• 8 heures
  • Difficile
Licence

Ce cours est visible gratuitement en ligne.

course.header.alt.is_certifying

J'ai tout compris !

Mis à jour le 06/12/2024

Synthétisez la stratégie de gestion du risque

Découvrez les enjeux de l’atelier 5

L'atelier 5 de la méthode EBIOS RM est consacré à la gestion des risques identifiés lors des ateliers précédents. L'objectif principal de cet atelier est d'identifier les mesures de sécurité appropriées pour traiter les scénarios de risque que vous avez développés et de préparer le plan de traitement des risques.

Quelles personnes inviter à l’atelier ?

Les participants de l'atelier 5 sont les mêmes que ceux de l'atelier 1 (Direction, Métiers, RSSI, DSI) pour plusieurs raisons cruciales :

  1. Continuité stratégique : La Direction doit assurer que les décisions de gestion des risques restent alignées avec la vision globale de l'entreprise et le cas échéant prendre des décisions si celles-ci doivent être modifiées.

  2. Compréhension des besoins métiers : Les représentants des métiers garantissent que les solutions proposées n'entravent pas les opérations quotidiennes et répondent aux besoins spécifiques.

  3. Expertise en sécurité : Le RSSI apporte une expertise technique indispensable pour évaluer et prioriser les risques.

  4. Soutien technique : La DSI s'assure que les mesures techniques sont faisables et qu'elles seront bien intégrées dans l'infrastructure existante.

Commencez par réaliser la synthèse des scénarios de risques en réalisant une cartographie du risque du risque initial comme suit.

Revenons sur notre cas filé :

Rappel des risques :

  • R1 : Attaque DDoS visant à décrédibiliser VETO+ : V2 G3

  • R2 : Introduction d’un malware : V1 G3

  • R3 : Vol de données après hameçonnage sur un employé : V1 G4

  • R4 : Clé USB infectée d’un malware : V2 G3

  • R5 : un personnel mécontent fait de fausses notes de frais pour gagner de l’argent : V3 G2

  • R6 : Fuite de données dans un but lucratif : V2 G2

Schéma croisant la gravité (G) et la vraisemblance (V) pour évaluer le risque, avec des cases colorées indiquant différents niveaux de risque. Les références R1 à R6 indiquent dans les cases les catégories de risques correspondants
La cartographie du risque

Pour chaque scénario de risque, il est essentiel de s'accorder sur les seuils d'acceptabilité du risque et de déterminer le niveau de sécurité à atteindre lorsque le risque n'est pas acceptable. Cette décision doit être formalisée dans une stratégie de traitement du risque

Je vous recommande d'utiliser des classes d'acceptation couramment employées dans la gestion des risques pour guider ces décisions. Cela permet de structurer le processus et d'assurer une gestion cohérente des risques au sein de l'organisation.

Prenons un exemple, repris du guide EBIOS :

matrice d'évaluation du risque avec trois niveaux : faible (acceptable en l'état), moyen (tolérable sous contrôle) et élevé (inacceptable). Chaque niveau inclut des recommandations spécifiques
Matrice du guide EBIOS RM, qui permet également de se rendre compte des tendances et de prioriser les risques.

En résumé

  • Cet atelier se concentre sur la gestion des risques identifiés précédemment, en définissant les mesures de sécurité à adopter et en préparant un plan de traitement des risques.

  • Cartographie du risque : Créez une matrice gravité/vraisemblance pour visualiser facilement les risques critiques (en rouge) et prioriser les actions.

  • Seuils d'acceptabilité du risque : Pour chaque scénario, accordez-vous sur les seuils d'acceptabilité et définissez une stratégie de traitement si le risque est inacceptable.

  • Priorisation et synthèse des risques : Utilisez des outils visuels pour présenter clairement les risques et pensez à inclure un rappel sous chaque tableau pour éviter de revenir en arrière.

Il est maintenant temps de traiter les risques !

Exemple de certificat de réussite
Exemple de certificat de réussite