Vous êtes sur la page 1sur 4

Le logiciel Risicare

Mis jour Lundi, 19 Juillet 2010 10:18


Objectifs de l'outil Risicare

RISICARE est une approche associe un outillage, s'appuyant sur la mthode Mehari 2010
et qui permet d'amliorer la productivit et la justesse d'une dmarche de gestion des risques.

Il s'agit de faciliter la tche du RSSI ayant raliser une analyse de risque ou implmenter un
SMSI . La trame globale se voulant trs proche d'une dmarche ISO 27001 et ISO 27005.

Principales caractristiques de Risicare

Risicare s'appuie sur les caractristiques suivantes :

- L'utilisation de la mthode Mehari dveloppe au sein du CLUSIF comme modle
d'analyse des risques.
- La possibilit de personnaliser les bases de connaissances, voire de construire ses
propres bases de connaissances.
- Une relation entre un audit de l'existant et la quantification de scnarios de risques.
- Une prise en compte exhaustive et automatique des multiples possibilits de survenance
de ces scnarios.
- L'laboration de plans d'action cohrents optimisant la rduction de l'ensemble des
risques.
- Une aide en ligne trs dveloppe avec l'accs un ensemble de rubriques
mthodologiques et techniques .
- Un outil performant et simple utiliser en ergonomie Windows.

Intrts et limites de Risicare

Les avantages de Risicare vis vis des autres outils sont :

- De s'appuyer sur la mthode Mehari dveloppe au sein du CLUSIF qui est une
mthode complte d'analyse des risques et qui bnficie du retour d'exprience des mthodes
Marion et Melisa.
- D'tre conu pour permettre une approche de diagnostic qui permet de s'adapter la
taille et la complexit de l'entreprise ou organisme.


1 / 4
Le logiciel Risicare
Mis jour Lundi, 19 Juillet 2010 10:18
Mais attention RISICARE est un outillage et pour bien l'utiliser il faut avoir bien assimil la
mthode Mehari.

Notamment dans des contextes de moyennes entreprises, son utilisation ncessite de savoir
dfinir un primtre des processus clefs afin d'optimiser la dmarche et les ressources
(internes et externes).

Evolutions de Risicare 2010 (Risicare V7)

Les volutions par rapport la version 2007 sont trs importantes et aboutissent une
utilisation profondment remanie.

Etablissement du contexte : l'analyse des enjeux mtier

Cette phase est toujours dlicate dans un dmarche de gestion des risques. Risicare 2010
propose une assistance cette phase puisqu'elle permet une cartographie du Systme
d'Information (donc des actifs de support) partir des processus mtier.

La dmarche suivie est la suivante :

- A partir d'un processus mtier analys, les actifs de support sont identifis partir de la
liste des actifs gnriques des bases de connaissance.
- La classification de cet actif pour le processus selon les critres d'impact, Risicare
slectionnant automatiquement les critres d'impact qui peuvent tre concerns par un actif

- Un lien est tabli entre Processus mtier Actifs concerns.
- Ensuite les actifs dtermins prcdemment sont localiss, Risicare prsentant pour
chaque actif les domaines d'audit pouvant servir quantifier les vulnrabilits de cet actif.


L'analyse de l'existant

Une notion de slection des questions apparait selon un niveau de maturit de l'entreprise et la
finalit recherche. Ainsi il est maintenant possible

2 / 4
Le logiciel Risicare
Mis jour Lundi, 19 Juillet 2010 10:18
La base de connaissances 2010 du Clusif introduit une taxinomie des questions d'audit selon la
finalit sur le service de scurit (Efficacit, Robustesse ou Mise sous contrle) et selon un
niveau de maturit (niveau 1, 2 et 3).

Risicare 2010 utilise cette taxinomie pour slectionner les questions d'audit. Aprs cette
slection, l'utilisateur ne voit pas de diffrence, il se positionnera uniquement sur les questions
slectionnes.

La phase de traitement du risque

La construction de cette phase assure une conformit avec l'ISO 27005 et prpare la SOA. Elle
vise construire des plans d'actions visent rduire la gravit des risques que l'on veut traiter.

Elle permet de dfinir des stratgies de rduction du risque :

- Choix entre rduction de la potentialit du risque ou de l'impact ou des deux.
- Dans la rduction de la potentialit, choix entre dissuasion et prvention
- Dans la rduction de l'impact, choix entre le confinement et la palliation.
- Dans la rduction d'un facteur de risque, choix entre les diffrentes alternatives de
services de scurit mettre en uvre.

En ce sens, Risicare est un vrai outil de support la rflexion du RSSI sur l'tablissement du
plan de traitement des risques.

La phase d'acceptation du risque

Dans une optique ISO 27005, il existe d'autres alternatives dans le traitement du risque que de
rduire les risque, savoir :

- Accepter le risque tel qu'il est.
- Trouver des moyens d'vitement.
- Transfrer le risque.

3 / 4
Le logiciel Risicare
Mis jour Lundi, 19 Juillet 2010 10:18
Risicare prsente les risques qui n'ont pas t rduits afin qu'un choix de traitement puisse tre
fait par le RSSI.


4 / 4