Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. Protection des données de l'entreprise
  3. Métriques opérationnelles, risque et impact
Extrait - Protection des données de l'entreprise Mise en oeuvre de la disponibilité et de la résilience des données
Extraits du livre
Protection des données de l'entreprise Mise en oeuvre de la disponibilité et de la résilience des données
1 avis
Revenir à la page d'achat du livre

Métriques opérationnelles, risque et impact

Introduction

Les précédents chapitres ont mis en évidence les différentes catégories de sinistres et les différentes conséquences au niveau de l’entreprise. Selon le secteur d’activité, la taille ou encore la situation géographique de l’entreprise et de ses éventuelles succursales, les risques encourus diffèrent. Les éléments de calcul précédents visent à estimer le coût d’un sinistre sans pour autant pouvoir en prédire la probabilité d’occurrence.

« Le savant n’est pas l’homme qui fournit les vraies réponses, c’est celui qui pose les vraies questions. »

Cette citation de l’ethnologue et académicien français Claude Lévi-Strauss est particulièrement pertinente en matière d’analyse des risques (Risk Assesment - RA) et de bilan d’impact sur l’activité (Business Impact Analysis - BIA). Dans ces domaines, il convient en effet de se poser ou de poser les bonnes questions, afin d’envisager une réponse adaptée à la survenance d’un sinistre, sans avoir une idée préconçue sur un scénario de sinistre particulier. Des méthodes d’analyse des risques, conformes à la norme ISO/IEC 27001 traitant des systèmes de...

Analyse des risques

Pourquoi est-il nécessaire de réaliser une analyse des risques ? Il s’agit en fait d’un prérequis indispensable dans une démarche de sécurité. Les enjeux dans ce domaine se posent en amont de toute décision. C’est au décideur en aval d’allouer ou non un budget permettant de répondre simplement à la question : « Est-ce que cet investissement est vraiment nécessaire ? »

En effet, en l’absence d’analyse préliminaire sur les enjeux d’un sinistre et de tout consensus sur ce point, il n’est pas rare de voir de nombreux projets de sécurité informatique abandonnés ou repoussés dans le temps.

En résumé, l’absence d’investissement laisse place à des conséquences financières parfois désastreuses en cas de sinistre. Cependant, tout investissement au niveau de l’entreprise doit être réalisé sur la base d’un risque identifié au moyen d’une analyse préalable. La transformation d’un problème technique en un problème financier prend donc tout son sens.

L’étape d’analyse des risques a pour finalité une hiérarchisation des principales menaces visant l’entreprise en vue d’élaborer un ensemble de plans d’action et d’amélioration possible afin d’y répondre.

Ainsi, il convient de cartographier les risques dans une matrice, selon deux niveaux d’échelle, à savoir la sévérité ou le niveau d’impact, et leur probabilité d’occurrence pour l’entreprise. Il convient entre autres de se poser les trois questions suivantes :

  • « Quel est l’impact de ce sinistre sur l’activité de l’entreprise ? »

  • « Est-ce que ce sinistre est susceptible de survenir ? »

  • « Selon quelle fréquence ce sinistre est-il susceptible de survenir ? »...

Bilan d’impact sur l’activité

L’objectif d’un bilan d’impact sur l’activité consiste à sélectionner les activités critiques de l’entreprise afin de mobiliser les moyens nécessaires au niveau du service informatique, des infrastructures de l’entreprise et des ressources humaines. Il convient donc de ne pas s’égarer dans un processus visant à évaluer l’ensemble des activités de l’entreprise.

Ainsi, pour aller à l’essentiel, les quatre questions fondamentales à se poser dans une démarche visant à réaliser un BIA sont les suivantes :

  • « Quelles sont les activités de l’entreprise qui doivent offrir une continuité de service en cas de sinistre ? »

  • « Quelles sont les activités de l’entreprise qui doivent offrir une reprise d’activité rapide en cas de sinistre ? »

  • « Quels sont les délais de reprise d’activité impartis pour l’entreprise ? »

  • « Quels sont les moyens disponibles pour procéder à la reprise d’activité ? »

1. Ciblage des activités essentielles

Il convient de réaliser cet exercice avec les responsables de chaque service et surtout avec toute personne habilitée...

Gestion des risques

En résumé, la gestion des risques repose sur quatre étapes successives qui ont été brièvement décrites.

images/03DP01.png

Il convient tout d’abord d’identifier les risques pesant sur l’entreprise, selon les trois composantes menace, vulnérabilité et impact, parmi les trois catégories de sinistre énoncées dans le chapitre Mieux connaître les sinistres.

L’analyse des risques vise ensuite à élaborer un ensemble de scénarios de sinistres, en tenant compte des facteurs durée et amplitude. Le risque encouru est alors reporté dans une matrice et segmenté selon un seuil de criticité calculé ou un niveau d’exposition au risque estimé.

Parallèlement à cela, un bilan d’impact sur les activités de l’entreprise doit mettre en évidence les plus vulnérables, selon les scénarios de sinistres, car rémunératrices et/ou vitales. Si une évaluation des pertes financières est possible, il convient alors de l’entreprendre ; à défaut, l’approche qualitative décrite reste de mise. Au final, les activités de l’entreprise doivent être classées selon leur niveau de criticité.

Les fonctions et les traitements de chaque activité présentant un niveau d’exposition au risque élevé ou critique pour l’entreprise doivent faire l’objet d’un traitement du risque.

La dernière étape a pour objectif de mobiliser, entre autres, les moyens techniques, humains et/ou financiers. Il convient de mettre en œuvre...

Conciliation du risque avec l’investissement

La mobilisation des moyens techniques et humains visant à gérer un sinistre particulier doit idéalement être proportionnelle aux coûts engendrés. Les étapes d’analyse des risques et le bilan d’impact d’activités fournissent des métriques opérationnelles permettant de déterminer ce juste équilibre. Ainsi, une analyse des conséquences résultant d’une indisponibilité de service permet d’affiner la valeur du paramètre technique de la durée maximale d’interruption admissible (DMIA). Les pertes financières telles qu’énoncées dans l’exemple d’une panne des caisses enregistreuses sont chiffrables, comme souvent avec ce type de sinistre. Le coût de la panne augmente par conséquent avec le temps d’indisponibilité et le seuil de criticité au risque augmente de surcroît.

images/03DP03.png

Dans le graphique ci-dessus, le niveau d’exposition au risque du traitement « Caisse enregistreuse » est jugé élevé au-delà d’une heure d’indisponibilité. Il convient donc de définir une DMIA strictement équivalente ou inférieure à cette durée. Une indisponibilité de 3 heures environ, et au-delà, représente...