Le risque informatique - Document de réflexion
ments normatifs sur les risques informatiques leur évaluation des risques informatiques ... cartographie et un inventaire des composants.
Outil 7 : Exemple de cartographie des risques
Outil 7 : Exemple de cartographie des risques 1 4) Défaillances des systèmes informatiques ... une défaillance majeure du réseau informatique.
Fiche méthodologique GOUVERNANCE
1 mars 2021 La Cartographie des risques est l'outil de la Gestion des Risques. C'est le ... C'est par exemple le cas des risques informatiques pour.
guide-cartographie-systeme-information-anssi-pa-046.pdf
informatiques sont de plus en plus nombreuses et complexes. La sécurité dans une démarche générale de gestion des risques et répond à quatre enjeux.
IBM_Présentation Gestion des risques informatiques 23102012
l'informatique dans le cloud. Accès à l'information doivent gérer leurs risques Informatiques de bout en bout. ... xls pdf
Risques liés aux systèmes informatiques et de télécommunications
Les banques ont toujours été exposées à des risques tels qu'erreurs et Les types de risques qui caractérisent un environnement informatique et les ...
Matrice et cartographie des risques
La cartographie des risques d'une entité : informatique % d'incidents déclarés par les services ou enregistrés par les SI
GUIDE DAUDIT DES SYSTEMES DINFORMATION
3 juil. 2015 Les systèmes informatiques : enjeux et risques . ... périmètre audité (notamment la cartographie des applications et des systèmes) ; ...
PIA la méthode
Étude des risques liés à la sécurité des données . les correspondants « informatique et libertés » ou délégués à la protection des données qui.
Guide-des-risques-cyber-Ifaci-2.0-2020.pdf
Prendre en compte le risque cyber dans les projets informatiques sécurité dans la cartographie globale des risques de l'organisation ce qui entraine un ...
Cartographie des risques en entreprise pourquoi est-elle importante
Outil 7 : Exemple de cartographie des risques Les 10 premiers risques majeurs 1) Stratégie d’acquisition inappropriée 2) Perte de confiance des investisseurs du fait de critiques médiatisées 3) Incapacité à satisfaire aux exigences réglementaires et légales 4) Défaillances des systèmes informatiques 5) Incapacité de disposer du
CARTOGRAPHIE DU SYSTÈME D’INFORMATION
Comment initier la démarche de cartographie ? — cartographie du système d’information 13 Au cours de cette première étape vous allez définir avec l’ensemble des parties prenantes tous les éléments nécessaires à l’initialisation et au bon déroulement du projet de cartographie
Matrice et cartographie des risques - economiegouvfr
- la représentation du portefeuille des risques dans une cartographie des risques Les différents risques identifiés sont généralement reportés sur un repère orthonormé ce qui permet de disposer d’une représentation immédiate des risques majeurs ou critiques
Searches related to cartographie des risques informatiques pdf PDF
La cartographie des risques La première étape de la démarche de suivi du risque opérationnel consiste à établir une cartographie des risques Cette cartographie s'appuie sur une analyse des processus métier à laquelle on croise la typologie des risques opérationnels
Qui sont les responsables de la cartographie des risques ?
C’est l’employeur et ses représentants qui ont la responsabilité de la cartographie des risques. Toutefois, les services transverses, notamment RH et stratégiques, contribuent à son élaboration, ainsi que tous les managers des différents processus et activités analysés dans cette cartographie.
Comment une cartographie des risques peut-elle évoluer au fil du temps ?
Une cartographie des risques est un outil en constante évolution, comme les risques qu’elle analyse ! Il est indispensable de réévaluer ces risques sur une période prédéfinie ou à chaque fois qu’un élément de l’organisation de l’entreprise change.
Pourquoi faire une cartographie du système d’information ?
L’élaboration d’une cartographie du système d’information s’intègre dans une démarche générale de gestion des risques et répond à quatre enjeux de sécurité numérique : • la maîtrise du système d’information : la cartographie permet de disposer d’une vision commune et partagée du système d’information au sein de l’organisation.
Pourquoi les représentants du personnel ont-ils besoin de la cartographie des risques ?
Selon la culture promue, les enjeux poursuivis et les implications que l’atteinte (ou non) des objectifs peut avoir sur l’activité de l’entreprise, il est indispensable que les représentants du personnel puissent avoir accès à la cartographie des risques.
Mars 2021
1 / 14
Fiche méthodologique
GOUVERNANCE
9-28-31-32-33-48-49
2 / 14
SOMMAIRE
.................................................................................................................. 3
.............................................................................................................. 3
: ........................................................................ 3Comment est-ce mis à disposition ? ............................................................................ 3
LE POURQUOI .............................................................................................................. 4
Rappel des obligations légales (si applicable) .............................................................. 4
COMMENT PROCEDER ............................................................................................... 5
Préalable ..................................................................................................................... 5
Etape 1 : Identification des risques .............................................................................. 6
Etape 2 : Validation des risques ................................................................................... 7
Etape 3 : Évaluation et Hiérarchisation ........................................................................ 7
Etape. 4 : Traitements ................................................................................................. 8
Etape. 5 : Finalisation de la cartographie ................................................................... 10
LES FACTEURS DE SUCCÉS .................................................................................... 11
1. Les prérequis : ........................................................................................................... 11
2. .......................................................................................... 11
3. Le choix des contributeurs : ....................................................................................... 11
4. Le processus de validation : ...................................................................................... 11
LES CRITÈRES DE QUALITÉ .................................................................................... 12
LES BONNES PRATIQUES DE REFERENCE .......................................................... 133 / 14
La Gestion des Risques a pour objectifs :
De les caractériser,
o Actions de prévention pour réduire la probabilité d'apparition, o atténuation pour réduire les conséquences négatives en cas de survenance du risque considéré. . est le document dans lequel sont identifiés, évalués et hiérarchisés les risques it faire face. afin de les gérer. Elle sert donc de base à la gestion des risques au sein de la structuration du dispositif de contrôle interne. pe de direction élue et salariée. Toute personne qui sera en charge de maitriser un ou plusieurs risques.Comment est-ce mis à disposition ?
Une communication interne est élaborée.
) une connaissance des parades de maîtrise des risques et une implication dans leurs mises en (BP48).Les partenaires externes de
sa politique de gestion des risques (BP49).4 / 14
LE POURQUOI
Rappel des obligations légales (si applicable)
En vertu de la loi Sapin II, du 9 décembre 2016 relative à la transparence, à la lutte contre la
corruption et à la modernisation de la vie économique, les entreprises d500 salariés supérieur à 100 doivent disposer d
" Une cartographie des risques prenant la forme d'une documentation régulièrementactualisée et destinée à identifier, analyser et hiérarchiser les risques d'exposition de la
société à des sollicitations externes aux fins de corruption, en fonction notamment des secteurs d'activités et des zones géographiques dans lesquels la société exerce son activité »Note : le Document
tenir par les entreprises qui embauchent du personnel salarié, quel que soit le nombre L'évaluation des risques professionnels (EvRP) consiste à identifier les risques auxquels sont soumis les salariés d'un établissement, en vue de mettre en place des actions de prévention pertinentes couvrant les dimensions techniques, humaines etorganisationnelles. Cette démarche de prévention en santé et sécurité au travail L'EvRP est
une démarche dont les résultats sont formalisés dans le DUER. disant que le droit social sur ce point (voir BP 38).Mars 2021
5 / 14
COMMENT PROCEDER
Proposition de méthodologie :
Préalable
Un risque est un évènement incertain susceptible de se produire et pouvant avoir, en cas d'apparition, des conséquences néfastes pour toute structure organisée, sur : les actifs clefs, le bon déroulement de ses activités et missions sociales, son image auprès du public ou des bailleurs. risque et dysfonctionnement. - Un risque est par définition un évènement futur et incertain aux conséquences négatives. . - Un dysfonctionnement est un évènement interne donc un problème actuel pour le supprimer et améliorer ainsi sait maîtriser la non-survenance de cet évènement. Seuls les risques doivent être conservés dans la cartographie des risques. Les dysfonctionnements Ils doivent rejoindre la liste des actions à mettre en place pour les supprimer.Exemple de risque :
Changement de fiscalité pour le mécénat , entrainant la perte de financeurs et donc des difficultés financières importantes.Exemple de dysfonctionnement :
obtenu leur reçu fiscal dans les temps, suite à de mauvais traitements dans la base de données donateurs.6 / 14
Etape 1 : Identification des risques
EN AMONT
La réflexion de
Il faut donc :
- définir les acteurs de cette réflexion On pourra envisager un brainstorming en plénière ou bien du travail en sous-groupes par spécialités (finance, RH, communication, informatique, etc.) Afin de préparer au mieux la réunion de réflexion sur les risques, les personnes de peront à cette réflexion devront, avant la première réunion, trouver un peu de temps pour identifier les principaux risques déjà connus dans leurIDENTIFICATION DES RISQUES
omaines de risques et éventuellement sous-domaines. Le tableau ci-dessous peut servir de base :Domaines de risques Sous domaines
Stratégique
- risques pays - concurrence - partenaires / prestataires - acquisitions/fusions/investissements - évolutions réglementaires - etcFinancier
-trésorerie/liquidité -taux de change - ressources - fiscalitéConformité
-veille réglementaire - RGPD - règlements spécifiques - autorités administrativesOpérationnels
- défaillance fournisseur/prestataire - risques opérationnels (à définir) - projets (coûts, délais, qualité) - sinistre - personnes clésInformatique et cyber
- disponibilité du service - intégrité des donnéesImage/réputation
- éthique non respectée - détournement de la marque - communication non maîtriséeSanitaire
- disponibilité des salariés et bénévole - pertes de partenaires, adhérents - pertes de financement7 / 14
Pour bien identifier un risque : Demandez-vous " -ce qui pourrait m » ? ou bien " De quoi ai-je peur ? » Pour bien formuler le risque pensez, dans la mesure du possible, à prendre en compte les trois éléments suivants : 1-2- t parler
3- .
Cette approche a 3 avantages :
- Le risque est identifié sans ambiguïté. - La cause du risqueRECOMMANDATION :
Se limiter aux risques "réalistes"
Etape 2 : Validation des risques
COMMENT : séances de relecture.
Cette étape est importante. Elle permet de :
Etape 3 : Évaluation et Hiérarchisation
QUOI : deux critères sont proposés pour " peser » le risque :La probabilité de survenance,
Le niveau de Criticité du Risque est alors déduit : Criticité = Probabilité x ImpactIl existe
Exemple :
Evènement redouté Cause Conséquence
Perte de données sur
le serveur centralIntrusion malveillante
externeIncapacité à reconstituer le
listing des donateurs8 / 14
un système de notation à trois niveaux (3-élevé, 2-moyen, 1-faible) OUun système à cinq niveaux (5-très élevé, 4-élevé, 3-moyen, 2-faible, 1-très faible).
Le choix du type de notation à utiliser dépend du niveau de détail souhaité dans Il est aussi utile de se donner des critères pour guider la notation. Par exemple : apparition :1 de la connaissance des personnes consultées on a jamais vu ça.
2 On ne sait pas, on doute
3 Jamais vu, mais on pense que cela est possible
4 déjà vu une fois par certains
5 de la connaissance des personnes consultées tous ont vu au moins une fois
Pour la gravité :
(réputation). Il peut être intéressant de définir 3 tables et retenir pour chaque risque le critère le plus
important. Une NET.Le RISQUE BRUT isque
intrinsèque.Le RISQUE NET
Il est recommandé de travailler à partir du risque BRUT et ainsi de faire figurer dans la cartographie des risques, les parades déjà en place. Elles feront ainsi naturellement partie du dispositif de gestion de risques.Etape. 4 : Traitements
La première décision à prendre est de décider le seuil de criticité nécessitant une
attention.1 aucune incidence sur le fonctionnement
2 incidences gérables en interne
34 des impacts visibles du grand public
5 les actions sont remises en cause, très visible du grand public
9 / 14
- Tous les risques dont la criticité est en dessous de ce seuil seront considérés comme des risques assumés, donc sans parade à envisager (sauf si elles sontévidentes).
- Pour les risques dont la criticité est supérieure au seuil défini, des parades doiventêtre imaginées.
Les parades sont de deux types :
La Prévention qui consiste à réduire la probabilité nous impacte. risque en diminuant ou supprimant certains des facteurs de risque. Atténuation qui consiste à diminuer les conséquences potentielles de agir sur ses conséquences. prestataire spécialisé. st par exemple le cas des risques informatiques, pour lesquels les parades demandent des compétences très spécifiques et très pointues.Dans ce cas, oencore
considéré comme élevé, imaginer des parades complémentaires pouvant être misesExemple de parade de type prévention :
Evènement redouté cause Parade préventiveRisque de
détournement de fonds commandes/facturesSéparation des fonctions
engagement/paiement/comptabi lisationPerte de contenu
internetCyber attaque Hébergeur apportant un niveau
de garantie compatible avec la sensibilité du contenu10 / 14
Etape. 5 : Finalisation de la cartographie
Lorsque toutes les parades sont imaginées, il reste 3 éléments à compléter ligne à ligne dans le tableau.1 Définir la personne en charge de la mise en place de la parade.
2 Définir le délai de
3 Indiquer si les parades doivent être intégrées dans le dispositif de contrôle
interne (nouvelles règles à mettre en place et à intégrer dans les procédures opérationnelles). Enfin, pour toutes les parades en mode dégradé), définir le processus de gestion de crise et lancer la rédaction des procédures nécessaires pour chaque scénario envisagé (cf BP33) . et de le faire figurer en fin de tableau. Lors des mises à jour annuelles de la cartographie, ce risque résiduel sera alors régulièrement re-estimé en fonction de cité opérationnelle des parades et du dispositif de contrôle interne. parades. Par exemple, si la mesure préventive est de nature " formation », aboré à partir de la comptabilisation des actions de formation.Exemple de parade de type atténuation :
Evènement redouté cause
Perte de données
sensiblesAttaque malveillante
du serveurProcédure de sauvegarde
périodique et sécuriséeRumeur sur des
dysfonctionnements internes du CAPersonne interne ou
externe mal intentionnéeCommunication interne
Communiqué de presse
Absence prolongée et
personne clefAccident Manuel de procédures précis
et personnes back-up définies sur les tâches sensibles11 / 14
LES FACTEURS DE
SUCCÉS
Proposition de méthodologie :
1. Les prérequis :
Un comité de pilotage :
Qui identifie les participants,
2.Une implication de tous : l
directions/ activités. n animateur responsable.3. Le choix des contributeurs :
La Gestion des Risques est une activité permanente des responsables des familles de risques. Il faut donc des contributeurs pour chaque famille.4. Le processus de validation :
administration pour information et validation. La communication interne sur la gestion des risques existe et est largement diffusée.12 / 14
LES CRITÈRES DE QUALITÉ
du LivrableCartographie des Risques
La cartographie des risques est un des livrables du dossier nécessaire à la labellisation IDEAS. Les grandes familles de risques sont présentes. Les risques sont correctement formulés pour éviter tout malentendu.La pesée des risques est effective.
Les responsables sont identifiés.
Les parades sont clairement documentées et pour celles qui sont à développer, une date de réalisation est indiquée. Une procédure gestion de crise a été préparée pour le cas de survenance de risques focus thématique Gestion de crise).Le comité spécialisé en charge de vérifier la qualité du contrôle interne (le comité
), doit régulièrement a cartographie des risques (cfLa cartographie des risques a fait
13 / 14
LES BONNES PRATIQUES
DE REFERENCE
Un plan stratégique à moyen terme (3 5 ans). document de planification stratégique. valeurs formulées dans le projet afin de tendre à sa réalisation,ϛ explicitant le modèle socio-entité,
ϛ incluant les thèmes de Responsabilité Sociétale et la référence aux objectifs de ϛ tenant compte des risques stratégiques, sectoriels et environnementaux propres àϛ définissant des objectifs stratégiques, il les décline en projets opérationnels pour
leur réalisation, ϛ il est établi en connaissance des attentes des parties prenantes pour : o o o14 / 14
quotesdbs_dbs7.pdfusesText_13[PDF] londres championne du développement durable
[PDF] quels sont les objectifs du péage urbain ? londres
[PDF] exemple de cartographie des risques d'une entreprise
[PDF] course d'orientation niveau 4
[PDF] situation d'apprentissage course d'orientation niveau 3
[PDF] problèmes fondamentaux course d'orientation
[PDF] enjeux de formation course d'orientation
[PDF] cycle course d'orientation lycée
[PDF] cartooning for peace liberté d'expression
[PDF] cartooning for peace plantu
[PDF] exposition cartooning for peace 2016
[PDF] exposition cartooning for peace mgen
[PDF] dessin paix
[PDF] cartooning for peace logo