du risque
1.2.1.2. Systme dinformation (rf : www.wikipedia.org)
Un systme d'information est lensemble des moyens techniques et humains mis en
uvre par une organisation pour collecter, mmoriser, traiter ou transmettre linformation..
De par linformation vhicule, le systme dinformation assure la coordination des
diffrents services, leur permettant daccomplir les missions qui leur sont dvolues, dans le
but de rpondre lobjectif que sest fix lentreprise.
1.2.1.3. Management des risques informatiques (rf : Pascal KIEBEL
management des risques)
Le management du risque s'attache identifier les risques qui psent sur les actifs de
l'entreprise (c'est--dire ce qu'elle possde pour sa prennit, ses moyens, ses biens), ses
valeurs au sens large et son personnel. En particulier, le risque des systmes dinformations
sintgre dans le cadre des risques oprationnels. En effet, les systmes dinformations
peuvent tre affects par diverses menaces (Sinistres, erreurs humaines, virus,..). De ce fait, le
management des risques informatiques a pour objectif de matriser ces menaces par la mise en
place de contrles proportionns aux risques pouvant peser sur la confidentialit de
linformation, son intgrit ou sa disponibilit.
Ainsi, les principaux critres dvaluation des risques sont :
Disponibilit : garantie que linformation est accessible au moment voulu par
les personnes autorises.
Intgrit : garantie que les lments considrs sont exacts et complets.
Confidentialit: garantie que seules les personnes autorises ont accs aux
lments considrs.
-
14
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
1.2.2. Dfinition gnrale de laudit :
1.2.2.1. Audit (rf : Manuel technique de laudit)
L'Audit est un examen objectif auquel procde un professionnel comptent et indpendant
qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui
apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute.
1.2.2.2. Audit Informatique (rf : Manuel technique de laudit)
LAudit Informatique est un examen systmatique et organis des activits de la
fonction informatique. Il a pour but de fournir une valuation complte quant la faon dont
les processus et activits lies aux systmes dinformations sont ralises, avec des
observations et des recommandations visant mettre en place une gestion efficace, scuritaire
et une bonne gouvernance des ressources et processus informatiques. On peut diffrencier
deux types daudit des Systmes dinformations :
Audit organisationnel : Cest un audit fonctionnel qui a pour but d'tablir une
valuation gnrale de l'ensemble du systme d'information sur les plans
organisationnels, procduraux et technologiques.
Audit technique : Cest une analyse technique des composantes du systme
dinformation en matire de tests, robustesse du code et rsistance du SI face aux
attaques. Cette analyse est accompagne dune analyse et dune valuation des
dangers qui pourraient rsulter de lexploitation des failles dcouvertes suite
lopration daudit.
1.2.2.3. Audit Informatique : une approche oriente risque
Au cours de ces dernires annes, plusieurs cabinets daudit ont adopt des approches
daudit qui sappuient plus quavant sur des concepts danalyse orients mtier et dvaluation
des risques. Ainsi, aprs lmergence de la crise financire, les cabinets daudit ont adopt
une nouvelle approche pour amliorer la qualit de service propose et pour satisfaire au plus
le besoin des clients, en ajoutant une tude des risques dans la dmarche daudit pour donner
une assurance raisonnable que les risques associs aux activits des entreprise sont bien grs
et raliss.
-
15
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
1.3. Contexte et objectif du projet :
Aprs la prsentation du cadre gnral du projet, on se propose de dtailler le contexte
spcifique du projet.
1.3.1. Cadrage
Le dpartement Entreprise Risk Services du bureau de Deloitte de Casablanca, dans sa
composante Conseil Audit Service (CAS), est organis autour de deux activits phares :
Audit informatique en support aux missions du commissariat aux comptes :
appel aussi revue des Contrles Gnraux Informatiques (CGI), qui permet
dacqurir une conviction raisonnable quant au fait que les objectifs globaux des
contrles mis en place par lentreprise au niveau du Systme dInformation sont
atteints.
Conseil et Audit en systmes dinformations : Ces missions, appeles missions
spciales , consistent en une optimisation de chaque tape du pilotage du systme
d'information, depuis laudit des systmes existants et llaboration dune stratgie
jusqu la mise en uvre russie des projets.
Ainsi, dans le cadre des missions Conseil et Audit des Systmes dInformation ,
Deloitte MAROC, souhaite largir ses services daudit et de conseil SI en mettant en place
une dmarche personnalise -adapte au march marocain- de gestion des risques IT.
1.3.2. Problmatique
Les missions d'audit ou de conseil de gestion des risques IT couvrent plusieurs domaines
en relation directe avec le systme d'information et mettant en jeu des facteurs humains,
organisationnels, techniques, physiques et environnementaux. Ceci a men au dveloppement
de dmarches et de rfrentiels clairs et exhaustifs pour couvrir tous les processus du
management des risques IT : Risk IT, MEHARI, EBIOS, CRAMM, ...
Cependant, malgr lexistence dune panoplie de mthodes, elles savrent parfois trop
compliques mettre en pratique, mal adaptes la ralit et aux contextes des entreprises
marocaines ou ne couvrant pas la totalit des volets SI.
Dune autre part, les mthodes existantes de gestion des risques ne rpondent aux besoins
spcifiques des entreprises en termes de rglementations qui lui sont imposes. Par exemple :
-
16
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Ble II pour les banques ou Solvency II pour les assurances (la dfinition de ses deux normes
est prsente en ANNEXE).
En vue de remdier ces difficults, nous avons dcid de mettre en uvre une dmarche
dvaluation des risques IT propres DELOITTE, qui pourra tre adapte par rapport la
nature de lactivit de lentreprise, modulable en fonction du besoin du client et trs pratique
dans sa mise en uvre.
1.3.3. Objectifs du projet
Les objectifs de ce projet de fin dtude est de mettre en uvre une offre de service
complte risque IT pour le management des risques informatiques. Cette dmarche
personnalise, propre au bureau de Casablanca, aura comme objectifs :
Llaboration dune offre de services adapts par domaines dactivits (Banque,
Assurance et Industrie).
La dmarche pourra tre dcompose en modules indpendant, rpondant au mieux
aux besoins pointus des clients et la taille de la structure.
Laudit et lvaluation des risques informatiques lis aux SI.
La mise en place dune base de connaissance des risques informatiques qui pourra tre
largie aprs chaque mission
Rpondre aux spcificits des domaines bancaires et dassurance rgis par les
rglementations Ble II et Solvency II
Assurer la continuit des activits
La mise en place dun systme de prvention des risques IT et dune cartographie
gnrale des risques informatiques
Cette dmarche devrait apprhender tant les enjeux mtiers que les spcificits du
management des risques informatiques. Une approche mthodologique, base sur des
rfrentiels de bonnes pratiques doit tre adopte pour faire face ces enjeux.
1.3.4. Dfinition du projet :
1.3.4.1. Primtre du projet
La dmarche vise couvrir lensemble des risques informatiques qui peuvent mettre le
systme dinformation en danger. La mthode devra couvrir les domaines informatiques
suivants :
-
17
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
La scurit informatique
Lexploitation informatique
La planification et la stratgie informatique
Les ressources humaines
La relation avec les prestataires et les tiers externes
Lacquisition des applications
Le dveloppement et la maintenance des applications
La gestion du matriel
La continuit des services informatiques
Linfrastructure rseaux
La gestion des locaux informatiques
1.3.4.2. Conduite du projet
Pour assurer le bon droulement du stage, le projet a t dcoup en trois phases
classiques, suivant la charte Deloitte de gestion des projets, au terme desquelles des points de
contrles sont dfinis. Chaque tape fait l'objet d'un livrable et d'une validation avec le
manager. Cela permet de matriser la conformit des livrables aux besoins spcifis et de
s'assurer de la ralisation des objectifs fixs. Ainsi, le projet a t dcoup suivant trois
phases :
Phase du cadrage : Cette phase permet de prendre conscience du projet, cadrer et
dfinir les diffrentes tapes du projet.
Phase de la ralisation : Il s'agit du dveloppement et de la ralisation de la
dmarche.
Phase de la validation : il s'agit de lindustrialisation et la mise en production de la
mthode, c'est- dire s'assurer quelle est conforme aux attentes des utilisateurs.
-
18
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
1.3.4.2.1. Etapes du projet :
La figure suivante (figure 1.3) dcrit les tapes de conduite du projet de fin dtude :
1.3.4.2.2. Planning du projet :
La figure suivante (figure 1.4) reprsente le diagramme de Gantt, ralis laide de loutil
Microsoft Project 2007, correspondant au planning de ce projet :
Figure 1.4 : Planning du projet
Figure 1.3 : Phases du projet
-
19
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Les dtails sont prsents dans le tableau ci-dessous (tableau 1.1) qui dcrit chaque
tche prsente prcdemment dans le diagramme de GANTT :
Tche Description
Mission daudit Cest lintervention tout au long du stage, dans
des missions daudit des systmes dinformations
Prise de connaissance du projet Cette tape consiste la prise de connaissance du
projet
Dfinition des besoins La dfinition des besoins consiste cerner les
besoins de Deloitte Maroc pour la mise en place
de la dmarche
Etude Benchmark Ltude Benchmark est ltude des diffrentes
mthodes existantes sur le march pour tirer les
bonnes pratiques du management des risques SI
Conception de la dmarche Cest la dfinition des processus gnraux de la
dmarche, avec la liste des livrables et les
spcificits de chaque tape de la dmarche
Ralisation des modles des livrables de
la dmarche
Cette tape consiste standardiser les modles
des livrables de la dmarche
Elaboration dune base de connaissance
des risques IT
Cette phase du projet, consiste la mise en place
dune base de connaissance contenant la majorit
des risques SI (cette base sera alimente fur et
mesure du droulement des missions)
Application un cas pratique et
validation
Cette tape consiste mettre en pratique la
dmarche dans une mission de conseil SI
En effet, ce planning a t adapt au fur et mesure du projet, et de lgres modifications lui
ont t apportes, selon la connaissance relle de chaque tape.
1.4. Conclusion
Dans ce chapitre, nous avons prsent le cadre global du projet, relev la problmatique
du sujet et identifi les objectifs de la mise en place de la dmarche. Le chapitre suivant sera
consacr la prsentation des rsultats de ltude benchmark qui a t ralise sur la base des
mthodes et rfrentiels les plus importants de management des risques IT existants sur le
march.
Tableau 1.1 : Description des tapes du projet
-
20
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
2. Deuxime chapitre : Etude Benchmark
Le prsent chapitre prsente ltude pralable contenant les lments qui nous ont guids
dans la mise en place de notre approche, et qui permettront dadopter une dmarche
professionnelle et conforme aux bonnes pratiques du management des risques. En effet, la
dmarche a t labore en se basant en premier lieu, sur la dmarche daudit suivi par
DELOITTE dans les missions de contrles gnraux informatiques, et en deuxime lieu sur la
synthse de ltude benchmark des diffrentes mthodes et rfrentiels existants sur le
march.
2.1. Prsentation des Missions de Contrles Gnraux Informatiques
2.1.1. Prsentation des missions
Les missions de Contrles Gnraux Informatiques, (ou laudit des systmes
dinformation en support aux commissaires aux comptes) ont pour objectif la revue des
procdures et systmes afin de sassurer que les activits de contrles lies aux systmes
dinformation scurisent de manire raisonnable les flux dalimentation de la comptabilit
gnrale et que les contrles internes mis en place sont efficaces.
2.1.2. Description du droulement des missions
Les missions de contrles gnraux informatiques ou daudit des SI se droulent
principalement chez les clients. En effet, suite des entretiens avec les responsables
informatiques, les auditeurs prennent connaissance de lentreprise audite et de ses systmes
informatiques qui impactent les flux comptables. Ensuite, lquipe daudit SI procde
lanalyse de la documentation, la ralisation de tests sur la base dchantillons reprsentatifs
et la visite des locaux. Finalement, aprs une sance de validation avec les responsables
concerns, un rapport de synthse sous forme dune lettre de recommandation , contenant
les observations, la conclusion de lefficacit du fonctionnement des activits de contrle et
les points damliorations que pourra adopte lentreprise dans le futur, est livre au client.
-
21
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
2.1.3. Apport des missions daudit la dmarche de gestion des
risques IT
La participation, tout au long du stage, des missions sur le terrain pour a constitu
une initiation aux bonnes pratiques de laudit informatique, et a permis la familiarisation avec
le jargon de ce domaine. Parmi les travaux raliss au cours de ces missions, on cite :
Droulement du questionnaire daudit.
Participation des entretiens avec les responsables informatiques
Rdaction dune premire version du rapport final de synthse, base sur les entretiens
avec les responsables concerns et sur lanalyse de la documentation internes de
lentreprise.
Rdaction des papiers de travail
Lecture et analyse des procdures informatiques, des politiques de scurit, des plan
de secours informatiques et des plan de continuit de services.
Audit de la qualit et de la fiabilit des processus mtiers
Audit de la fiabilit des dversements des flux comptables
Audit de la mthodologie de gestion des projets
Extraction des processus mtiers et SI et des contrles lis ces processus
Participation la rdaction des offres de services
Ralisation dune premire version de lArt Pack* des flux comptable des clients
*Art Pack : Mthodologie interne propre Deloitte qui dcrit le dnouement dun processus.
2.2. Analyse des mthodes existantes : tude Benchmark
En plus de se baser sur la mthodologie DELOITTE daudit, une tude Benchmark a t
ralise par rapport aux mthodes existantes sur le march pour affiner notre dmarche et
sinspirer des bonnes pratiques du management des risques. Le schma suivant (figure 2.1)
dcrit le processus suivi pour mener bien cette tude, qui constitue une phase pralable la
conception de la mthode personnalise.
-
22
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
2.2.1. Cadrage de ltude
Ltude benchmark consiste sinspirer des meilleurs pratiques en matire du
management des risques pour affiner la dmarche. Pour ce faire, nous allons tudier les
principales mthodes et rfrentiels dvaluation de risques qui existent sur le march pour
tirer une synthse gnrale des points qui pourront impacter notre dmarche.
2.2.2. Documentation
Vu le grand nombre des mthodes traitant les risques, cette phase est la plus
importante en termes de dure. En effet, il existe plus de 200 mthodes de gestion des risques,
publies ou internes aux socits, confidentielles ou non. Lobjectif de cette tape est de faire
un tour dhorizon des diffrentes mthodes de gestion des risques et davoir une premire ide
sur la structure de ces dmarches et leur domaine dapplication.
2.2.3. Choix des mthodes
La diversit et la multiplicit des normes et mthodes reprsentent souvent une source
de difficult et consomme beaucoup de temps. Par consquent, pour optimiser ltude, il est
essentiel de limiter le champ de recherche et de se focaliser sur quelques mthodes tudier
selon des critres bien prcis :
Origine de la mthode
Tmoignages des clients et retour dexprience
Anciennet de la mthode
Langues : disponibilit de la mthode dans la langue franaise ou anglaise
Qualit et disponibilit de la documentation
Popularit : Les mthodes trs connues offrent un rservoir de personnel
qualifi pour leur mise en uvre.
Flexibilit et modularit
Efficacit sur le march
Figure 2.1 : Dmarche de ltude Benchmark
Cadrage de l'tude
Docummentation Choix des mthodes
Alanyse approfondie
Synthse
-
23
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Aprs une premire recherche, le choix sest finalement port sur :
3 mthodes de gestion des risques : CRAMM, EBIOS, MEHARI
3 Rfrentiels de bonnes pratiques : COSO ERM, ISO 27005, Risk IT
Cest surtout lefficacit et la popularit de ces approches qui sont entres en ligne de compte
pour effectuer ce choix.
2.2.4. Analyse approfondie
Dans cette partie, nous allons dtailler ltude effectue et prsenter les six approches
slectionnes :
2.2.4.1. CRAMM : CCTA Risk Analysis and Management Method (rf: http://cyberzoide.developpez.com/methodes-analyserisques)
Cramm est une mthode labore par Siemens en Angleterre et est soutenue par le
gouvernement. Cette approche exhaustive est assez lourde, rserve essentiellement aux
grandes entreprises puisqu'elle se base sur une base de connaissance denviron trois milles
points de contrle.
En plus de la base de connaissance, des logiciels sont fournis avec la mthode des
fins de simulation, de reporting et de suivi des contrles. La figure ci-dessous (figure 2.2)
prsente une vue gnrale de la mthode :
En effet, cette mthode est compose de trois phases :
1. Ltude de l'existant : permet de dresser linventaire des quipements, la
cartographie applicative, et lensemble des donnes qui constituent le
patrimoine informatique sur laquelle repose le systme dinformation de
Figure 2.2 : Architecture gnrale de la mthode CRAMM
-
24
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
l'entreprise. Chacun de ces lments est valu en termes de gravit dimpact
et de cot en cas darrt (indisponibilit, altration, destruction...).
2. Lvaluation des menaces et des vulnrabilits consiste mettre le point sur
les diffrentes failles dans le systme dinformation qui peuvent reprsenter de
rels risques.
3. Mise en place des rponses aux risques consiste slectionner parmi une
base de trois milles contre-mesures possibles les rponses aux risques mettre
en place.
2.2.4.2. EBIOS : Expression des Besoins et Identification des Objectifs de
Scurit (rf:http://cyberzoide.developpez.com/methodesanalyserisques)
EBIOS est une mthode qui permet d'identifier les risques d'un systme dinformation
et de proposer une politique de scurit adapte aux besoins de l'entreprise ou d'une
administration. Elle a t cre par la DCSSI (Direction Centrale de la Scurit des Systmes
d'Information) du Ministre de la Dfense (France).
La mthode EBIOS se compose de plusieurs guides (Introduction, Dmarche,
Techniques, Outillages) et d'un logiciel permettant de simplifier l'application de la
mthodologie explicite dans ces guides. La figure ci-dessous (figure 2.3) prsente une
larchitecture gnrale de la mthode EBIOS :
En effet, cette mthode est compose de cinq phases :
1. L'tude du contexte : permet davoir une vue globale sur le systme dinformation
cible. Cette tape dlimite le primtre de l'tude, le dtail des quipements, des
logiciels et de l'organisation humaine de l'entreprise.
Figure 2.3 : Dmarche gnrale de la mthode EBIOS
-
25
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
2. L'expression des besoins : permet d'estimer les risques et de dfinir les critres de
ltude des risques.
3. L'tude des menaces : permet d'identifier les risques en fonction non plus des besoins
des utilisateurs mais en fonction de l'architecture technique du SI.
4. L'identification des objectifs : confronte les besoins de scurit exprims et les
menaces identifies afin de mettre en vidence les risques contre lesquels le systme
dinformation doit tre protg.
5. La dtermination des exigences de scurit : dtermine le niveau de scurit exig.
2.2.4.3. MEHARI : Mthode Harmonise d'Analyse de Risques (rf: http://cyberzoide.developpez.com/methodes-analyserisques)
MEHARI a t dveloppe par le CLUSIF depuis 1995, elle est drive des mthodes
Melisa et Marion. Elle est utilise par de nombreuses entreprises publiques ainsi que par le
secteur priv. La dmarche gnrale de Mehari consiste en l'analyse des enjeux de risques et
en la classification pralable des entits du SI en fonction de trois critres de scurit de base
(confidentialit, intgrit, disponibilit). Ces enjeux expriment les dysfonctionnements ayant
un impact direct sur l'activit de l'entreprise. Puis, des audits identifient les vulnrabilits du
SI. La figure suivante (figure 2.4) prsente une vue globale de larchitecture de la mthode :
Figure 2.4 : Dmarche gnrale de la mthode MEHARI
-
26
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Mehari s'articule autour de 3 types de livrables :
1. Le Plan Stratgique de Scurit : fixe les objectifs de scurit ainsi que les
mtriques permettant de les mesurer.
2. Les Plans Oprationnels de Scurit : dfinissent pour chaque site les mesures
de scurit qui doivent tre mises en uvre.
3. Le Plan Oprationnel d'Entreprise : assure le suivi de la scurit par
l'laboration d'indicateurs sur les risques identifis et le choix des scnarios de
catastrophe contre lesquels il faut se prmunir.
2.2.4.4. COSO- ERM : Committee Of Sponsoring Organizations of the
Treadway Commission Entreprise risque management
(rf : www.coso.org)
Le COSO est un rfrentiel de contrle interne qui propose un cadre de rfrence pour
la gestion des risques de lentreprise. En effet ce rfrentiel consiste :
identifier les menaces potentielles pouvant affecter lorganisation
matriser les risques afin quils soient dans les limites du niveau de risque permis
fournir une assurance raisonnable quant la ralisation des objectifs de
lorganisation.
En effet, ce cadre de rfrence vise aider lentreprise atteindre ces objectifs rpartie sur
quatre catgories:
Objectifs stratgiques
Objectifs oprationnels
Objectifs de reporting
Objectifs de conformit aux lois et aux rglementations en vigueur
La figure 2.5 prsente le cube de base liant les objectifs que veut attendre une entreprise avec
le dispositif du management du risque selon COSO :
-
27
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Cette reprsentation illustre une vue globale du management des risques dans sa globalit ou
par domaines dobjectifs
2.2.4.5. ISO 27005 (rf : www.wikipedia.org)
La norme ISO 27005 est un standard publi en Octobre 2008. Elle explique en dtail
comment conduire l'apprciation des risques et le traitement des risques, dans le cadre de la
scurit de l'information. La norme ISO 27005 propose une mthodologie de gestion des
risques en matire d'information dans l'entreprise conforme la norme ISO/CEI 27001. La
norme ISO 27005 applique la gestion de risques le cycle d'amlioration continue PDCA
(Plan, Do, Check, Act) utilis dans toutes les normes de systmes de management :
1. Phase Plan : Identification des risques, valuation des risques et dfinition des
actions de rduction des risques
2. Phase Do : lentreprise ralise ce quelle a planifi dans ce domaine
3. Phase Check : lentreprise vrifie quil nexiste pas dcart entre ce quelle a dit et
ce quelle a fait
4. Phase Act : Modification du traitement des risques selon les rsultats
La figure suivante (figure 2.6) dcrit larchitecture globale des processus de la norme ISO
27005 :
Figure 2.4 : Cube COSO
-
28
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
2.2.4.6. Risk IT (rf : www.afai.fr)
RISK IT est le rfrentiel de management du systme dinformation et des
technologies par les risques. Cest un guide de principes directeurs et de bonnes pratiques. Il
aide les entreprises mettre en place une gouvernance informatique orient risque, identifier
et grer efficacement les risques informatiques. Il a t ralis par une centaine dexperts
internationaux de lISACA et adapt en langue franaise par lAFAI, chapitre franais de
lISACA, en coopration troite avec dautres chapitres francophones. Ainsi, RISK IT
participe la mise en place et lamlioration de la gouvernance de linformatique, ce
dautant mieux quil est interfac avec COBIT et Val IT. RISK IT comprend deux documents,
le Rfrentiel RISK IT et le Guide Utilisateur RISK IT :
Le Rfrentiel RISK IT prsente de faon dtaille le modle de management
par les risques informatiques reposant sur 3 domaines, 9 processus et 47
bonnes pratiques
Le Guide utilisateur RISK IT aide mettre en place le modle. Complment
indispensable de RISK IT, il en dtaille les concepts. Il fournit de nombreux
conseils, exemples et outils daide au management par les risques
informatiques. On y trouve notamment, au titre de lvaluation des risques, une
cartographie sappuyant sur 36 scnarios de risque informatique.
Figure 2.6 : Processus gnraux de la norme ISO 27005
-
29
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
La figure 2.7 dtaille les domaines gnraux du rfrentiel RISK IT :
2.2.5. Synthse (rf : www.dvellopez.com/mthodeanalysesrisque)
En rsultat cette tude benchmark, nous allons rcapituler avec des tableaux
synthtiques et comparatifs des mthodes tudies. Ensuite, nous exposerons la synthse
proprement dite de cette tude, avant de sortir avec des constats quant aux points importants
exploiter pour llaboration de la dmarche.
2.2.5.1. Tableaux de synthse
Le tableau ci-dessous (tableau 2.1) prsente une synthse des principales
caractristiques de mthodes danalyse de risques :
CRAMM EBIOS MEHARI
Auteur Siemens DCSSI CLUSIF
Pays Angleterre France France
Cration 1986 1995 1995
Popularit ** *** ***
Figure 2.7 : Domaines du rfrentiel Risk IT
-
30
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Soutenue par Gouvernement Gouvernement Association
Outils disponibles CRAMM EBIOS RISICARE
Assistance et
support
Guides ; bases de
connaissances
Guides; Bases de
connaissances;
Guides ; bases de
connaissances ;
Moteurs dvaluation quantitative
Adaptabilits aux
contextes
Grandes entreprises Administrations &
Grands comptes
Administrations &
Grands comptes
PME / PMI
Le tableau suivant (tableau 2.2) prsente un comparatif des points forts et faibles des trois
mthodes slectionnes danalyse des risques
En deuxime lieu, on se propose de prsenter ci-dessous un tableau rcapitulatif (tableau 2.3)
dcrivant les trois rfrentiels de gestion des risques choisis :
Points forts Points faibles
CRAMM - Mthode exhaustive
- Grande base de connaissance
- Approche structure
- Fournit une liste complte des
risques et des contrles mettre
en place
- Trs lourde appliquer
- Adapter seulement aux
grandes entreprises
- Non modulable
- Logiciel payant
- Existe seulement en langue
anglaise
EBIOS - Peut sappliquer quelle que soit la taille du SI tudi
- Approche modulaire,
exhaustive et simple
-Compatible avec les normes
internationales
- Ne fournit pas de
recommandations scuritaires
-Pas de mthode
daudit/dvaluation
Mehari - Approche modulaire
- Permet une analyse directe et
individualise des situations de
risques
- Fournit une gamme complte
doutils adapts la gestion de la scurit
- Compatible avec les normes
ISO 2700x
- Ne correspond pas aux
TPE/PME nayant aucune culture de scurit
informatique
- Ne fournit pas danalyse permettant la conformit
technique
- Logiciel payant
Tableau 2.1 : Synthse des principales caractristiques de mthodes de gestion des
risques
Tableau 2.2 : Comparatif des mthodes de gestion des risques
-
31
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
COSO ERM ISO 27005 RISK IT
Auteur COSO ISO ISACA
Cration 2008
Popularit *** *** ***
Type Rfrentiel Norme Rfrentiel
Description rfrentiel de contrle
interne qui propose un
cadre de rfrence pour
la gestion des risques de
lentreprise liant les
diffrents objectifs de
lorganisme aux
lment du dispositif de
management des
risques
Norme cr pour
encadrer le
dveloppement et la
mise en place dun
Systme de
management des
risques dans le cadre de
la scurit des
Systmes
dinformations
Rfrentiel qui
concerne
Le management des
risques en
gnral. Il dcompose
tout SI en 9 processus
rpartis en 3 domaines
interconnects les uns
aux autres.
Vision risque Le risque est trait dans
un cadre global de la
mise en place dun
dispositif de
management des
risques
Trait tout au long du
rfrentiel
Le risque est trait
dans une vision de la
gouvernance COBIT
en tenant compte des
objectifs mtiers /
affaires
2.2.5.2. Synthse
La conclusion quon peut tirer de cette tude, est que les mthodes et rfrentiels
tudis fournissent plusieurs techniques et outils pour atteindre le mme objectif : celui de
mettre en place un dispositif de protection contre les risques en dfinissant un certain nombre
de contrles et en sappuyant sur une approche de management des risques. Toutefois, le
niveau de dtail et de couverture de ces approches est trs vari, ce qui fait merger deux
dimensions : tendue et granularit. En effet, certaines mthodes telles que Risk IT ou COSO
sont trs tendues et traitent les diffrentes facettes de linformatique, mais elles noffrent pas
Tableau 2.3 : Description des principales caractristiques des rfrentiels tudis
-
32
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
le mme niveau de prcision que la mthode MEHARI, elles se contentent de fournir les
lignes directrices dans une vision de gouvernance.
Dautre part, on remarque quil existe une diffrence conceptuelle et un manque
dinteroprabilit entre les mthodes danalyses de risque tudies : MEHARI, EBIOS et
CRAMM utilisent des termes diffrents pour dsigner le mme concept, et ont recours des
outils varis.
2.2.5.3. Points exploiter
A lissue de ltude benchmark, et sinspirant fortement des missions de contrles
gnraux informatiques, nous avons pu dfinir les caractristiques requises pour la nouvelle
dmarche daudit scurit. Ainsi, cette dernire devra tre :
Modulaire : Compte tenu de la diversit des secteurs dactivit des clients du
cabinet, la mthode doit tre adapte la complexit du SI en question. En
dautres termes, elle devra tre compose de modules dcomposables et
indpendants les uns des autres, qui offrent la possibilit dtre utiliss en
intgralit ou sparment.
But : Rpondre au problme de rigidit et de la non adaptabilit aux
contextes.
Adapt aux spcificits des activits des clients : Il est ncessaire de prvoir
une analyse des risques mettant en avant lactivit de lentreprise en se
conformant aux diffrentes rglementations (Ble II pour les banques et
Solvency II pour les assurances)
Une dmarche cyclique : La dpendance des activits de lentreprise vis--vis
des NTIC nous dicte une dmarche rigoureuse de gestion des risques. De ce
fait, nous sommes dans lobligation de concevoir une solution cyclique dans le
cadre dune vision damliorations continue.
Une vision globale : Pour une efficacit et pertinence de la solution propose,
tous les aspects relatifs lenvironnement technique, humain, et
organisationnel de lentreprise doivent tre pris en compte dans une approche
cohrente et homogne.
-
33
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Oriente mtier : Enfin, lapproche propose doit apprhender les enjeux
mtiers et doit tre oriente business , cela permet aussi bien de rpondre
des besoins directs des fonctions mtiers quimpliquer le top management.
2.3. Conclusion
Ce chapitre a donn un aperu sur les normes et bonnes pratiques les plus connues en
management des risques informatiques. A la fin de cette partie, une synthse concernant cette
enqute a t tablie. Dans le chapitre suivant, nous allons prsenter notre dmarche
personnalise, labore partir des mthodes tudies lors du benchmarking, et de
lexprience des missions de contrles gnraux informatiques.
-
34
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
3. Troisime chapitre : Elaboration de la dmarche personnalise de la gestion des risques IT
Ce chapitre a pour objectif de prsenter la nouvelle dmarche de gestion des risques IT et
les principaux processus qui la constituent, nous dcrirons particulirement les tapes de la
dmarche personnalise, construite bloc par bloc partir de composants et de principes des
mthodes tudies dans le chapitre prcdent, et conforme aux normes de Deloitte. La
dmarche est destine tre mise en place au sein du cabinet pour mener les missions daudit
et de conseil des risques SI.
3.1. Description gnrale de la dmarche
3.1.1. Justification de la proposition
Afin dassurer une bonne continuit de ses services, lentreprise se trouve dans la
ncessit de mettre en place un vritable dispositif de management des risques, faute de quoi,
tout effort envisag en matire de rduction des risques demeurera vain. Dans ce cadre, nous
avons jug judicieux de proposer un service complet daccompagnement aux entreprises dans
leur dmarche de gestion des risques informatiques, qui ira au-del dun simple audit : elle
proposera une assistance limplmentation des rponses aux risques au sein de lentreprise,
et lui permettra dassurer la continuit de ses services travers lintgration de la culture du
risque dans le Plan de Continuit dactivit (PCA), le Plan de Reprise dactivit (PRA), le
plan de secours informatique et la Politique de scurit des Systmes dinformation (PSSI).
3.1.2. Description gnrale de la mthode
Dans ce qui suit nous allons prsenter les tapes de la dmarche de gestion des risques IT
labore. En annexe, nous retrouverons des extraits des outils que nous avons conus pour
drouler la mthode de bout en bout. La mthodologie que nous proposons prend en compte
les critres cits lors de la synthse du chapitre prcdent, et rpond aux objectifs qui lui ont
t assigns, savoir :
La flexibilit dans dutilisation
Ladaptabilit aux diffrents contextes et secteurs (banques, assurance et industrie)
La modularit
Ladaptation aux besoins du client
La prise en compte des rglementations spcifiques (Ble II, Solvency II)
-
35
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
prise en compte du volet mtier
La figure ci-dessous (figure 3.1) dfinit larchitecture gnrale des processus de la dmarche :
3.2. Description dtaille de la dmarche
Dans cette partie, on se propose de dtailler chaque processus de la dmarche en prcisant
la dfinition, les objectifs ainsi que la liste des livrables pour chaque processus.
3.2.1. La Proposition
3.2.1.1. Dfinition du processus:
Ltape de la proposition, ou lmission de loffre de service, est une tape classique dans
le domaine du conseil ou de laudit en gnrale. En effet, la proposition est un document qui
Figure 3.1 : Processus gnraux de la dmarche personnalise
-
36
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
constitue une rponse formelle un appel doffre mis par une socit pour la mise en place
dune analyse des risques des systmes dinformations. Ainsi, les cabinets sont dans
lobligation dtablir une proposition formalise qui va rsumer loffre technique et
financire. Ce document de rfrence servira dappui pour valoriser le cabinet et ses
prestations, et justifier son choix par les clients.
3.2.1.2. Objectif du processus :
Cette premire phase vise llaboration du document de la proposition, qui est la fois :
Une demande de ngociation : La proposition sert convaincre le client de
limportance de la mise en place dune analyse des risques IT et de justifier le
choix de la dmarche.
Un support de rflexion : La proposition permet de mettre en vidence la
problmatique de lintervention. Elle est aussi un moyen pour montrer la valeur
ajoute de notre dmarche de gestion des risques informatiques et du cabinet.
Un support de communication : La proposition doit aussi faciliter la
communication et la propagation de linformation avec les diffrentes parties
prenantes lintervention du ct de lentreprise et de donner plus de dtails sur
les prestations du cabinet lors de la mission, ainsi que sur la contribution de chaque
partie.
Une assurance de la qualit de lintervention : La proposition contribue
assurer la qualit des interventions qui en dcoulera. Elle constitue un champ
dentente entre le client et le cabinet sur les objectifs de lintervention, le mode
opratoire et les rsultats atteindre.
Un outil de promotion du consultant : La proposition doit mettre en valeur les
comptences de lquipe intervenante, loriginalit de la dmarche ainsi que la
qualit de lintervention que le client peut esprer.
Base de lengagement contractuel : cest les bases contractuelles qui pourront
tre tablies avec le client, savoir les dlais de lintervention et les rgles
respecter (rgles de confidentialits, de comportement au sein de lentreprise, ..)
Proposition financire : La proposition dcrit aussi la proposition financire et le
budget total de lintervention. Le budget est souvent calcul en jour /homme
-
37
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
3.2.1.3. Contenu de la proposition :
La proposition est un document de rponse lappel doffre du client. En effet, le cabinet
devra mettre en vidence de faon explicite 8 points essentiels dans sa proposition pour
convaincre le client, comme il est dmontr dans la figure 3.2 :
3.2.1.4. Livrable de la phase
A la fin de cette phase, on devra prsenter une proposition de service du cabinet
rcapitulant les huit points cits prcdemment.
Pour faciliter la tches aux consultants / auditeurs du cabinet, on a essay de standardiser la
proposition de service au maximum. Ainsi, on a labor trois modles standards de
proposition de service adaptable selon la nature de lactivit du client :
Proposition de service gnrale
Proposition de service oriente vers le secteur bancaire
Proposition de service orient vers le secteur des assurances
Le tableau ci-dessous (tableau 3.1) rsume la phase de la proposition, liste les livrables et les
outils spcifiques chaque tape :
La proposition
Domaines Livrables Outils
Offre de service gnrale.pptx
Figure 3.2 : Points cls de la proposition
Proposition de service gnrale
Offre de service
-
38
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Offre de service Banque.pptx
Offre de service Assurance.pptx
3.2.2. Phase de cadrage de la mission
3.2.2.1. Dfinition de la phase de cadrage
Aprs lobtention du march, on se retrouve dans la phase de cadrage. Cette tape permet
de cadrer la mission et de redfinir exactement les grandes lignes de lintervention et de la
dmarche en cohrence avec ce qui a t spcifi dans la proposition. En effet, cette phase
permet la dfinition, avec plus de dtail, du primtre sur lequel sera mene l'analyse des
risques (matriels, logiciels, quipes de support, donnes, interfaces, processus, criticit des
systmes, contraintes mtiers).
Cest une tape amont qui permet de prparer les entretiens avec le client et dassurer que
lintervention se droule dans de bonnes conditions. Elle constitue un rappel des points cls
quil faudra aborder pour mener lintervention.
3.2.2.2. Objectif de la phase de cadrage
Lobjectif de ce processus est la dfinition de manire formelle et organise, des tapes de
lintervention. Ce processus a pour but de mettre en vidence :
Le champ de lintervention
Les objectifs gnraux de la mission
Donner plus de dtails au client par rapport la dmarche
Dfinir les interlocuteurs
Dfinir le planning dtaill de la mission
3.2.2.3. Description dtaille de la phase de cadrage
La phase de cadrage est dcompose en trois tapes :
La runion de lancement de la mission
La dfinition du primtre et prise de connaissance du SI cible
La dfinition du plan de lintervention
Proposition de service (secteur bancaire)
Proposition de service (secteur des assurances)
Offre de service
Offre de service
Tableau 3.1 : Synoptique de la phase de la proposition
-
39
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
3.2.2.3.1. La runion de lancement de la mission :
La runion de lancement est une tape cl indispensable pour le bon commencement
de la mission. Elle permet de :
Dtailler les objectifs gnraux de lintervention
Rpondre aux questions du client
Dfinir en dtail les attentes du client
Dtailler les grandes lignes de lintervention et de la dmarche
Identifier lentit responsable de la mission
Identifier les proccupations ou les secteurs sur lesquels le client souhaiterait
mettre plus le point
Identifier les interlocuteurs interviewer et qui peuvent rpondre aux questions
dtailles concernant les oprations quils effectuent
Etablir un calendrier dintervention de lquipe (planning)
Mettre le point sur la communication durant la mission et sur les livrables.
A lissue de cette premire runion, on devra disposer dun document contenant la
synthse des objectifs, le planning et la charge prvisionnelle, les modalits de suivi de la
mission ainsi que les actions futures. On devra aussi rdiger un PV de runion afin
dassurer la traabilit des phases de la mission.
3.2.2.3.2. La prise de connaissance du SI cible
Avant dentamer la planification dtaille, il est essentiel que lquipe
dintervention acquire une vue globale du SI du client. Cette tape permet didentifier le
primtre dintervention et de mettre le point sur les diffrentes composantes du SI cible.
Cette tape pourra se faire grce des entrevues avec les responsables ou la consultation
des documents prliminaires (rapport daudit, procdures informatiques, cartographie
applicative, cartographie de linfrastructure rseau, ..). Ainsi, pour donner plus de dtails,
cette tape consiste identifier les processus clefs et leurs composants, cest--dire :
Dfinir les domaines dactivits de lentreprise
Dfinir les processus majeurs de lentreprise, cest - dire les processus qui
contribuent majoritairement aux objectifs fixs par la direction et qui sont
critiques pour notre analyse des risques.
Fournir une description formalise du SI cible
Reprsenter les dversements et les interactions entre les systmes
Offrir une vie globale et synthtique du SI
-
40
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
A lissue de cette phase, une cartographie descriptive des processus cls du SI est mise en
uvre, laide dune fiche descriptive des processus, ainsi quune modlisation formalise du
SI suivant une dcomposition propre notre dmarche en 4 sous-domaines : Organisation,
ressources humaines, infrastructure matriel et logiciels. Comme langage de modlisation,
nous avons choisi UML, quil est un langage universellement reconnu, polyvalent, performant
et qui facilite la comprhension de reprsentations abstraites complexes.
Aprs lidentification de processus clefs, on se propose ensuite de dfinir le plan
dintervention, cest--dire lidentification des processus et volets SI qui seront soumis une
analyse des risques informatiques.
3.2.2.3.3. Dfinition du Plan dintervention :
Aprs avoir pris connaissance de lenvironnement de lentreprise et du systme
dinformation cible, on devra dfinir un plan dintervention dcrivant la faon dont
lintervention sera structure et excute dans le cadre du management des risques IT.
Le plan dintervention de notre dmarche comprend les lments suivant :
Mthodologie : cest la dfinition des approches, outils, documents et sources de
donnes pouvant tre utiliss pour raliser la mission.
Interlocuteurs : cest la liste des interlocuteurs.
Calendrier : cest le planning et la dure estime de lintervention.
Primtre : cest le primtre sur lequel sera mene lintervention, savoir les
domaines de risques, les processus mtier concerns,
3.2.2.4. Livrable de la phase de cadrage
A la fin de cette phase, on devra livrer les documents suivants :
Compte rendu de runion de lancement
Support de la runion : au cas o il yaurait des documents comme support.
Fiche des processus
Plan dintervention (note de cadrage)
Le tableau suivant (tableau 3.2) synthtise les tapes de la phase de cadrage, liste les livrables
et les outils spcifiques chaque tape :
-
41
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Phase de cadrage
Etapes Livrables Outils
Compte rendu runion.doc
- Dfinition des processus clefs
- Diagrammes de modlisation du
SI cible (diagrammes UML)
fiche processus.pptx
Plan d'intervention.ppt
3.2.3. Identification des risques
Lidentification des risques vise rpertorier de la manire la plus exhaustive possible,
tous les vnements gnrateurs de risques lis au systme dinformation et documenter
leurs caractristiques et catgories selon leurs types. La figure 3.3 prsente les diffrentes
phases de cette partie :
Runion de
lancement
Description du SI
cible
Dfinition du
plan
dintervention
Synthse des
objectifs de la
mission
Cartographie
des processus
et des
applications
Plan dintervention
Planning de la
mission
Fiche de
description de
chaque
processus
Modlisation
du SI cible
Tableau 3.2 : Synoptique de la phase de cadrage
Recueil d'information
Analyse des menaces
Analyse des vulnrabilits
Analyse des contrles
Liste des risques
Figure 3.3 : Phases de lidentification des risques
-
42
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Dans ce qui suit, on se propose de dtailler chaque tape cite prcdemment.
3.2.3.1. Recueil dinformation :
Pour bien entamer lintervention de lanalyse des risques chez le client, le consultant
devra procder un recueil dinformation laide doutils didentification des risques utiliss
de faon complmentaire, savoir :
Laudit documentaire
Les entretiens
Les visites de sites
Les questionnaires.
3.2.3.2. Analyse des menaces
Lanalyse des menaces est lanalyse des vnements ou circonstances selon lesquelles le
systme dinformation peut tre mis sous le risque. Dans notre dmarche, on sest propos de
lister plusieurs groupes de menaces : Saturation du systme, dysfonctionnement du SI, Vol de
matriel, Phnomne climatique, sismique, volcanique, mtorologiques, Erreur humaine, etc.
Ainsi, une liste des menaces exhaustive a t tablie et intgre dans la base de connaissance
livre avec la dmarche (Voir Annexe I). Cette liste a t dcompose suivants les domaines
spcifies prcdemment : scurit, exploitation, organisation et planification, etc.
3.2.3.3. Analyse des vulnrabilit
Lanalyse des vulnrabilits est lanalyse des failles ou des faiblesses dans le systme
dinformation et qui pourraient tre exploites et conduire mettre le systme dinformation
sous le risque. En effet, pour chacune des menaces, il faudrait analyser les vulnrabilits qui
pourraient affectes le SI. Cette analyse se fait au mme temps que lanalyse des menaces.
En effet, pour chaque menace une liste de vulnrabilits correspondantes est mise en place et
est intgre dans la base de connaissance (voir Annexe I). Il est noter que lanalyse des
menaces - vulnrabilits seffectue en se rfrant la base de connaissance quon a tablie
dans le cadre de notre dmarche. En effet, cette base est alimente par celle de la mthode
EBIOS en partie, et contient plus de 1500 couple Menace / Vulnrabilit.
3.2.3.4. Analyse des contrles mis en place ou planifis
Lanalyse des contrles mis en place ou planifis est lanalyse des rponses aux risques,
des pratiques de la scurit, des procdures appliques ou revues, ainsi que les normes et les
-
43
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
standards en vigueur afin dvaluer leur efficacit et garantir leur efficience, ou bien se
comparer l'tat de l'art et aux normes en usage. Ainsi, lissue de cette analyse des enjeux
mtiers, une analyse de lefficacit des contrles sera ralise. Pour cela, nous proposons de
drouler un questionnaire daudit personnalis (voir ANNEXE II), que nous avons labor
dans le cadre de la nouvelle dmarche, organis sous 14 domaines (selon la mthode
MEHARI et iso 27005), et aliment par les questions collectes partir de lexprience des
auditeurs du CLUSIF. Ci-dessous la liste des domaines prcits :
1. Politique de Scurit
2. Organisation de la scurit
3. Exploitation
4. Gestion des Ressources humaines (informatique)
5. Scurit Physique et scurit des sites
6. Gestion de linfrastructure rseaux
7. Scurit des systmes et architecture
8. Acquisition, dveloppement et maintenance des SI
9. Production informatique
10. Gestion de la continuit dactivit
11. Organisation et gestion des projets informatiques
12. Gestion des prestataires externes
13. Gestion des bases de donnes
14. Conformit aux lois et rglementation
3.2.3.5. Lister et catgoriser les risques
A lissue de lanalyse des menaces, des vulnrabilits et des contrles mis en place, une
premire synthse globale (liste des risques identifis) devra tre prsente sous la forme
dune cartographie illustrant les rsultats de laudit suivant les 14 domaines dcrits
prcdemment et qui va lister et catgoriser les diffrents risques.
Aussi, la fin de cette tape, un registre des risques, qui va contenir toute les informations
relatives aux risques, devra tre remplie (voir ANNEXE III). Ce registre servira aprs la
mission comme un tableau de bord de suivi de lamlioration des risques.
Le tableau ci-dessous (tableau 3.3) prsente une synthse de ltape didentification des
risques :
-
44
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Identification des risques
Etapes Livrables Outils
Compte rendu runion.doc
Registre des risques.xlsx
3.2.4. Evaluation des risques
Rien ne peut se construire sans un diagnostic exact des risques. Cest dans ce cadre
que se dfinit le processus de lvaluation des risques, qui consiste dfinir lordre de
priorit des risques pour actions ultrieures, par valuation et combinaison de leur probabilit
doccurrence et de leur impact sur le systme dinformation et sur les objectifs SI. En effet, ce
processus vise classifier de manire quantitative les risques informatiques, selon leur ordre
de priorits. Lvaluation des risques est divise en 3 tapes :
Lvaluation des probabilits doccurrence des risques dans le SI
Lvaluation de limpact des risques sur le SI
La classification des risques selon leur niveau de priorit
Recueil
dinformation
Analyse de
menaces
Analyse des
contrles
dintervention
Synthse des
objectifs de la
mission
Liste des
menaces
Etat des contrles
Planning de la
mission
Liste des
vulnrabilits Analyse de
Vulnrabilits
Base de connaissance
personnalise
Base de connaissance
personnalise
question daudit
Tableau 3.3 : Synoptique de la phase didentification des risques
Lister les risques
dintervention Liste des risques
dans le registre
-
45
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
Lvaluation des probabilits doccurrence des risques dans le SI :
La probabilit doccurrence des risques est la frquence darrive dun risque dans le SI.
Elle est catgorise en 3 niveaux :
leve : Le risque est trs important et facilement exploitable. Les contrles
existants pour prvenir les vulnrabilits sont insuffisants et/ou inefficaces.
Moyenne : Le risque est important et facilement exploitable. Mais les
contrles sont en place pour liminer l'exploitation de la vulnrabilit.
Faible : Le risque est peu important et les contrles sont en place pour liminer
l'exploitation de la vulnrabilit
Lvaluation de limpact des risques sur le SI :
Avant de mesurer le niveau de risque, cette tape doit permettre de dterminer les effets
nfastes rsultant du risque (limpact du risque). Cette analyse recours essentiellement sur
ltude des cartographies processus IT, l'valuation de l'importance des actifs ou leur valeur
vnale, la criticit des systmes et donnes, etc. L'analyse de ces lments doit permettre de
classifier l'impact potentiel sur ces informations en termes d'intgrit, de disponibilit et de
confidentialit.
La perte d'intgrit. L'intgrit d'un systme ou de donnes rfrent la
capacit de protger son patrimoine de toute modification cela implique aussi
bien les actes intentionnels que accidentels.
La perte de disponibilit. Un systme ou des donnes rendues indisponible
des utilisateurs finaux peut compromettre le fonctionnement d'une entreprise.
La perte de confidentialit. Elle rfre la protection des donnes et
notamment la divulgation non autorise.
Les niveaux d'impact des risques peuvent tre classifis selon 3 niveaux :
lev : Lorsque le risque cause la perte d'actifs trs couteux, ou prsente un
obstacle important dans la mission de l'organisation.
Moyen : Lorsque le risque la perte d'actifs ou prsente un obstacle important
dans la mission de l'organisation.
Faible : Lorsque le risque induit la perte de certains matriels ou actifs.
-
46
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
La classification des risques :
L'objectif de cette tape est d'valuer le niveau de risque pesant sur l'environnement IT. Le
risque est exprim en fonction de la combinaison impact/probabilit selon :
La probabilit qu'un risque puisse arriver
L'importance de l'impact du risque
L'adquation des contrles planifis des fins de rduction des risques
La mthode consiste identifier les niveaux du risque laide de la matrice de criticit
(Figure 3.4) :
En effet, on peut dcrire les niveaux de risque comme suit :
lev : Dans le cas d'un risque lev la mise en uvre d'une action corrective
doit tre immdiate.
Moyen : Dans le cas d'un risque moyen des actions doivent tre planifies dans
un dlai raisonnable.
Faible : S'agissant des risques faible soit il peut tre accept, soit faire l'objet
d'actions correctives.
A la fin du processus de lvaluation des risques, on devra :
Mettre jour le registre des risques en spcifiant limpact, la probabilit
doccurrence et la classification des risques.
Elaborer une cartographie complte des risques classifis selon leur criticit.
Figure 3.4 : Matrice de criticit
-
47
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
3.2.5. Recommandations
Llaboration des recommandations est une tape cl de la dmarche. Cest vrai que le
diagnostic des risques reste une phase importante, mais ce nest pas suffisant. En effet, le
client attend des solutions ses problmes. Ainsi, les recommandations peuvent tre
labores par le cabinet ou bien par un travail commun client consultant.
Ce processus dcrit llaboration de la liste des recommandations ainsi que ltablissement
du rapport de synthse.
3.2.5.1. Objectif du processus :
Lobjectif de ce processus est dlaborer une liste de contrles ou de mesures de
rduction des risques mettre en place pour liminer ou rduire le risque. Les mesures
doivent tre fournies au regard de leur efficience suppose, de l'impact oprationnel qu'elles
peuvent avoir, de la lgislation en vigueur, des moyens disposition de l'entreprise. Les
recommandations doivent contenir aussi les informations sur le cot du traitement du risque et
la stratgie de traitement. On distingue 4 stratgies classiques de traitement :
Acceptation : aucune mesure n'est prise parce que le niveau de probabilit et
l'impact du risque est faible;
Rduction : faire des dmarches pour rduire la probabilit ou l'impact du risque;
Transfert : confier la gestion du risque un prestataire externe;
Elimination : faire des dmarches pour liminer compltement le risque.
A la fin de cette tape, un rapport de synthse devra tre livr contenant la liste des
recommandations. En effet, la procdure que nous avons labore dans le cadre de notre
dmarche pour la rdaction du rapport de synthse qui doit tre livr, sappuie sur la norme
070 de l ISACA . Ainsi, nous avons dfini les clauses respecter lors de la rdaction du
rapport, que nous avons organis sous trois volets :
La forme et le style,
Le contenu,
Les recommandations.
Chaque recommandation fait lobjet dune fiche de constat prsentant :
Les lments constitutifs du constat,
Les risques associs,
La recommandation de Deloitte,
La rponse de la direction.
-
48
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
En effet, les recommandations devront inclure au minimum :
Une tude de la situation existante en termes de risque au niveau du site audit, qui
tiendra compte de laudit organisationnel et physique, ainsi que les ventuelles
vulnrabilits de gestion des composantes du systme (rseau, systmes, applications,
outils de scurit, centre de calcul, plans de continuit..) et les recommandations
correspondantes.
Les actions dtailles (organisationnelles et techniques) urgentes mettre en uvre
dans limmdiat, pour parer aux dfaillances les plus graves et rduire les risques.
Le tableau ci-dessous (tableau 3.4) prsente un synoptique des phases dvaluation des
risques et des recommandations :
Evaluation des risques + Recommandations
Etapes Livrables Outils
Registre des risques.xlsx
Registre des risques.xlsx
Registre des risques.xlsx
3.2.6. Traitement des risques Ce processus consiste accompagner le client dans le traitement et la mise en uvre des
mesures ncessaires pour rpondre aux risques qui encourent son systme dinformation. En
effet, la rponse aux risques vise dvelopper des options et des actions permettant
daugmenter les opportunits et de rduire les menaces relatives aux systmes dinformation.
Analyse des
probabilits
doccurences
Analyse de
limpact
Recommandations
Liste des
menaces
Etat des contrles
Identification des
probabilits
Liste des
vulnrabilits Evaluation des
risques
Template du
rapport
Tableau 3.4: Synoptique des phases dvaluation des risques et recommandations
-
49
Projet de Fin dEtudes Dpartement Informatique 2011 - 2012
3.2.6.1. Objectif du processus
Lobjectif de ce processus est dtablir un cadre pour des actions de traitement des risques
en dfinissant les conditions de leur mise en uvre : responsable du risque, cot du traitement
du risque, chances, actions conduire chelonnes dans le temps.
Ce processus va permettre en outre de spcifier les actions entreprendre, clarifier les
responsabilits et tablir les chances.
3.2.6.2. Etapes du processus
La rponse aux risques peut tre dcompose en plusieurs tapes :
3.2.6.2.1. Identifier les acteurs du changement :
Lidentification des acteurs consiste identifier les responsables qui auront pour
mission la mise en uvre des contrles ncessaires pour liminer et rduire les risques sujets
dun traitement. Cette tape vise mobiliser les individus impliqus dans le traitement des
risques.
3.2.6.2.1.1. Identifier les actions entreprendre
Lidentification des actions entreprendre est la description dtaille des contrles
mettre en uvre ou des mesures scuritaire pour rpondre au risque.
3.2.6.2.1.2. Dfinir et organiser le plan daction
Cest la dfinition du planning et du cot du traitement.
3.2.6.2.1.3. Mettre en uvre
Cest la mise en pratique du contrle et le dploiement des mesures scuritaires.
3.2.6.2.1.4. Faire un bilan
Cest ltape de formalisation du traitement, cest--dire la synthse de la mise en uvre
du contrle et les rsultats attendus. A la fin de ce processus de traitement des risques, on
devra mettre jour le registre des risques en spcifiant le cot et le responsable de traitement
du risque et formaliser un plan daction formalis.
3.2.7. Suivi et contrle des risques
Ce processus consiste suivre les risques identifis, surveiller les risques rsiduels et
valuer lefficacit du processus de management des risques IT mis en uvre.
Le processus du suivi et contrle des risques vise dresser une analyse de lcart entre ce qui
tait prvu et ce qui est en ralit. En effet, le suivi des risques consiste dterminer si :
-
50
Projet de Fin dEtudes Dpartement I