Vous êtes sur la page 1sur 72

UNIVERSITE MOHAMMED V AGDAL

ECOLE MOHAMMADIA DINGENIEURS

Filire: Gnie Informatique


Options: Systmes dinformations
Mmoire de Projet de Fin dEtudes
N INF 26/12

Mise en place dune dmarche


personnalise de gestion des risques IT pour
DELOITTE- Maroc

Ralis par:
M. Hassan EL OUMRI

Dirig par:
M. Samir BENNANI
M. Rabii BERADY
M. Amine SERRAR

Anne universitaire 2011-2012

UNIVERSITE MOHAMMED V AGDAL


ECOLE MOHAMMADIA DINGENIEURS

Filire: Gnie Informatique


Option: Systmes dinformations

Mmoire de Projet de Fin dEtudes


N INF 26/12

Mise en place dune dmarche


personnalise de gestion des risques IT pour
DELOITTE- Maroc
Ralis par:

M. Hassan EL OUMRI

Soutenu le 31 Mai 2012 devant le jury :


Mme A.RETBI
M M.KHALIDI IDRISSI
M S. BENNANI
M R. BERADY
M A.SERRAR

Prsident e
Rapporteur
Encadrant
Encadrant
Encadrant

Professeur lEMI
Professeur lEMI
Professeur lEMI
Manager DELOITTE
Superviseur DELOITTE

Anne universitaire 2011-2012

Remerciements
Au terme de ce travail, je tiens remercier vivement et profondment tous ceux qui
ont contribu de prs ou de loin la ralisation de ce projet de fin dtudes.
De prime bord, je remercie personnellement Monsieur Samir BENNANI, qui ma
fait lhonneur de mencadrer et grce qui jai pu mener bien ce travail. Je tiens lui
tmoigner ma reconnaissance pour la qualit de son encadrement, son soutien et ses prcieux
conseils.
Mes sincres remerciements sont tout particulirement adresss Messieurs Rabii
BERADY, Amine SERRAR et Omar KARRAKCHOU, mes parrains de stage DELOITTE,
pour leurs encouragements, leurs soutiens et leurs implications lors de ce projet.
Je remercie galement tous les membres de jury davoir bien voulu valuer mon
modeste travail.
Je tiens exprimer ma gratitude tout le corps professoral et administratif de lEcole
Mohammedia dIngnieurs pour avoir fait preuve de disponibilit et dattention tout au long
de la priode de formation.

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

DDICACES
A mes trs chers parents,
Pour vos sacrifices, votre soutien inconditionnel, votre patience et votre
respect, je ne puis vous exprimer toute ma gratitude.
Pour mavoir laiss choisir mon chemin, trouver ma voie et devenir ce que je
suis, je vous suis reconnaissante jamais. Que Dieu vous procure sant,
bonheur et longue vie.

A Ahmed Amine, Mariam, Marwa et Samid


Que vous trouvez ici lexpression de mon plus grand amour pour vos
encouragements, vos conseils et votre soutien.

A mes tantes et mes cousins,


Que vous trouvez ici lexpression de mon plus grand attachement pour avoir
pris soin de moi, pour mavoir encourage et pour vos prires si nombreuses.

A Samia, Rachida, Salma, Sara, nada, asma, Sakina, mrym, meriem, Anass,
omar, Youssef, soufiane, jihad, hassan, ikhlef, amine, soulayman, nadia,
asmae, achraf, adnane
Pour votre amiti et votre soutien. Que ces annes lEcole ne soient quun
avant-got de tout ce qui est encore venir.

A tous ceux que jestime, amis de longue date ou connus lEcole, mais que je
ne peux tous citer.

Je vous ddie ce travail

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Rsum
.

Le management des risques est un processus permanent qui irrigue toute organisation.

Il est mis en uvre par lensemble des collaborateurs, tous les niveaux de lorganisation, en
particulier au niveau du systme dinformation. En effet, la mise en place dun dispositif de
management des risques informatiques, qui permet dobtenir une vision globale de
lexposition du systme dinformation aux risques. est devenu une ncessit au sein de
lentreprise, vu le gain important quapporte le systme dinformation en productivit.
Cest dans ce cadre, et afin dassurer une meilleur comptitivit et garder sa position
de leader dans le march marocain, Deloitte Maroc a dcid daccompagner les entreprises
dans la gestion et lvaluation des risques de leurs systmes dinformations et de pouvoir
prendre instantanment toute mesure correctrice approprie. Ce service dbouchera sur la
mise en uvre dune mthode personnalise de gestion des risques IT qui rpondra aux
besoins immdiats des clients.
Ainsi, la finalit de ce projet tait llaboration dune dmarche de gestion des risques
informatiques lis aux systmes dinformation, intgrant les concepts du management des
risques, et rpondant la problmatique de rigidit des mthodes existantes. Plusieurs
paramtres ont t considrs pour justifier le bienfond de cette dmarche personnalise, et
la pertinence des lments qui la constituent.
Par ailleurs, la dmarche propose doit respecter les normes et la mthodologie
prtablies au sein de DELOITTE ainsi que les rglementations en matire de risque qui
rgissent les secteurs bancaires et dassurances.

2011 - 2012

Dpartement Informatique

Projet de Fin dEtudes

.
.

.


.
.

.
.

.

Projet de Fin dEtudes

2011 - 2012

Dpartement Informatique

ABSTRACT
Risk management is an ongoing process that irrigates organization. It is implemented
by all employees at all levels of the organization, particularly in the information system.
Indeed, the establishment of a mechanism for managing information risk, which provides an
overview of the system's exposure to risk information, has become a necessity in the business,
given

the large

gain brings to

the information

system

productivity.

It is within this framework, and to ensure a better competitiveness and maintain


its leading position in the Moroccan market, Deloitte Morocco has decided to support
companies in the risk management assessment of their information systems and instantly be
able to take any appropriate remedial action. This service will result in the implementation of
a custom method of risk management IT that will meet the immediate needs of customers.
Also, the purpose of this project was to develop an approach to IT risk management related to
information systems, incorporating the concepts of risk management, and responding to the
problem of

rigidity of

the

existing

methods. Several parameters

were

considered to

justify the validity of this personalized approach, and relevance of its constituent elements.
Moreover, the proposed approach must meet the standards and methodology pre within
Deloitte and regulations with regard to risk governing the banking and insurance.

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Table de matires
INTRODUCTION ................................................................................................. 1
1. Premier Chapitre : Contexte et dmarche du projet ........... 3
1.1 Prsentation de lorganisme daccueil................................................................................. 3
1.1.1 Deloitte dans le monde ..................................................................................................... 3
1.1.2 Deloitte Maroc ................................................................................................................. 4
1.2. Prsentation du projet ......................................................................................................... 5
1.2.1. Management des risques des systmes dinformations.6
1..2.2. Dfinition gnrale de laudit..........................................................................................7
1.3. Contexte et objectif du projet ........................................................................................ 8
1.3.1. Cadrage............................................................................................................................ 8
1.3.2. Problmatique.................................................................................................................. 8
1.3.3. Objectif du projet............................................................................................................. 9
1.3.4. Dfinition du projet...................................................................................................... 9
1.4. Conclusion.12
2. Deuxime chapitre : Etude Benchmark........................................................................... 13
2.1. Prsentation des Missions de Contrles Gnraux Informatiques.13
2.1.1 Prsentation des missions................................................................................................ 13
2.1.2 Description du droulement des missions ...................................................................... 13
2.1.3 Apport des missions daudit la dmarche de gestion des risques IT.... 14
2.2. Analyse des mthodes existantes : tude Benchmark....14
2.2.1 Cadrage de ltude.................................................................................................. 15
2.2.2 Documentation........................................................................ 15
2.2.3 Choix des mthodes.... 15
2.2.4 Analyse approfondie........................................................................... 16
2.2.5 Synthse...... 22

2.3. Conclusion 26
3. Troisime chapitre : Elaboration de la dmarche personnalise de la gestion des
risques IT.27
3.1. Description gnrale de la dmarche................................................................................ 27
3.1.1. Justification de la proposition ....................................................................................... 27
3.1.2. Description gnrale de la mthode ............................................................................. 27
3.2. Description dtaille de la dmarche................................................................................ 28
3.2.1. La proposition ............................................................................................................... 28
3.2.2. Phase de cadrage de la mission.......................................................................................31
3.2.3. Identification des risques34
5

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

3.2.4. Evaluation des risques.37


3.2.5. Recommandations...40
3.2.6. Traitement des risques....41
3.2.7. Suivi et contrle des risques42
3.2.8. Capitalisation et documentation..43
3.3. Conclusion.....44
4. Quatrime chapitre : Etude de cas ...45
4.1. Cadrage de ltude............................................................................................................ 45
4.2. Phase de cadrage de la mission......................................................................................... 46
4.3. Identification des risques.................................................................................................. 48
4.4. Evaluation des risques .. 49
4.5. Rdaction des recommandations....51
4.6. Runion de validation ......52
4.7. Conclusion ....52
CONCLUSION GENERALE .............................................................................................. 53
Bibliographie ......................................................................................................................... 54
Webographie .......................................................................................................................... 54
Annexes .................................................................................................................................. 55

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Liste des figures :


Figure 1.1 : Implantations des firmes Deloitte dans le monde ..4
Figure 1.2 : Organigramme Deloitte MAROC......5
Figure 1.3 : Phases du projet....11
Figure 1.4 : Phases du projet....11
Figure 2.1 : Dmarche de ltude Benchmark.....15
Figure 2.2 : Architecture gnrale de la mthode CRAMM...16
Figure 2.3 : Dmarche gnrale de la mthode EBIOS......17
Figure 2.4 : Dmarche gnrale de la mthode MEHARI......18
Figure 2.5 : Cube COSO.....20
Figure 2.6 : Processus gnraux de la norme ISO 27005 ..21
Figure 2.7 : Domaines du rfrentiel Risk IT......22
Figure 3.1 : Processus gnraux de la dmarche personnalise...28
Figure 3.2 : Points cls de la proposition.....30
Figure 3.3 : Phases de lidentification des risques...34
Figure 3.4 : Matrice de criticit....39
Figure 4.1 : Planning prvisionnel de la mission.....46
Figure 4.2 : Diagramme dobjet de laxe Organisation du SI cible.....47

Liste des tableaux :


Tableau 1.1 : Description des tapes du projet..12
Tableau 2.1 : Synthse des principales caractristiques de mthodes de gestion des risque.23
Tableau 2.2 : Comparatif des mthodes de gestion des risques.....23
Tableau 2.3 : Description des principales caractristiques des rfrentiels tudis...24
Tableau 3.1 : Synoptique de la phase de la proposition......31
Tableau 3.2 : Synoptique de la phase de cadrage.. 34
Tableau 3.3 : Synoptique de la phase didentification des risques.37
Tableau 3.4: Synoptique des phases valuation des risques et recommandations.41
Tableau 4.1 : Liste des risques et des scnarios des risques identifis par rapport au processus
de la gestion de lassurance non vie 49
Tableau 4.2 : Evaluation des risques et des scnarios des risques identifis par rapport au
processus de la gestion de lassurance non vie.51
Tableau 4.3 : Liste des principales recommandations.52

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Introduction :
Aujourdhui, et dans un contexte de rcession mondiale, les entreprises voluent dans un
environnement trs incertain, domin par une forte concurrence nationale et internationale.
Pour garantir leur ractivit, rester comptitive, et assurer la continuit de leur service, elles
sont dans lobligation de mettre en place un systme de management des risques lis leurs
activits. Dans cette perspective, le but de la gestion des risques est dagir et prendre des
dcisions en avenir incertain, prvenir les risques et palier aux menaces qui peuvent affectes
lactivit des entreprises. En effet, sil y a incertitude, il y aura toujours des risques encourus
qu'il conviendrait alors de grer.
En particulier, les entreprises sont dans la ncessit de protger leur systme
dinformation contre toutes menaces pouvant affectes sa disponibilit ou altrer les donnes
stockes dans le SI. En effet, le systme dinformation est devenu une ressource trs prcieuse
pour lentreprise, il lui permet de comprendre son environnement, de grer ses activits au
quotidien, de gagner en production et de prendre des dcisions stratgiques. De plus, avec
louverture des marchs et lmergence des nouvelles technologies de linformation et de la
communication, le Systme dInformation, qui permet de grer la masse dinformation de
toute entreprise, ne constitue plus seulement un lment essentiel dans la gestion, il devient
lui-mme stratgique pour les organisations soucieuses de se doter davantages concurrentiels
durables.
Dans ce cadre, Deloitte Maroc se propose daccompagner les entreprises dans la gestion et
lvaluation des risques de leurs systmes dinformations, afin de pouvoir prendre
instantanment toute mesure correctrice approprie. Ce service dbouchera sur la mise en
uvre dune mthode personnalise de gestion des risques IT qui rpondra aux besoins
immdiats des clients.
Le prsent rapport sarticule autour de quatre parties : La premire partie prsentera
lorganisme daccueil, le contexte gnral du projet et les concepts relatifs au domaine de
laudit et du management des risques des systmes dinformations. La deuxime partie
concernera ltude benchmark des principales approches danalyse des risques existantes et
prsentera les missions de contrles gnraux informatiques effectues lors du stage ;
lobjectif de cette partie est de mettre en exergue les bases sur lesquelles a t labore la

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

mthode de gestion des risques IT, dont la description dtaille sera expose dans le troisime
chapitre. Et enfin, le dernier chapitre sera consacr la mise en uvre de la dmarche
propose dans le cadre dune tude de cas pratique.

Projet de Fin dEtudes

2011 - 2012

Dpartement Informatique

1. Premier Chapitre : Contexte et dmarche du


projet
Ce premier chapitre prsente lenvironnement dans lequel sest effectu le stage ainsi que
le contexte du projet de fin dtudes. Dans un premier temps, nous prsentons lorganisme
daccueil Deloitte & Touche dans lequel sest droul le stage. Puis, nous exposons les
concepts relatifs laudit informatique et au management des risques des Systmes
dInformations qui constituent le cadre gnral de ce projet, pour ensuite dtailler la
problmatique, les objectifs attendus, la mthodologie de conduite de projet suivie et le
planning selon lequel il sera ralis.

1.1.Prsentation de lorganisme daccueil :


1.1.1. Deloitte dans le monde
Deloitte est lun des quatre grands cabinets daudit et de conseil dans le monde (Big Four)
avec PricewaterhouseCoopers, Ernst & Young et KPMG, n des fusions successives des
acteurs anglo-saxons historiques de ce secteur.
Deloitte a t fond Londres en 1845 par William
Deloitte qui sassocie en 1925 Charles Haskins et E. Sells
New York pour former Deloitte Haskins & Sells (DHS).
Sir George Touche, lui aussi novateur dans ses ides, a cr
son cabinet londonien en 1899 et sest associ en 1958 avec
PS Ross, devenant ainsi Touche Ross International (TRI).
Enfin, au Japon, lamiral Nobuzo Tohmatsu, a fond en

William Welch
Deloitte

Nabuzo
Tohmatsu

1968 le cabinet Tohmatsu & Co, devenu rapidement numro


un dans son pays.
1989 marque un tournant dans lhistoire de (DHS) et (TRI) avec lannonce du
rapprochement lchelle mondiale de ces deux grands cabinets daudit et de conseil, qui,
aprs stre alli Tohmatsu, donnent ainsi naissance Deloitte Touche Tohmatsu (DTT).

10

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Fort dun hritage de plus de 150 ans dexcellence, Deloitte Touche Tohmatsu est
aujourdhui leader mondial au sein des Big Four , avec un chiffre daffaires atteignant
26,6 milliards de dollars en 2010. Il sagit galement du plus grand cabinet daudit au monde
avec une masse salariale de 169 000 employs, prsents dans 150 pays et servant plus de la
moiti des plus grandes entreprises mondiales. La figure suivante (figure 1.1) prsente
limplantation des firmes Deloitte dans le monde :

Figure 1.1 : Implantations des firmes Deloitte dans le monde

1.1.2. Deloitte Maroc


Cre en 1994, l'initiative de Deloitte & Touche France, le cabinet d'audit Deloitte
Maroc mobilise des comptences diversifies pour rpondre l'ventail des services attendus
par ses clients, de toutes tailles et de tous secteurs des grandes entreprises multinationales
aux micro-entreprises locales, en passant par les entreprises moyennes.
Les 120 collaborateurs de Deloitte MAROC incarnent le dynamisme et la russite de
la firme par leur engagement et leur souci permanent de garantir l'excellence des prestations
qu'ils assurent. Celles-ci couvrent une palette d'offres trs large :
Audit
Consulting & Risk services
Juridique et fiscal
Expertise comptable
Corporate finance

11

Projet de Fin dEtudes

2011 - 2012

Dpartement Informatique

La figure 1.2 dcrit les diffrentes entits de Deloitte Maroc :

Figure 1.2 : Organigramme Deloitte MAROC


Le stage de fin dtudes qui fait lobjet de ce rapport a t effectu au sein de lentit
Entreprise Risk Services . Cette activit concerne principalement laudit et le conseil des
SI, des processus et organisations travers les services suivants :
Audit des systmes d'informations.
Qualit et scurit des processus.
Scurit des systmes, des rseaux et de l'information.
Externalisation de la fonction daudit interne.
Audit de la mthodologie de gestion des projets.
Audit de la fonction informatique
Gestion des risques de taux et change, valuation d'instruments financiers,
passage aux nouvelles normes comptables.
Management

des

risques

oprationnels

&

conseil

en

respect

des

rglementations.

1.2. Prsentation du projet


Ce projet de fin dtude sinscrit dans le cadre de laudit des systmes dinformations et
du management des risques informatiques. En effet, nous proposons en premier lieu de
dfinir quelques concepts cls intrinsques ces domaines que nous synthtisons dans ce qui
suit.
12

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

1.2.1. Management des risques des systmes dinformations


1.2.1.1.

Risque (rf : www.wikepedia.org)

Le risque est la prise en compte d'une exposition un danger, un prjudice ou autre


vnement dommageable, inhrent une situation ou une activit. Le risque est dfini par la
probabilit de survenue de cet vnement et par l'ampleur de ses consquences (ala et enjeu).
Il peut tre appliqu une personne, une population, des biens, l'environnement ou le milieu
naturel. Ainsi la criticit du risque est calcule comme suit :
Criticit du risque = probabilit doccurrence du risque * impact du risque

1.2.1.2.

Systme dinformation (rf : www.wikipedia.org)

Un systme d'information est lensemble des moyens techniques et humains mis en


uvre par une organisation pour collecter, mmoriser, traiter ou transmettre linformation..
De par linformation vhicule, le systme dinformation assure la coordination des
diffrents services, leur permettant daccomplir les missions qui leur sont dvolues, dans le
but de rpondre lobjectif que sest fix lentreprise.

1.2.1.3.

Management des risques informatiques (rf : Pascal KIEBEL

management des risques)


Le management du risque s'attache identifier les risques qui psent sur les actifs de
l'entreprise (c'est--dire ce qu'elle possde pour sa prennit, ses moyens, ses biens), ses
valeurs au sens large et son personnel. En particulier, le risque des systmes dinformations
sintgre dans le cadre des risques oprationnels. En effet, les systmes dinformations
peuvent tre affects par diverses menaces (Sinistres, erreurs humaines, virus,..). De ce fait, le
management des risques informatiques a pour objectif de matriser ces menaces par la mise en
place de contrles proportionns aux risques pouvant peser sur la confidentialit de
linformation, son intgrit ou sa disponibilit.
Ainsi, les principaux critres dvaluation des risques sont :
Disponibilit : garantie que linformation est accessible au moment voulu par
les personnes autorises.
Intgrit : garantie que les lments considrs sont exacts et complets.
Confidentialit: garantie que seules les personnes autorises ont accs aux
lments considrs.

13

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

1.2.2. Dfinition gnrale de laudit :


1.2.2.1.

Audit (rf : Manuel technique de laudit)

L'Audit est un examen objectif auquel procde un professionnel comptent et indpendant


qui donne une organisation une assurance sur le degr de matrise de ses oprations, lui
apporte ses conseils pour les amliorer, et contribue crer de la valeur ajoute.

1.2.2.2.

Audit Informatique (rf : Manuel technique de laudit)

LAudit Informatique est un examen systmatique et organis des activits de la


fonction informatique. Il a pour but de fournir une valuation complte quant la faon dont
les processus et activits lies aux systmes dinformations sont ralises, avec des
observations et des recommandations visant mettre en place une gestion efficace, scuritaire
et une bonne gouvernance des ressources et processus informatiques. On peut diffrencier
deux types daudit des Systmes dinformations :
Audit organisationnel : Cest un audit fonctionnel qui a pour but d'tablir une
valuation gnrale de l'ensemble du systme d'information sur les plans
organisationnels, procduraux et technologiques.
Audit technique : Cest une analyse technique des composantes du systme
dinformation en matire de tests, robustesse du code et rsistance du SI face aux
attaques. Cette analyse est accompagne dune analyse et dune valuation des
dangers qui pourraient rsulter de lexploitation des failles dcouvertes suite
lopration daudit.

1.2.2.3.

Audit Informatique : une approche oriente risque

Au cours de ces dernires annes, plusieurs cabinets daudit ont adopt des approches
daudit qui sappuient plus quavant sur des concepts danalyse orients mtier et dvaluation
des risques. Ainsi, aprs lmergence de la crise financire, les cabinets daudit ont adopt
une nouvelle approche pour amliorer la qualit de service propose et pour satisfaire au plus
le besoin des clients, en ajoutant une tude des risques dans la dmarche daudit pour donner
une assurance raisonnable que les risques associs aux activits des entreprise sont bien grs
et raliss.

14

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

1.3. Contexte et objectif du projet :


Aprs la prsentation du cadre gnral du projet, on se propose de dtailler le contexte
spcifique du projet.

1.3.1. Cadrage
Le dpartement Entreprise Risk Services du bureau de Deloitte de Casablanca, dans sa
composante Conseil Audit Service (CAS), est organis autour de deux activits phares :
Audit informatique en support aux missions du commissariat aux comptes :
appel aussi revue des Contrles Gnraux Informatiques (CGI), qui permet
dacqurir une conviction raisonnable quant au fait que les objectifs globaux des
contrles mis en place par lentreprise au niveau du Systme dInformation sont
atteints.
Conseil et Audit en systmes dinformations : Ces missions, appeles missions
spciales , consistent en une optimisation de chaque tape du pilotage du systme
d'information, depuis laudit des systmes existants et llaboration dune stratgie
jusqu la mise en uvre russie des projets.
Ainsi, dans le cadre des missions Conseil et Audit des Systmes dInformation ,
Deloitte MAROC, souhaite largir ses services daudit et de conseil SI en mettant en place
une dmarche personnalise -adapte au march marocain- de gestion des risques IT.

1.3.2. Problmatique
Les missions d'audit ou de conseil de gestion des risques IT couvrent plusieurs domaines
en relation directe avec le systme d'information et mettant en jeu des facteurs humains,
organisationnels, techniques, physiques et environnementaux. Ceci a men au dveloppement
de dmarches et de rfrentiels clairs et exhaustifs pour couvrir tous les processus du
management des risques IT : Risk IT, MEHARI, EBIOS, CRAMM, ...
Cependant, malgr lexistence dune panoplie de mthodes, elles savrent parfois trop
compliques mettre en pratique, mal adaptes la ralit et aux contextes des entreprises
marocaines ou ne couvrant pas la totalit des volets SI.
Dune autre part, les mthodes existantes de gestion des risques ne rpondent aux besoins
spcifiques des entreprises en termes de rglementations qui lui sont imposes. Par exemple :

15

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Ble II pour les banques ou Solvency II pour les assurances (la dfinition de ses deux normes
est prsente en ANNEXE).
En vue de remdier ces difficults, nous avons dcid de mettre en uvre une dmarche
dvaluation des risques IT propres DELOITTE, qui pourra tre adapte par rapport la
nature de lactivit de lentreprise, modulable en fonction du besoin du client et trs pratique
dans sa mise en uvre.

1.3.3. Objectifs du projet


Les objectifs de ce projet de fin dtude est de mettre en uvre une offre de service
complte risque IT pour le management des risques informatiques. Cette dmarche
personnalise, propre au bureau de Casablanca, aura comme objectifs :
Llaboration dune offre de services adapts par domaines dactivits (Banque,
Assurance et Industrie).
La dmarche pourra tre dcompose en modules indpendant, rpondant au mieux
aux besoins pointus des clients et la taille de la structure.
Laudit et lvaluation des risques informatiques lis aux SI.
La mise en place dune base de connaissance des risques informatiques qui pourra tre
largie aprs chaque mission
Rpondre aux spcificits des domaines bancaires et dassurance rgis par les
rglementations Ble II et Solvency II
Assurer la continuit des activits
La mise en place dun systme de prvention des risques IT et dune cartographie
gnrale des risques informatiques
Cette dmarche devrait apprhender tant les enjeux mtiers que les spcificits du
management des risques informatiques. Une approche mthodologique, base sur des
rfrentiels de bonnes pratiques doit tre adopte pour faire face ces enjeux.

1.3.4. Dfinition du projet :


1.3.4.1.

Primtre du projet

La dmarche vise couvrir lensemble des risques informatiques qui peuvent mettre le
systme dinformation en danger. La mthode devra couvrir les domaines informatiques
suivants :

16

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

La scurit informatique
Lexploitation informatique
La planification et la stratgie informatique
Les ressources humaines
La relation avec les prestataires et les tiers externes
Lacquisition des applications
Le dveloppement et la maintenance des applications
La gestion du matriel
La continuit des services informatiques
Linfrastructure rseaux
La gestion des locaux informatiques

1.3.4.2.

Conduite du projet

Pour assurer le bon droulement du stage, le projet a t dcoup en trois phases


classiques, suivant la charte Deloitte de gestion des projets, au terme desquelles des points de
contrles sont dfinis. Chaque tape fait l'objet d'un livrable et d'une validation avec le
manager. Cela permet de matriser la conformit des livrables aux besoins spcifis et de
s'assurer de la ralisation des objectifs fixs. Ainsi, le projet a t dcoup suivant trois
phases :
Phase du cadrage : Cette phase permet de prendre conscience du projet, cadrer et
dfinir les diffrentes tapes du projet.
Phase de la ralisation : Il s'agit du dveloppement et de la ralisation de la
dmarche.
Phase de la validation : il s'agit de lindustrialisation et la mise en production de la
mthode, c'est- dire s'assurer quelle est conforme aux attentes des utilisateurs.

17

Projet de Fin dEtudes

1.3.4.2.1.

Dpartement Informatique

2011 - 2012

Etapes du projet :

La figure suivante (figure 1.3) dcrit les tapes de conduite du projet de fin dtude :

Figure 1.3 : Phases du projet

1.3.4.2.2.

Planning du projet :

La figure suivante (figure 1.4) reprsente le diagramme de Gantt, ralis laide de loutil
Microsoft Project 2007, correspondant au planning de ce projet :

Figure 1.4 : Planning du projet

18

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Les dtails sont prsents dans le tableau ci-dessous (tableau 1.1) qui dcrit chaque
tche prsente prcdemment dans le diagramme de GANTT :
Tche
Mission daudit

Description
Cest lintervention tout au long du stage, dans
des missions daudit des systmes dinformations
Prise de connaissance du projet
Cette tape consiste la prise de connaissance du
projet
Dfinition des besoins
La dfinition des besoins consiste cerner les
besoins de Deloitte Maroc pour la mise en place
de la dmarche
Etude Benchmark
Ltude Benchmark est ltude des diffrentes
mthodes existantes sur le march pour tirer les
bonnes pratiques du management des risques SI
Conception de la dmarche
Cest la dfinition des processus gnraux de la
dmarche, avec la liste des livrables et les
spcificits de chaque tape de la dmarche
Ralisation des modles des livrables de Cette tape consiste standardiser les modles
la dmarche
des livrables de la dmarche
Elaboration dune base de connaissance Cette phase du projet, consiste la mise en place
des risques IT
dune base de connaissance contenant la majorit
des risques SI (cette base sera alimente fur et
mesure du droulement des missions)
Application un cas pratique et Cette tape consiste mettre en pratique la
validation
dmarche dans une mission de conseil SI
Tableau 1.1 : Description des tapes du projet
En effet, ce planning a t adapt au fur et mesure du projet, et de lgres modifications lui
ont t apportes, selon la connaissance relle de chaque tape.

1.4. Conclusion
Dans ce chapitre, nous avons prsent le cadre global du projet, relev la problmatique
du sujet et identifi les objectifs de la mise en place de la dmarche. Le chapitre suivant sera
consacr la prsentation des rsultats de ltude benchmark qui a t ralise sur la base des
mthodes et rfrentiels les plus importants de management des risques IT existants sur le
march.

19

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

2. Deuxime chapitre : Etude Benchmark


Le prsent chapitre prsente ltude pralable contenant les lments qui nous ont guids
dans la mise en place de notre approche, et qui permettront dadopter une dmarche
professionnelle et conforme aux bonnes pratiques du management des risques. En effet, la
dmarche a t labore en se basant en premier lieu, sur la dmarche daudit suivi par
DELOITTE dans les missions de contrles gnraux informatiques, et en deuxime lieu sur la
synthse de ltude benchmark des diffrentes mthodes et rfrentiels existants sur le
march.

2.1. Prsentation des Missions de Contrles Gnraux Informatiques


2.1.1. Prsentation des missions
Les missions de Contrles Gnraux Informatiques, (ou laudit des systmes
dinformation en support aux commissaires aux comptes) ont pour objectif la revue des
procdures et systmes afin de sassurer que les activits de contrles lies aux systmes
dinformation scurisent de manire raisonnable les flux dalimentation de la comptabilit
gnrale et que les contrles internes mis en place sont efficaces.

2.1.2. Description du droulement des missions


Les missions de contrles gnraux informatiques ou daudit des SI se droulent
principalement chez les clients. En effet,

suite des entretiens avec les responsables

informatiques, les auditeurs prennent connaissance de lentreprise audite et de ses systmes


informatiques qui impactent les flux comptables. Ensuite, lquipe daudit SI procde
lanalyse de la documentation, la ralisation de tests sur la base dchantillons reprsentatifs
et la visite des locaux. Finalement, aprs une sance de validation avec les responsables
concerns, un rapport de synthse sous forme dune lettre de recommandation , contenant
les observations, la conclusion de lefficacit du fonctionnement des activits de contrle et
les points damliorations que pourra adopte lentreprise dans le futur, est livre au client.

20

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

2.1.3. Apport des missions daudit la dmarche de gestion des


risques IT
La participation, tout au long du stage, des missions sur le terrain pour a constitu
une initiation aux bonnes pratiques de laudit informatique, et a permis la familiarisation avec
le jargon de ce domaine. Parmi les travaux raliss au cours de ces missions, on cite :
Droulement du questionnaire daudit.
Participation des entretiens avec les responsables informatiques
Rdaction dune premire version du rapport final de synthse, base sur les entretiens
avec les responsables concerns et sur lanalyse de la documentation internes de
lentreprise.
Rdaction des papiers de travail
Lecture et analyse des procdures informatiques, des politiques de scurit, des plan
de secours informatiques et des plan de continuit de services.
Audit de la qualit et de la fiabilit des processus mtiers
Audit de la fiabilit des dversements des flux comptables
Audit de la mthodologie de gestion des projets
Extraction des processus mtiers et SI et des contrles lis ces processus
Participation la rdaction des offres de services
Ralisation dune premire version de lArt Pack* des flux comptable des clients
*Art Pack : Mthodologie interne propre Deloitte qui dcrit le dnouement dun processus.

2.2. Analyse des mthodes existantes : tude Benchmark


En plus de se baser sur la mthodologie DELOITTE daudit, une tude Benchmark a t
ralise par rapport aux mthodes existantes sur le march pour affiner notre dmarche et
sinspirer des bonnes pratiques du management des risques. Le schma suivant (figure 2.1)
dcrit le processus suivi pour mener bien cette tude, qui constitue une phase pralable la
conception de la mthode personnalise.

21

Projet de Fin dEtudes

Cadrage de
l'tude

2011 - 2012

Dpartement Informatique

Docummentation

Choix des
mthodes

Alanyse
approfondie

Synthse

Figure 2.1 : Dmarche de ltude Benchmark

2.2.1. Cadrage de ltude


Ltude benchmark consiste sinspirer des meilleurs pratiques en matire du
management des risques pour affiner la dmarche. Pour ce faire, nous allons tudier les
principales mthodes et rfrentiels dvaluation de risques qui existent sur le march pour
tirer une synthse gnrale des points qui pourront impacter notre dmarche.

2.2.2. Documentation
Vu le grand nombre des mthodes traitant les risques, cette phase est la plus
importante en termes de dure. En effet, il existe plus de 200 mthodes de gestion des risques,
publies ou internes aux socits, confidentielles ou non. Lobjectif de cette tape est de faire
un tour dhorizon des diffrentes mthodes de gestion des risques et davoir une premire ide
sur la structure de ces dmarches et leur domaine dapplication.

2.2.3. Choix des mthodes


La diversit et la multiplicit des normes et mthodes reprsentent souvent une source
de difficult et consomme beaucoup de temps. Par consquent, pour optimiser ltude, il est
essentiel de limiter le champ de recherche et de se focaliser sur quelques mthodes tudier
selon des critres bien prcis :
Origine de la mthode
Tmoignages des clients et retour dexprience
Anciennet de la mthode
Langues : disponibilit de la mthode dans la langue franaise ou anglaise
Qualit et disponibilit de la documentation
Popularit : Les mthodes trs connues offrent un rservoir de personnel
qualifi pour leur mise en uvre.
Flexibilit et modularit
Efficacit sur le march
22

Projet de Fin dEtudes

2011 - 2012

Dpartement Informatique

Aprs une premire recherche, le choix sest finalement port sur :


3 mthodes de gestion des risques : CRAMM, EBIOS, MEHARI
3 Rfrentiels de bonnes pratiques : COSO ERM, ISO 27005, Risk IT
Cest surtout lefficacit et la popularit de ces approches qui sont entres en ligne de compte
pour effectuer ce choix.

2.2.4. Analyse approfondie


Dans cette partie, nous allons dtailler ltude effectue et prsenter les six approches
slectionnes :
2.2.4.1. CRAMM : CCTA Risk Analysis and Management Method
(rf: http://cyberzoide.developpez.com/methodes-analyserisques)
Cramm est une mthode labore par Siemens en Angleterre et est soutenue par le
gouvernement. Cette approche exhaustive est assez lourde, rserve essentiellement aux
grandes entreprises puisqu'elle se base sur une base de connaissance denviron trois milles
points de contrle.
En plus de la base de connaissance, des logiciels sont fournis avec la mthode des
fins de simulation, de reporting et de suivi des contrles. La figure ci-dessous (figure 2.2)
prsente une vue gnrale de la mthode :

Figure 2.2 : Architecture gnrale de la mthode CRAMM


En effet, cette mthode est compose de trois phases :
1. Ltude de l'existant : permet de dresser linventaire des quipements, la

cartographie applicative, et lensemble des

donnes qui constituent le

patrimoine informatique sur laquelle repose le systme dinformation de


23

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

l'entreprise. Chacun de ces lments est valu en termes de gravit dimpact


et de cot en cas darrt (indisponibilit, altration, destruction...).
2. Lvaluation des menaces et des vulnrabilits consiste mettre le point sur

les diffrentes failles dans le systme dinformation qui peuvent reprsenter de


rels risques.
3. Mise en place des rponses aux risques consiste slectionner parmi une

base de trois milles contre-mesures possibles les rponses aux risques mettre
en place.

2.2.4.2.

EBIOS : Expression des Besoins et Identification des Objectifs de

Scurit (rf:http://cyberzoide.developpez.com/methodesanalyserisques)
EBIOS est une mthode qui permet d'identifier les risques d'un systme dinformation
et de proposer une politique de scurit adapte aux besoins de l'entreprise ou d'une
administration. Elle a t cre par la DCSSI (Direction Centrale de la Scurit des Systmes
d'Information) du Ministre de la Dfense (France).
La mthode EBIOS se compose de plusieurs guides (Introduction, Dmarche,
Techniques, Outillages) et d'un logiciel permettant de simplifier l'application de la
mthodologie explicite dans ces guides. La figure ci-dessous (figure 2.3) prsente une
larchitecture gnrale de la mthode EBIOS :

Figure 2.3 : Dmarche gnrale de la mthode EBIOS


En effet, cette mthode est compose de cinq phases :
1. L'tude du contexte : permet davoir une vue globale sur le systme dinformation

cible. Cette tape dlimite le primtre de l'tude, le dtail des quipements, des
logiciels et de l'organisation humaine de l'entreprise.

24

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

2. L'expression des besoins : permet d'estimer les risques et de dfinir les critres de

ltude des risques.


3. L'tude des menaces : permet d'identifier les risques en fonction non plus des besoins

des utilisateurs mais en fonction de l'architecture technique du SI.


4. L'identification des objectifs : confronte les besoins de scurit exprims et les

menaces identifies afin de mettre en vidence les risques contre lesquels le systme
dinformation doit tre protg.
5. La dtermination des exigences de scurit : dtermine le niveau de scurit exig.

2.2.4.3. MEHARI : Mthode Harmonise d'Analyse de Risques (rf:


http://cyberzoide.developpez.com/methodes-analyserisques)
MEHARI a t dveloppe par le CLUSIF depuis 1995, elle est drive des mthodes
Melisa et Marion. Elle est utilise par de nombreuses entreprises publiques ainsi que par le
secteur priv. La dmarche gnrale de Mehari consiste en l'analyse des enjeux de risques et
en la classification pralable des entits du SI en fonction de trois critres de scurit de base
(confidentialit, intgrit, disponibilit). Ces enjeux expriment les dysfonctionnements ayant
un impact direct sur l'activit de l'entreprise. Puis, des audits identifient les vulnrabilits du
SI. La figure suivante (figure 2.4) prsente une vue globale de larchitecture de la mthode :

Figure 2.4 : Dmarche gnrale de la mthode MEHARI


25

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Mehari s'articule autour de 3 types de livrables :


1. Le Plan Stratgique de Scurit : fixe les objectifs de scurit ainsi que les

mtriques permettant de les mesurer.


2. Les Plans Oprationnels de Scurit : dfinissent pour chaque site les mesures

de scurit qui doivent tre mises en uvre.


3. Le Plan Oprationnel d'Entreprise : assure le suivi de la scurit par

l'laboration d'indicateurs sur les risques identifis et le choix des scnarios de


catastrophe contre lesquels il faut se prmunir.

2.2.4.4.

COSO- ERM : Committee Of Sponsoring Organizations of the

Treadway Commission Entreprise risque management


(rf : www.coso.org)
Le COSO est un rfrentiel de contrle interne qui propose un cadre de rfrence pour
la gestion des risques de lentreprise. En effet ce rfrentiel consiste :

identifier les menaces potentielles pouvant affecter lorganisation

matriser les risques afin quils soient dans les limites du niveau de risque permis

fournir une assurance raisonnable quant la ralisation des objectifs de


lorganisation.

En effet, ce cadre de rfrence vise aider lentreprise atteindre ces objectifs rpartie sur
quatre catgories:

Objectifs stratgiques

Objectifs oprationnels

Objectifs de reporting

Objectifs de conformit aux lois et aux rglementations en vigueur

La figure 2.5 prsente le cube de base liant les objectifs que veut attendre une entreprise avec
le dispositif du management du risque selon COSO :

26

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Figure 2.4 : Cube COSO


Cette reprsentation illustre une vue globale du management des risques dans sa globalit ou
par domaines dobjectifs
2.2.4.5.

ISO 27005 (rf : www.wikipedia.org)

La norme ISO 27005 est un standard publi en Octobre 2008. Elle explique en dtail
comment conduire l'apprciation des risques et le traitement des risques, dans le cadre de la
scurit de l'information. La norme ISO 27005 propose une mthodologie de gestion des
risques en matire d'information dans l'entreprise conforme la norme ISO/CEI 27001. La
norme ISO 27005 applique la gestion de risques le cycle d'amlioration continue PDCA
(Plan, Do, Check, Act) utilis dans toutes les normes de systmes de management :
1. Phase Plan : Identification des risques, valuation des risques et dfinition des
actions de rduction des risques
2. Phase Do : lentreprise ralise ce quelle a planifi dans ce domaine
3. Phase Check : lentreprise vrifie quil nexiste pas dcart entre ce quelle a dit et
ce quelle a fait
4. Phase Act : Modification du traitement des risques selon les rsultats

La figure suivante (figure 2.6) dcrit larchitecture globale des processus de la norme ISO
27005 :
27

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Figure 2.6 : Processus gnraux de la norme ISO 27005


2.2.4.6.

Risk IT (rf : www.afai.fr)

RISK IT est le rfrentiel de management du systme dinformation et des


technologies par les risques. Cest un guide de principes directeurs et de bonnes pratiques. Il
aide les entreprises mettre en place une gouvernance informatique orient risque, identifier
et grer efficacement les risques informatiques. Il a t ralis par une centaine dexperts
internationaux de lISACA et adapt en langue franaise par lAFAI, chapitre franais de
lISACA, en coopration troite avec dautres chapitres francophones. Ainsi, RISK IT
participe la mise en place et lamlioration de la gouvernance de linformatique, ce
dautant mieux quil est interfac avec COBIT et Val IT. RISK IT comprend deux documents,
le Rfrentiel RISK IT et le Guide Utilisateur RISK IT :
Le Rfrentiel RISK IT prsente de faon dtaille le modle de management
par les risques informatiques reposant sur 3 domaines, 9 processus et 47
bonnes pratiques
Le Guide utilisateur RISK IT aide mettre en place le modle. Complment
indispensable de RISK IT, il en dtaille les concepts. Il fournit de nombreux
conseils, exemples et outils daide au management par les risques
informatiques. On y trouve notamment, au titre de lvaluation des risques, une
cartographie sappuyant sur 36 scnarios de risque informatique.

28

Projet de Fin dEtudes

2011 - 2012

Dpartement Informatique

La figure 2.7 dtaille les domaines gnraux du rfrentiel RISK IT :

Figure 2.7 : Domaines du rfrentiel Risk IT

2.2.5. Synthse (rf : www.dvellopez.com/mthodeanalysesrisque)


En rsultat cette tude benchmark, nous allons rcapituler avec des tableaux
synthtiques et comparatifs des mthodes tudies. Ensuite, nous exposerons la synthse
proprement dite de cette tude, avant de sortir avec des constats quant aux points importants
exploiter pour llaboration de la dmarche.
2.2.5.1.

Tableaux de synthse

Le tableau ci-dessous (tableau 2.1) prsente une synthse des principales


caractristiques de mthodes danalyse de risques :
CRAMM

EBIOS

MEHARI

Auteur

Siemens

DCSSI

CLUSIF

Pays

Angleterre

France

France

Cration

1986

1995

1995

Popularit

**

***

***

29

Projet de Fin dEtudes

2011 - 2012

Dpartement Informatique

Soutenue par

Gouvernement

Gouvernement

Association

Outils disponibles

CRAMM

EBIOS

RISICARE

Assistance et
support

Guides ; bases de
connaissances

Guides; Bases de
connaissances;

Guides ; bases de
connaissances ;
Moteurs dvaluation
quantitative

Adaptabilits aux
contextes

Grandes entreprises

Administrations &
Grands comptes

Administrations &
Grands comptes
PME / PMI

Tableau 2.1 : Synthse des principales caractristiques de mthodes de gestion des


risques
Le tableau suivant (tableau 2.2) prsente un comparatif des points forts et faibles des trois
mthodes slectionnes danalyse des risques
Points forts
CRAMM

EBIOS

Mehari

Points faibles

- Mthode exhaustive
- Grande base de connaissance
- Approche structure
- Fournit une liste complte des
risques et des contrles mettre
en place

- Trs lourde appliquer


- Adapter seulement aux
grandes entreprises
- Non modulable
- Logiciel payant
- Existe seulement en langue
anglaise
- Peut sappliquer quelle que soit - Ne fournit pas de
la taille du SI tudi
recommandations scuritaires
- Approche modulaire,
-Pas de mthode
exhaustive et simple
daudit/dvaluation
-Compatible avec les normes
internationales
- Approche modulaire
- Ne correspond pas aux
- Permet une analyse directe et
TPE/PME nayant aucune
individualise des situations de
culture de scurit
risques
informatique
- Fournit une gamme complte
- Ne fournit pas danalyse
doutils adapts la gestion de la permettant la conformit
scurit
technique
- Compatible avec les normes
- Logiciel payant
ISO 2700x

Tableau 2.2 : Comparatif des mthodes de gestion des risques


En deuxime lieu, on se propose de prsenter ci-dessous un tableau rcapitulatif (tableau 2.3)
dcrivant les trois rfrentiels de gestion des risques choisis :

30

Projet de Fin dEtudes

Auteur

2011 - 2012

Dpartement Informatique

COSO ERM

ISO 27005

RISK IT

COSO

ISO

ISACA

2008

Cration
Popularit

***

***

***

Type

Rfrentiel

Norme

Rfrentiel

Description

rfrentiel de contrle

Norme cr pour

Rfrentiel qui

interne qui propose un

encadrer le

concerne

cadre de rfrence pour

dveloppement et la

Le management des

Vision risque

la gestion des risques de mise en place dun

risques en

lentreprise liant les

Systme de

gnral. Il dcompose

diffrents objectifs de

management des

tout SI en 9 processus

lorganisme aux

risques dans le cadre de

rpartis en 3 domaines

lment du dispositif de

la scurit des

interconnects les uns

management des

Systmes

aux autres.

risques

dinformations

Le risque est trait dans

Trait tout au long du

Le risque est trait

un cadre global de la

rfrentiel

dans une vision de la

mise en place dun

gouvernance COBIT

dispositif de

en tenant compte des

management des

objectifs mtiers /

risques

affaires

Tableau 2.3 : Description des principales caractristiques des rfrentiels tudis


2.2.5.2.

Synthse

La conclusion quon peut tirer de cette tude, est que les mthodes et rfrentiels
tudis fournissent plusieurs techniques et outils pour atteindre le mme objectif : celui de
mettre en place un dispositif de protection contre les risques en dfinissant un certain nombre
de contrles et en sappuyant sur une approche de management des risques. Toutefois, le
niveau de dtail et de couverture de ces approches est trs vari, ce qui fait merger deux
dimensions : tendue et granularit. En effet, certaines mthodes telles que Risk IT ou COSO
sont trs tendues et traitent les diffrentes facettes de linformatique, mais elles noffrent pas

31

Projet de Fin dEtudes

2011 - 2012

Dpartement Informatique

le mme niveau de prcision que la mthode MEHARI, elles se contentent de fournir les
lignes directrices dans une vision de gouvernance.
Dautre part, on remarque quil existe une diffrence conceptuelle et un manque
dinteroprabilit entre les mthodes danalyses de risque tudies : MEHARI, EBIOS et
CRAMM utilisent des termes diffrents pour dsigner le mme concept, et ont recours des
outils varis.

2.2.5.3.

Points exploiter

A lissue de ltude benchmark, et sinspirant fortement des missions de contrles


gnraux informatiques, nous avons pu dfinir les caractristiques requises pour la nouvelle
dmarche daudit scurit. Ainsi, cette dernire devra tre :
Modulaire : Compte tenu de la diversit des secteurs dactivit des clients du
cabinet, la mthode doit tre adapte la complexit du SI en question. En
dautres termes, elle devra tre compose de modules dcomposables et
indpendants les uns des autres, qui offrent la possibilit dtre utiliss en
intgralit ou sparment.
But : Rpondre au problme de rigidit et de la non adaptabilit aux
contextes.
Adapt aux spcificits des activits des clients : Il est ncessaire de prvoir
une analyse des risques mettant en avant lactivit de lentreprise en se
conformant aux diffrentes rglementations (Ble II pour les banques et
Solvency II pour les assurances)
Une dmarche cyclique : La dpendance des activits de lentreprise vis--vis
des NTIC nous dicte une dmarche rigoureuse de gestion des risques. De ce
fait, nous sommes dans lobligation de concevoir une solution cyclique dans le
cadre dune vision damliorations continue.
Une vision globale : Pour une efficacit et pertinence de la solution propose,
tous

les

aspects

relatifs

lenvironnement

technique,

humain,

et

organisationnel de lentreprise doivent tre pris en compte dans une approche


cohrente et homogne.

32

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Oriente mtier : Enfin, lapproche propose doit apprhender les enjeux


mtiers et doit tre oriente business , cela permet aussi bien de rpondre
des besoins directs des fonctions mtiers quimpliquer le top management.

2.3. Conclusion
Ce chapitre a donn un aperu sur les normes et bonnes pratiques les plus connues en
management des risques informatiques. A la fin de cette partie, une synthse concernant cette
enqute a t tablie. Dans le chapitre suivant, nous allons prsenter notre dmarche
personnalise, labore partir des mthodes tudies lors du benchmarking, et de
lexprience des missions de contrles gnraux informatiques.

33

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

3. Troisime chapitre : Elaboration de la dmarche


personnalise de la gestion des risques IT
Ce chapitre a pour objectif de prsenter la nouvelle dmarche de gestion des risques IT et
les principaux processus qui la constituent, nous dcrirons particulirement les tapes de la
dmarche personnalise, construite bloc par bloc partir de composants et de principes des
mthodes tudies dans le chapitre prcdent, et conforme aux normes de Deloitte. La
dmarche est destine tre mise en place au sein du cabinet pour mener les missions daudit
et de conseil des risques SI.

3.1. Description gnrale de la dmarche


3.1.1. Justification de la proposition
Afin dassurer une bonne continuit de ses services, lentreprise se trouve dans la
ncessit de mettre en place un vritable dispositif de management des risques, faute de quoi,
tout effort envisag en matire de rduction des risques demeurera vain. Dans ce cadre, nous
avons jug judicieux de proposer un service complet daccompagnement aux entreprises dans
leur dmarche de gestion des risques informatiques, qui ira au-del dun simple audit : elle
proposera une assistance limplmentation des rponses aux risques au sein de lentreprise,
et lui permettra dassurer la continuit de ses services travers lintgration de la culture du
risque dans le Plan de Continuit dactivit (PCA), le Plan de Reprise dactivit (PRA), le
plan de secours informatique et la Politique de scurit des Systmes dinformation (PSSI).

3.1.2. Description gnrale de la mthode


Dans ce qui suit nous allons prsenter les tapes de la dmarche de gestion des risques IT
labore. En annexe, nous retrouverons des extraits des outils que nous avons conus pour
drouler la mthode de bout en bout. La mthodologie que nous proposons prend en compte
les critres cits lors de la synthse du chapitre prcdent, et rpond aux objectifs qui lui ont
t assigns, savoir :
La flexibilit dans dutilisation
Ladaptabilit aux diffrents contextes et secteurs (banques, assurance et industrie)
La modularit
Ladaptation aux besoins du client
La prise en compte des rglementations spcifiques (Ble II, Solvency II)
34

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

prise en compte du volet mtier


La figure ci-dessous (figure 3.1) dfinit larchitecture gnrale des processus de la dmarche :

Figure 3.1 : Processus gnraux de la dmarche personnalise

3.2. Description dtaille de la dmarche


Dans cette partie, on se propose de dtailler chaque processus de la dmarche en prcisant
la dfinition, les objectifs ainsi que la liste des livrables pour chaque processus.

3.2.1. La Proposition
3.2.1.1.

Dfinition du processus:

Ltape de la proposition, ou lmission de loffre de service, est une tape classique dans
le domaine du conseil ou de laudit en gnrale. En effet, la proposition est un document qui

35

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

constitue une rponse formelle un appel doffre mis par une socit pour la mise en place
dune analyse des risques des systmes dinformations.

Ainsi, les cabinets sont dans

lobligation dtablir une proposition formalise qui va rsumer loffre technique et


financire. Ce document de rfrence servira dappui pour valoriser le cabinet et ses
prestations, et justifier son choix par les clients.
3.2.1.2. Objectif du processus :
Cette premire phase vise llaboration du document de la proposition, qui est la fois :

Une demande de ngociation : La proposition sert convaincre le client de


limportance de la mise en place dune analyse des risques IT et de justifier le
choix de la dmarche.

Un support de rflexion : La proposition permet de mettre en vidence la


problmatique de lintervention. Elle est aussi un moyen pour montrer la valeur
ajoute de notre dmarche de gestion des risques informatiques et du cabinet.

Un support de communication : La proposition doit aussi faciliter la


communication et la propagation de linformation avec les diffrentes parties
prenantes lintervention du ct de lentreprise et de donner plus de dtails sur
les prestations du cabinet lors de la mission, ainsi que sur la contribution de chaque
partie.

Une assurance de la qualit de lintervention : La proposition contribue


assurer la qualit des interventions qui en dcoulera. Elle constitue un champ
dentente entre le client et le cabinet sur les objectifs de lintervention, le mode
opratoire et les rsultats atteindre.

Un outil de promotion du consultant : La proposition doit mettre en valeur les


comptences de lquipe intervenante, loriginalit de la dmarche ainsi que la
qualit de lintervention que le client peut esprer.

Base de lengagement contractuel : cest les bases contractuelles qui pourront


tre tablies avec le client, savoir les dlais de lintervention et les rgles
respecter (rgles de confidentialits, de comportement au sein de lentreprise, ..)

Proposition financire : La proposition dcrit aussi la proposition financire et le


budget total de lintervention. Le budget est souvent calcul en jour /homme

36

Projet de Fin dEtudes

3.2.1.3.

2011 - 2012

Dpartement Informatique

Contenu de la proposition :

La proposition est un document de rponse lappel doffre du client. En effet, le cabinet


devra mettre en vidence de faon explicite 8 points essentiels dans sa proposition pour
convaincre

le

client,

comme

il

est

dmontr

dans

la

figure

3.2 :

Figure 3.2 : Points cls de la proposition


3.2.1.4. Livrable de la phase
A la fin de cette phase, on devra prsenter une proposition de service du cabinet
rcapitulant les huit points cits prcdemment.
Pour faciliter la tches aux consultants / auditeurs du cabinet, on a essay de standardiser la
proposition de service au maximum. Ainsi, on a labor trois modles standards de
proposition de service adaptable selon la nature de lactivit du client :
Proposition de service gnrale
Proposition de service oriente vers le secteur bancaire
Proposition de service orient vers le secteur des assurances
Le tableau ci-dessous (tableau 3.1) rsume la phase de la proposition, liste les livrables et les
outils spcifiques chaque tape :
La proposition
Domaines
Proposition de service
gnrale

Livrables

Outils
Offre de service

37

Offre de service
gnrale.pptx

Projet de Fin dEtudes

Proposition de service
(secteur bancaire)
Proposition de service
(secteur des
assurances)

2011 - 2012

Dpartement Informatique

Offre de service

Offre de service

Offre de service
Banque.pptx

Offre de service
Assurance.pptx

Tableau 3.1 : Synoptique de la phase de la proposition

3.2.2. Phase de cadrage de la mission


3.2.2.1.

Dfinition de la phase de cadrage

Aprs lobtention du march, on se retrouve dans la phase de cadrage. Cette tape permet
de cadrer la mission et de redfinir exactement les grandes lignes de lintervention et de la
dmarche en cohrence avec ce qui a t spcifi dans la proposition. En effet, cette phase
permet la dfinition, avec plus de dtail, du primtre sur lequel sera mene l'analyse des
risques (matriels, logiciels, quipes de support, donnes, interfaces, processus, criticit des
systmes, contraintes mtiers).
Cest une tape amont qui permet de prparer les entretiens avec le client et dassurer que
lintervention se droule dans de bonnes conditions. Elle constitue un rappel des points cls
quil faudra aborder pour mener lintervention.
3.2.2.2.

Objectif de la phase de cadrage

Lobjectif de ce processus est la dfinition de manire formelle et organise, des tapes de


lintervention. Ce processus a pour but de mettre en vidence :
Le champ de lintervention
Les objectifs gnraux de la mission
Donner plus de dtails au client par rapport la dmarche
Dfinir les interlocuteurs
Dfinir le planning dtaill de la mission
3.2.2.3.

Description dtaille de la phase de cadrage

La phase de cadrage est dcompose en trois tapes :


La runion de lancement de la mission
La dfinition du primtre et prise de connaissance du SI cible
La dfinition du plan de lintervention

38

Projet de Fin dEtudes


3.2.2.3.1.

Dpartement Informatique

2011 - 2012

La runion de lancement de la mission :

La runion de lancement est une tape cl indispensable pour le bon commencement


de la mission. Elle permet de :
Dtailler les objectifs gnraux de lintervention
Rpondre aux questions du client
Dfinir en dtail les attentes du client
Dtailler les grandes lignes de lintervention et de la dmarche
Identifier lentit responsable de la mission
Identifier les proccupations ou les secteurs sur lesquels le client souhaiterait
mettre plus le point
Identifier les interlocuteurs interviewer et qui peuvent rpondre aux questions
dtailles concernant les oprations quils effectuent
Etablir un calendrier dintervention de lquipe (planning)
Mettre le point sur la communication durant la mission et sur les livrables.
A lissue de cette premire runion, on devra disposer dun document contenant la
synthse des objectifs, le planning et la charge prvisionnelle, les modalits de suivi de la
mission ainsi que les actions futures. On devra aussi rdiger un PV de runion afin
dassurer la traabilit des phases de la mission.
3.2.2.3.2. La prise de connaissance du SI cible
Avant dentamer la planification dtaille, il est essentiel que lquipe
dintervention acquire une vue globale du SI du client. Cette tape permet didentifier le
primtre dintervention et de mettre le point sur les diffrentes composantes du SI cible.
Cette tape pourra se faire grce des entrevues avec les responsables ou la consultation
des documents prliminaires (rapport daudit, procdures informatiques, cartographie
applicative, cartographie de linfrastructure rseau, ..). Ainsi, pour donner plus de dtails,
cette tape consiste identifier les processus clefs et leurs composants, cest--dire :
Dfinir les domaines dactivits de lentreprise
Dfinir les processus majeurs de lentreprise, cest - dire les processus qui
contribuent majoritairement aux objectifs fixs par la direction et qui sont
critiques pour notre analyse des risques.
Fournir une description formalise du SI cible
Reprsenter les dversements et les interactions entre les systmes
Offrir une vie globale et synthtique du SI
39

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

A lissue de cette phase, une cartographie descriptive des processus cls du SI est mise en
uvre, laide dune fiche descriptive des processus, ainsi quune modlisation formalise du
SI suivant une dcomposition propre notre dmarche en 4 sous-domaines : Organisation,
ressources humaines, infrastructure matriel et logiciels. Comme langage de modlisation,
nous avons choisi UML, quil est un langage universellement reconnu, polyvalent, performant
et qui facilite la comprhension de reprsentations abstraites complexes.
Aprs lidentification de processus clefs, on se propose ensuite de dfinir le plan
dintervention, cest--dire lidentification des processus et volets SI qui seront soumis une
analyse des risques informatiques.

3.2.2.3.3.

Dfinition du Plan dintervention :

Aprs avoir pris connaissance de lenvironnement de lentreprise et du systme


dinformation cible, on devra dfinir un plan dintervention dcrivant la faon dont
lintervention sera structure et excute dans le cadre du management des risques IT.
Le plan dintervention de notre dmarche comprend les lments suivant :
Mthodologie : cest la dfinition des approches, outils, documents et sources de
donnes pouvant tre utiliss pour raliser la mission.
Interlocuteurs : cest la liste des interlocuteurs.
Calendrier : cest le planning et la dure estime de lintervention.
Primtre : cest le primtre sur lequel sera mene lintervention, savoir les
domaines de risques, les processus mtier concerns,

3.2.2.4.

Livrable de la phase de cadrage

A la fin de cette phase, on devra livrer les documents suivants :


Compte rendu de runion de lancement
Support de la runion : au cas o il yaurait des documents comme support.
Fiche des processus
Plan dintervention (note de cadrage)
Le tableau suivant (tableau 3.2) synthtise les tapes de la phase de cadrage, liste les livrables
et les outils spcifiques chaque tape :

40

Projet de Fin dEtudes

2011 - 2012

Dpartement Informatique
Phase de cadrage

Etapes

Livrables

Outils

Runion de
lancement
Synthse des
objectifs de la
mission

Description du SI
cible

Planning de la
mission

Compte rendu
runion.doc

Cartographie
des processus
et des
applications

- Dfinition des processus clefs

Modlisation
du SI cible

- Diagrammes de modlisation du
SI cible (diagrammes UML)

Fiche de
description de
chaque
processus

Dfinition du
plan
dintervention

fiche processus.pptx

Plan dintervention
Plan
d'intervention.ppt

Tableau 3.2 : Synoptique de la phase de cadrage

3.2.3. Identification des risques


Lidentification des risques vise rpertorier de la manire la plus exhaustive possible,
tous les vnements gnrateurs de risques lis au systme dinformation et documenter
leurs caractristiques et catgories selon leurs types. La figure 3.3 prsente les diffrentes
phases de cette partie :

Recueil
d'information

Analyse des
menaces

Analyse des
vulnrabilits

Analyse des
contrles

Figure 3.3 : Phases de lidentification des risques

41

Liste des
risques

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Dans ce qui suit, on se propose de dtailler chaque tape cite prcdemment.


3.2.3.1.

Recueil dinformation :

Pour bien entamer lintervention de lanalyse des risques chez le client, le consultant
devra procder un recueil dinformation laide doutils didentification des risques utiliss
de faon complmentaire, savoir :
Laudit documentaire
Les entretiens
Les visites de sites
Les questionnaires.

3.2.3.2.

Analyse des menaces

Lanalyse des menaces est lanalyse des vnements ou circonstances selon lesquelles le
systme dinformation peut tre mis sous le risque. Dans notre dmarche, on sest propos de
lister plusieurs groupes de menaces : Saturation du systme, dysfonctionnement du SI, Vol de
matriel, Phnomne climatique, sismique, volcanique, mtorologiques, Erreur humaine, etc.
Ainsi, une liste des menaces exhaustive a t tablie et intgre dans la base de connaissance
livre avec la dmarche (Voir Annexe I). Cette liste a t dcompose suivants les domaines
spcifies prcdemment : scurit, exploitation, organisation et planification, etc.

3.2.3.3.

Analyse des vulnrabilit

Lanalyse des vulnrabilits est lanalyse des failles ou des faiblesses dans le systme
dinformation et qui pourraient tre exploites et conduire mettre le systme dinformation
sous le risque. En effet, pour chacune des menaces, il faudrait analyser les vulnrabilits qui
pourraient affectes le SI. Cette analyse se fait au mme temps que lanalyse des menaces.
En effet, pour chaque menace une liste de vulnrabilits correspondantes est mise en place et
est intgre dans la base de connaissance (voir Annexe I). Il est noter que lanalyse des
menaces - vulnrabilits seffectue en se rfrant la base de connaissance quon a tablie
dans le cadre de notre dmarche. En effet, cette base est alimente par celle de la mthode
EBIOS en partie, et contient plus de 1500 couple Menace / Vulnrabilit.

3.2.3.4.

Analyse des contrles mis en place ou planifis

Lanalyse des contrles mis en place ou planifis est lanalyse des rponses aux risques,
des pratiques de la scurit, des procdures appliques ou revues, ainsi que les normes et les
42

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

standards en vigueur afin dvaluer leur efficacit et garantir leur efficience, ou bien se
comparer l'tat de l'art et aux normes en usage. Ainsi, lissue de cette analyse des enjeux
mtiers, une analyse de lefficacit des contrles sera ralise. Pour cela, nous proposons de
drouler un questionnaire daudit personnalis (voir ANNEXE II), que nous avons labor
dans le cadre de la nouvelle dmarche, organis sous 14 domaines (selon la mthode
MEHARI et iso 27005), et aliment par les questions collectes partir de lexprience des
auditeurs du CLUSIF. Ci-dessous la liste des domaines prcits :
1. Politique de Scurit
2. Organisation de la scurit
3. Exploitation
4. Gestion des Ressources humaines (informatique)
5. Scurit Physique et scurit des sites
6. Gestion de linfrastructure rseaux
7. Scurit des systmes et architecture
8. Acquisition, dveloppement et maintenance des SI
9. Production informatique
10. Gestion de la continuit dactivit
11. Organisation et gestion des projets informatiques
12. Gestion des prestataires externes
13. Gestion des bases de donnes
14. Conformit aux lois et rglementation

3.2.3.5.

Lister et catgoriser les risques

A lissue de lanalyse des menaces, des vulnrabilits et des contrles mis en place, une
premire synthse globale (liste des risques identifis) devra tre prsente sous la forme
dune cartographie illustrant les rsultats de laudit suivant les 14 domaines dcrits
prcdemment et qui va lister et catgoriser les diffrents risques.
Aussi, la fin de cette tape, un registre des risques, qui va contenir toute les informations
relatives aux risques, devra tre remplie (voir ANNEXE III). Ce registre servira aprs la
mission comme un tableau de bord de suivi de lamlioration des risques.
Le tableau ci-dessous (tableau 3.3) prsente une synthse de ltape didentification des
risques :
43

Projet de Fin dEtudes

2011 - 2012

Dpartement Informatique
Identification des risques

Etapes

Livrables

Recueil
dinformation

Synthse des
objectifs de la
mission

Analyse de
menaces

Liste des
menaces

Analyse de
Vulnrabilits

Liste des
vulnrabilits

Analyse des
contrles
dintervention

Lister les risques


dintervention

Outils

Planning de la
mission

Compte rendu
runion.doc

Base de connaissance
personnalise

Base de connaissance
personnalise

question daudit

Etat des contrles

Liste des risques


dans le registre

Registre des
risques.xlsx

Tableau 3.3 : Synoptique de la phase didentification des risques

3.2.4. Evaluation des risques


Rien ne peut se construire sans un diagnostic exact des risques. Cest dans ce cadre
que se dfinit le processus de lvaluation des risques, qui consiste dfinir lordre de
priorit des risques pour actions ultrieures, par valuation et combinaison de leur probabilit
doccurrence et de leur impact sur le systme dinformation et sur les objectifs SI. En effet, ce
processus vise classifier de manire quantitative les risques informatiques, selon leur ordre
de priorits. Lvaluation des risques est divise en 3 tapes :
Lvaluation des probabilits doccurrence des risques dans le SI
Lvaluation de limpact des risques sur le SI
La classification des risques selon leur niveau de priorit

44

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Lvaluation des probabilits doccurrence des risques dans le SI :


La probabilit doccurrence des risques est la frquence darrive dun risque dans le SI.
Elle est catgorise en 3 niveaux :
leve : Le risque est trs important et facilement exploitable. Les contrles
existants pour prvenir les vulnrabilits sont insuffisants et/ou inefficaces.
Moyenne : Le risque est important et facilement exploitable. Mais les
contrles sont en place pour liminer l'exploitation de la vulnrabilit.
Faible : Le risque est peu important et les contrles sont en place pour liminer
l'exploitation de la vulnrabilit
Lvaluation de limpact des risques sur le SI :
Avant de mesurer le niveau de risque, cette tape doit permettre de dterminer les effets
nfastes rsultant du risque (limpact du risque). Cette analyse recours essentiellement sur
ltude des cartographies processus IT, l'valuation de l'importance des actifs ou leur valeur
vnale, la criticit des systmes et donnes, etc. L'analyse de ces lments doit permettre de
classifier l'impact potentiel sur ces informations en termes d'intgrit, de disponibilit et de
confidentialit.
La perte d'intgrit. L'intgrit d'un systme ou de donnes rfrent la
capacit de protger son patrimoine de toute modification cela implique aussi
bien les actes intentionnels que accidentels.
La perte de disponibilit. Un systme ou des donnes rendues indisponible
des utilisateurs finaux peut compromettre le fonctionnement d'une entreprise.
La perte de confidentialit. Elle rfre la protection des donnes et
notamment la divulgation non autorise.
Les niveaux d'impact des risques peuvent tre classifis selon 3 niveaux :
lev : Lorsque le risque cause la perte d'actifs trs couteux, ou prsente un
obstacle important dans la mission de l'organisation.
Moyen : Lorsque le risque la perte d'actifs ou prsente un obstacle important
dans la mission de l'organisation.
Faible : Lorsque le risque induit la perte de certains matriels ou actifs.

45

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

La classification des risques :


L'objectif de cette tape est d'valuer le niveau de risque pesant sur l'environnement IT. Le
risque est exprim en fonction de la combinaison impact/probabilit selon :
La probabilit qu'un risque puisse arriver
L'importance de l'impact du risque
L'adquation des contrles planifis des fins de rduction des risques
La mthode consiste identifier les niveaux du risque laide de la matrice de criticit
(Figure 3.4) :

Figure 3.4 : Matrice de criticit


En effet, on peut dcrire les niveaux de risque comme suit :
lev : Dans le cas d'un risque lev la mise en uvre d'une action corrective
doit tre immdiate.
Moyen : Dans le cas d'un risque moyen des actions doivent tre planifies dans
un dlai raisonnable.
Faible : S'agissant des risques faible soit il peut tre accept, soit faire l'objet
d'actions correctives.
A la fin du processus de lvaluation des risques, on devra :
Mettre jour le registre des risques en spcifiant limpact, la probabilit
doccurrence et la classification des risques.
Elaborer une cartographie complte des risques classifis selon leur criticit.
46

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

3.2.5. Recommandations
Llaboration des recommandations est une tape cl de la dmarche. Cest vrai que le
diagnostic des risques reste une phase importante, mais ce nest pas suffisant. En effet, le
client attend des solutions ses problmes. Ainsi, les recommandations peuvent tre
labores par le cabinet ou bien par un travail commun client consultant.
Ce processus dcrit llaboration de la liste des recommandations ainsi que ltablissement
du rapport de synthse.
3.2.5.1.

Objectif du processus :

Lobjectif de ce processus est dlaborer une liste de contrles ou de mesures de


rduction des risques mettre en place pour liminer ou rduire le risque. Les mesures
doivent tre fournies au regard de leur efficience suppose, de l'impact oprationnel qu'elles
peuvent avoir, de la lgislation en vigueur, des moyens disposition de l'entreprise. Les
recommandations doivent contenir aussi les informations sur le cot du traitement du risque et
la stratgie de traitement. On distingue 4 stratgies classiques de traitement :
Acceptation : aucune mesure n'est prise parce que le niveau de probabilit et
l'impact du risque est faible;
Rduction : faire des dmarches pour rduire la probabilit ou l'impact du risque;
Transfert : confier la gestion du risque un prestataire externe;
Elimination : faire des dmarches pour liminer compltement le risque.
A la fin de cette tape, un rapport de synthse devra tre livr contenant la liste des
recommandations. En effet, la procdure que nous avons labore dans le cadre de notre
dmarche pour la rdaction du rapport de synthse qui doit tre livr, sappuie sur la norme
070 de l ISACA . Ainsi, nous avons dfini les clauses respecter lors de la rdaction du
rapport, que nous avons organis sous trois volets :
La forme et le style,
Le contenu,
Les recommandations.
Chaque recommandation fait lobjet dune fiche de constat prsentant :
Les lments constitutifs du constat,
Les risques associs,
La recommandation de Deloitte,
La rponse de la direction.
47

Projet de Fin dEtudes

2011 - 2012

Dpartement Informatique

En effet, les recommandations devront inclure au minimum :


Une tude de la situation existante en termes de risque au niveau du site audit, qui
tiendra compte de laudit organisationnel et physique, ainsi que les ventuelles
vulnrabilits de gestion des composantes du systme (rseau, systmes, applications,
outils de scurit, centre de calcul, plans de continuit..) et les recommandations
correspondantes.
Les actions dtailles (organisationnelles et techniques) urgentes mettre en uvre
dans limmdiat, pour parer aux dfaillances les plus graves et rduire les risques.
Le tableau ci-dessous (tableau 3.4) prsente un synoptique des phases dvaluation des
risques et des recommandations :
Evaluation des risques + Recommandations
Etapes

Livrables

Analyse des
probabilits
doccurences

Identification des
probabilits

Analyse de
limpact

Liste des
menaces

Evaluation des
risques

Liste des
vulnrabilits

Recommandations

Outils

Registre des
risques.xlsx

Registre des
risques.xlsx

Registre des
risques.xlsx

Template du
rapport

Etat des contrles

Tableau 3.4: Synoptique des phases dvaluation des risques et recommandations

3.2.6. Traitement des risques


Ce processus consiste accompagner le client dans le traitement et la mise en uvre des
mesures ncessaires pour rpondre aux risques qui encourent son systme dinformation. En
effet, la rponse aux risques vise dvelopper des options et des actions permettant
daugmenter les opportunits et de rduire les menaces relatives aux systmes dinformation.

48

Projet de Fin dEtudes

3.2.6.1.

Dpartement Informatique

2011 - 2012

Objectif du processus

Lobjectif de ce processus est dtablir un cadre pour des actions de traitement des risques
en dfinissant les conditions de leur mise en uvre : responsable du risque, cot du traitement
du risque, chances, actions conduire chelonnes dans le temps.
Ce processus va permettre en outre de spcifier les actions entreprendre, clarifier les
responsabilits et tablir les chances.

3.2.6.2.

Etapes du processus

La rponse aux risques peut tre dcompose en plusieurs tapes :


3.2.6.2.1.

Identifier les acteurs du changement :

Lidentification des acteurs consiste identifier les responsables qui auront pour
mission la mise en uvre des contrles ncessaires pour liminer et rduire les risques sujets
dun traitement. Cette tape vise mobiliser les individus impliqus dans le traitement des
risques.
3.2.6.2.1.1.

Identifier les actions entreprendre

Lidentification des actions entreprendre est la description dtaille des contrles


mettre en uvre ou des mesures scuritaire pour rpondre au risque.
3.2.6.2.1.2.

Dfinir et organiser le plan daction

Cest la dfinition du planning et du cot du traitement.


3.2.6.2.1.3.

Mettre en uvre

Cest la mise en pratique du contrle et le dploiement des mesures scuritaires.


3.2.6.2.1.4.

Faire un bilan

Cest ltape de formalisation du traitement, cest--dire la synthse de la mise en uvre


du contrle et les rsultats attendus. A la fin de ce processus de traitement des risques, on
devra mettre jour le registre des risques en spcifiant le cot et le responsable de traitement
du risque et formaliser un plan daction formalis.

3.2.7. Suivi et contrle des risques


Ce processus consiste suivre les risques identifis, surveiller les risques rsiduels et
valuer lefficacit du processus de management des risques IT mis en uvre.
Le processus du suivi et contrle des risques vise dresser une analyse de lcart entre ce qui
tait prvu et ce qui est en ralit. En effet, le suivi des risques consiste dterminer si :
49

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

De nouveaux risques nont pas t identifis


les risques ont t bien maitriss
la politique interne et les procdures de management des risques sont mise jour
Le client a mis en place une politique de gestion des risques
La surveillance et la matrise des risques peuvent impliquer de choisir des stratgies
alternatives, dexcuter un plan de secours ou de repli, dentreprendre des actions correctives
et de modifier le plan de management des risques. A la fin de cette phase, le registre des
risques est mis jour en spcifiant ltat, et un rapport de suivi est livr en spcifiant ltat
davancement.

3.2.8. Capitalisation et documentation


La capitalisation et la documentation est le processus de clture de notre dmarche. Il
consiste la mise en place dun documentation rigoureuse lie aux risques IT afin dassurer
lamlioration continue des actions de matrise des risques, lenrichissement des
connaissances, la traabilit des risques rencontrs, des actions engages et des rsultats
obtenus ainsi que le transfert des comptences et du savoir-faire acquis pour les projets
ultrieurs. A la fin de ce processus, lquipe des consultants devront livrer :
Une cartographie gnrale des risques de lentreprise
Un rapport final de synthse de lintervention
Le registre des risques de lentreprise complet qui sera considr par la suite
comme un tableau de bord pour lentreprise.
Le tableau suivant (tableau 3.5) dcrit la synthse des phases de traitement des risques, suivi
des risques et de la capitalisation du savoir.

50

Projet de Fin dEtudes

2011 - 2012

Dpartement Informatique

Traitement et suivi des risques / capitalisation du savoir


Etapes
Traitement des
risques
doccurences
Suivi des
contrles

Livrables

Outils

Plan de mise en
uvre des
contrles

Plan d action

Template du
rapport de suivi

Rapport de
Suivi

Template du
rapport final

Rapport finale

Capitalisation et
documentation

Registre des
risques

Registre des
risques.xlsx

Cartographie
des risques

3.3. Conclusion
La mthodologie propose a t prsente dans ce chapitre. En annexe, des extraits de
livrables de la dmarche seront fournis. Dans ce qui suit, nous allons mettre en pratique la
dmarche propose travers une tude de cas pratique.

51

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

4. Quatrime chapitre : Etude de cas


Ce dernier chapitre sera consacr une tude de cas pratique, qui met en uvre notre
mthode prsente prcdemment. Cette tude est destine, dune part tester la
mthodologie, la valider et savoir quel degr elle rpond aux besoins spcifis, et dautre
part, la complter dans le but dapporter un exemple concret de son utilisation.

4.1. Cadrage de ltude


Le choix du cas tudier a t port sur une compagnie dassurance marocaine. Dune
part, les compagnies dassurances sont culturellement peu habitues raisonner en termes de
risques oprationnels internes, par rapport aux banques, bien que leur mtier consiste
financer les risques purs de leurs clients. Et dautre part, nous avons jug intressant de
drouler la dmarche sur une assurance, afin de prendre en considration les directives de la
rglementation Solvency II par rapport aux risques oprationnels, et plus particulirement les
risques lis aux systmes dinformations.
Pour des raisons de confidentialit, nous avons donn la socit dont il est question
dans cette tude, un nom fictif Assurancia , qui n'est utilis que pour prsenter cette tude
en conservant lanonymat de la socit.
Puisque notre dmarche est modulaire, et vu la dure limite consacre cette tude de
cas, notre primtre dintervention consistera faire un diagnostic de ltat du dispositif du
management des risques informatiques de lentreprise qui comprendra :
La phase de cadrage
Lidentification et lvaluation des risques
La rdaction des recommandations
Les phases de traitement, contrle et suivi des risques ne rentrent pas dans le primtre
de la mission. Il est noter que pour des raisons de confidentialit du cabinet, on ne va pas
prsenter la phase de la proposition ni dtailler lexhaustivit des contrles et
recommandations soumis lentreprise.

52

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

4.2. Phase de cadrage de la mission


4.2.1. Runion de lancement
Suite la runion de lancement, les objectifs gnraux de la mission ont t dfinis. Il
sagit principalement de : Grer les risques lis au systme dinformation sur le long terme
et laborer les recommandations pour la mise en uvre des rponses aux risques. En effet, le
comit directoire de la socit Assurancia souhaite :
Identifier et valuer les risques lis au SI qui pourraient empcher l'organisme
d'atteindre ses objectifs
Mettre en place une cartographie des risques personnelle
Initier la mise en place dun dispositif de gestion des risques
Instaurer la culture du management des risques dans lentreprise
Dans ce cadre, les personnes interviewer ont aussi t identifies .Ainsi, les principaux
interlocuteurs seront :
Chef du service risque et audit
Chefs des Services assurance Vie, non Vie et Recouvrement
Chef du Service Recouvrement
Responsable Systme dInformation
Par ailleurs, un planning de lintervention de lquipe et les modalits de suivi de la mission
ont t tablis. Ci-dessous le calendrier prvisionnel :

Figure 4.1 : Planning prvisionnel de la mission


La charge de travail relative la ralisation de cette mission a t value 55 jours homme.
Sa rpartition par phase puis par profil est dtaille dans le tableau en annexe (voir ANNEXE
IV)

53

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

4.2.2. Description du SI cible :


En premier lieu, les processus majeurs de lentreprise ont t lists, le tableau fourni
en annexe rcapitule les principaux processus de la socit Assurancia par domaine (voir
ANNEXE V).
Ensuite, aprs discussion avec la direction gnrale et les cadres suprieurs de la
socit, les processus suivants ont t identifis comme processus clefs :
Assurance vie
Assurance Non vie
Gestion des recouvrements
Contrle de Gestion et supervision
Dans ce rapport, nous allons prsenter seulement ltude relative au processus de lassurance
non vie, qui est la mme pour tous les autres processus. En effet lassurance non vie regroupe
les assurances des biens, les assurances de responsabilit, les assurances sur la sant et les
assurances dincendie. Ce processus est lui-mme subdivis en quatre sous processus:
- Rglement des primes au niveau des agents intermdiaire ;
- Intgration et traitement des primes aux niveaux de lassurance ;
- Comptabilisation des primes et gnration des critures comptables ;
La modlisation du processus selon le modle art pack du processus de lassurance non vie
est prsente dans lANNEXE VI.
Ensuite, pour conclure cette phase, nous allons dcrire le Systme dInformation cible,
cest--dire le systme relatif ltendue de la mission, et ce conformment au dcoupage
selon les 4 axes spcifis dans le guide mthodologique. Ci-dessous un exemple de
modlisation de laxe Organisation qui concerne le systme tudi, reprsent par un
diagramme dobjet UML :

Figure 4.2 : Diagramme dobjet de laxe Organisation du SI cible


54

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

4.2.3. Plan dintervention


Une fois les objectifs globaux fixs, et les processus tudier dfinis, le plan
dintervention doit tre fourni la direction gnrale pour validation. Lannexe VI prsente un
rsum du plan dintervention.

4.3. Identification des risques


En premier lieux nous avons commenc par lanalyse des menaces, vulnrabilits et
contrles mis en place laide du questionnaire daudit. Dans cette analyse on a pris en
considration les diffrentes directives de la rglementation Solvabilit II.
Ainsi, aprs ltude des diffrentes menaces et vulnrabilits, et des contrles mis en
places pour pallier ces menaces, on a pu lister les risques. Le tableau suivant (tableau 4.1)
reprsente un chantillon des diffrents risques identifis avec leurs scnarios par rapport au
processus de la gestion de lassurance non vie :
Risques

Scnarios des risques

Atteinte la maintenabilit du SI

Dfaillance des fournisseurs matriels


Impossibilit de la maintenance
Impossibilit de restauration du systme
Impossibilit de rcupration des donnes sauvegar

Perte de service

Rupture dalimentation lectrique


Rupture de climatisation
Rupture de tlcommunication

Actes de malveillances sur les Vol des serveurs contenant la base de donnes des
biens matriels et immatriels

clients
Vol des documents
Fraude importante
Destruction des donnes de la base de donnes des
primes non vies
Divulgations des informations des clients (salaires,
comptes, ..)

Indisponibilits du systme grant Indisponibilit prolong du systme


la prime dassurance non vie

Contamination des postes de travail (attaque virale)

55

Projet de Fin dEtudes

2011 - 2012

Dpartement Informatique

Erreur dexploitation entrainant une indisponibilit


prolonge des ressources informatiques
Risques au niveau du personnel

Disparition du responsable de lactivit assurance non


vie
Disparition des personnes cls influenant le processus
(responsable BD, responsable exploitation,..)
Dmission collective
Pandmie (grippe aviaire, ..)
Incapacit du personnel se rendre sur le lieu de travail
(grve, primtre de scurit, ..)

Risques

aux

niveaux

des Disparition dun fournisseur

fournisseurs et tiers externes

Incapacit du fournisseur fournir le service attendu

Erreurs de manipulations

Erreurs pendant la procdure de saisie


Erreurs de programmation bug logiciel

Tableau 4.1 : Liste des risques et des scnarios des risques identifis par rapport au
processus de la gestion de lassurance non vie

4.4. Evaluation des risques :


Dans cette tape, aprs une analyse minutieuse des contrles mis en places, on se propose
de quantifier les risques dj identifies par rapport leurs impact et leurs degrs
doccurrence. Aprs lvaluation des risques cits prcdemment, on a pu laborer la
cartographie des risques suivante :
Risques

Scnarios des risques

Degrs

Impact

doccurrence

Menaces
Incendie
entranant
environnementale
destruction du SI
s / Sinistres
Inondation

la Moyen

Chute de la foudre
Tremblement

de

terre

Criticit
du risque

Elev

Eleve

Faible

Faible

Faible

Faible

Faible

Faible

/ Faible

Elev

Moyenne

Elev

Eleve

sisme
Perte de service

Rupture

dalimentation Moyen

lectrique

56

Projet de Fin dEtudes

2011 - 2012

Dpartement Informatique

Rupture de climatisation

Moyen

Elev

Eleve

de Moyen

Elev

Eleve

Elev

Moyenne

Elev

Elev

Eleve

Faible

Elev

Moyenne

Destruction des donnes de la Faible

Elev

Moyenne

Elev

Eleve

Elev

Eleve

Elev

Moyenne

Elev

Moyenne

Moyen

Moyenne

Elev

Eleve

Rupture
tlcommunication
Actes

de Vol des serveurs contenant la Faible

malveillances sur base de donnes des clients


les

biens Vol des documents

matriels

et Fraude importante

immatriels

base de donnes des primes


non vies
Divulgations

des Moyen

informations

des

clients

(salaires, comptes, ..)


Indisponibilits

Indisponibilit prolong du Moyen

du systme grant systme


la
dassurance
vie

prime Contamination des postes de Faible


non travail (attaque virale)
dexploitation Moyen

Erreur

entrainant une indisponibilit


prolonge

des

ressources

informatiques
Risques

au Disparition du responsable de Moyen

niveau

du lactivit assurance non vie

personnel

Disparition

des

personnes Moyen

cls influenant le processus


(responsable BD, responsable
exploitation,..)
Dmission collective

Faible

Elev

Moyenne

Pandmie (grippe aviaire, ..)

Faible

Elev

Moyenne

Incapacit du personnel se Faible

Faible

Faible

rendre sur le lieu de travail


(grve, ..)

57

Projet de Fin dEtudes

2011 - 2012

Dpartement Informatique

Risques

aux Disparition dun fournisseur

Faible

Eleve

Moyenne

niveaux

des Incapacit du fournisseur Faible

Eleve

Moyenne

Elev

Eleve

Elev

Moyenne

fournisseurs

et fournir le service attendu

tiers externes
Erreurs

de Erreurs pendant la procdure Elev

manipulations

de saisie
Erreurs de programmation Faible
bug logiciel

Tableau 4.2 : Evaluation des risques et des scnarios des risques identifis par
rapport au processus de la gestion de lassurance non vie

4.5. Rdaction des recommandations


Suite la phase de lvaluation des risques et llaboration de la cartographie des risques,
ralise partir des risques identifis, et dans la limite du primtre dintervention, des voies
damliorations possibles ont t releves par lquipe intervenante, synthtises dans le
tableau suivant :
N

Recommandation

Priorit

Mettre jour le schma directeur informatique

Mise en place dun deuxime groupe lectrogne (source lectrique)

Procder lamnagement complet de la salle machine tout en mettant en


place les mcanismes ncessaires de protection des quipements contre les
pannes et les sinistres environnementaux

Formaliser le plan de secours informatique pour la DSI

5
6

Mettre en place un plan de continuit dactivit formalis pour lensemble


du systme dinformation
Mettre en place un plan de rotations du personnel critique

Elaborer une politique de scurit globale lensemble des entits

Assurer une remonte systmatique de linformation en cas dun dpart


dun collaborateur

Adopter un systme dauthentification forte pour laccs aux donnes


sensibles (salaires, comptes clients, ..)

10

Mettre en place une matrice des droits daccs

11

Formaliser la procdure de gestion des mots de passes

58

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

12

Mettre en place un contrat de service SLA entre la DSI et les entits mtiers

13

Formaliser la procdure de gestion des matriels et de la maintenance

14

Mettre jour la solution anti virale

15

Mettre en place un systme de reporting des incidents de scurit

16

Mise en place dun systme de contrle continue des donnes saisie

17

Formaliser les procdures de sauvegardes pour lensemble des travaux


dexploitation et de production

18

Mettre en place un systme de reporting des incidents dexploitation

19

Formaliser les tests de restauration des sauvegardes


Tableau 4.3 : Liste des principales recommandations

Lgende :
Forte
Moyenne
Faible

- les mesures prconises devraient tre suivies dans limmdiat;


- les amliorations devraient tre prises en compte moyen terme ;
- les recommandations correspondent aux meilleures pratiques et peuvent tre mises
en uvre plus long terme.

Pour chacune des recommandations proposes, il faudra fournir une fiche de constat
comme dcrit dans la dmarche. Nous prsentons un exemple de fiches pour les points 4 et 12
respectivement en annexe VIII et annexeIV. Il est a not que la forme de prsentation est
conforme aux normes de la dmarche DELOITTE.

4.6. Runion de validation


Pour conclure la mission, une runion de validation est organise avec les responsables
des diffrents services pour livrer le rapport final, la cartographie des risques qui a tait
prsent prcdemment et le registre des risques (voir ANNEXE III).

4.7. Conclusion :
La mise en uvre de la dmarche travers cette tude de cas a permis de tester
pratiquement toutes les tapes proposes et corriger les failles et les incohrences lies son
aspect thorique.

59

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Conclusion Gnrale
La finalit de ce projet tait llaboration dune dmarche de gestion des risques lis aux
systmes dinformation, intgrant les concepts du management des risques, et rpondant la
problmatique de rigidit des mthodes existantes. Plusieurs paramtres ont t considrs
pour justifier le bienfond de cette dmarche personnalise, et la pertinence des lments qui
la constituent.
Mon premier point de dpart tait une tude Benchmark dtaille de quelques mthodes et
rfrentiels de bonnes pratiques en matire de risques : CRAMM, EBIOS, MEHAR, COSOERM, ISO 27005 et Risk IT. Le but tant de dgager les diffrents aspects qui caractrisent
une approche de management des risques IT globale et efficace.
Comme la gestion des risques est un concept qui touche plusieurs aspects de
lentreprise: techniques, organisationnels et humains, il fallait traiter le sujet de manire
transverse et intgrer tous ces aspects dans une approche cohrente et homogne.
Cest dans cette mme vision que jai t amene participer des missions de
Contrles Gnraux Informatiques , qui traitent divers facettes lies au Systme
dInformation (Stratgie et planification ; Exploitation ; Continuit des services; ) et ce,
pour avoir connaissance des principes de laudit SI et pouvoir comprendre la mthodologie de
travail Deloitte.
Ensuite, jai fait la conception de la dmarche et mis en place un descriptif complet de
chaque tape, avec la listes des livrables, une base de connaissance et un questionnaire daudit
contenant plus de 3000 points de contrles.
Enfin, la dmarche propose a t livre avec un guide dutilisation dtaill, une
proposition doutillage facilitant le droulement de la mthode (sous forme de documents et
procdures) ainsi quune base de connaissance personnalise.
En guise de perspectives pour ce projet, il convient daller au terme des
recommandations proposes, et de concevoir des mthodologies qui guideront les consultants
dans leurs dmarches daccompagnement des clients linstauration du dispositif de
management des risques : Mthodologies pour la mise en place du Schma Directeur de
Scurit des Systmes dInformation, de la Politique de Scurit Informatique, du Plan de
Continuit dactivit et du Plan de Reprise dActivit.

60

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Bibliographie
[1] : Commission Nationale des Commissaires aux Comptes (Avril 2003), Prise encompte de
lenvironnement informatique et incidence sur laudit- 225 p.
[2] : Patrice Stern et Jean-Marc Schoettl : La bote outils du Consultant dition DUNOD
28, 180 pages
- 252 pages
[3] : AFAI : Cobit 4.1 (cadre de rfrences, objectifs de contrles, guide de management,
modles de maturit), dition 2007
[4] : Anne LUPFER (Septembre 2010), Gestion des risques en scurit de l'information :
Mise en uvre de la norme ISO 27005 - 252 pages
[5] : DELOITTE, documentation fournie lors de la formation .Le 01/02/2012.
[6] : Pascal KEREBEL : Management des risques secteurs Banque et assurance, ditions
dorganisation EYROLLES 2008
[7] : Emmanuel BESLUAU : Management de la Continuit dactivit, dition EYROLLES
2008, 270 pages
[8] : AFAI : Le rfrentiel Risk IT (cadre de rfrences, principes, guide de management),
dition 2009

Webographie
[9] : Portail de lassociation AFAI : www.afai.fr , consult en fvrier et mars 2012
[10] : Site web ddi la scurit informatique et au management des risques IT :
http://www.ysosecure.com/principes/management-risques-systeme-d-information.html,
consult en fvrier 2012
[11] : Site web de lassociation CLUSIF : http://www.clusif.asso.fr, Consult en
Fvrier/Mars/Avril 2012

61

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Annexes
ANNEXE I : Extrait de la Base connaissance Domaine de la gestion du
matriel
ANNEXE II : Extrait du questionnaire daudit labor Domaine de
lorganisation de la scurit

ANNEXE III : Extrait du registre des risques


ANNEXE IV : Planning et charge J/h prvisionnels de la mission
Annexe V : Rcapitulatif des processus clefs dAssurancia

ANNEXE VI : Fiche du processus Assurance non vie


ANNEXE VII : Rsum du plan dintervention

ANNEXE VIII : Point de recommandation Formalisation du plan de secours


informatique
ANNEXE IX : Point de recommandation Mise en place des contrats SLA

ANNEXE X : Dfinitions des rglementations Ble II et Solvency II

62

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Annexe I : Extrait de la Base connaissance Domaine de la gestion du matriel :


Lannexe suivant prsente un aperu de la base de connaissance labore par rapport au
domaine de la gestion du matriel. En effet, la base de connaissance contient la liste des
menaces avec les vulnrabilits correspondantes ainsi que la liste des risques qui en rsultent.

63

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Annexe II : Extrait du questionnaire labor Domaine de lorganisation de la


scurit
Cette annexe prsente un extrait du questionnaire daudit labor dcrivant les diffrents
points de contrles.

64

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Annexe III : Extrait du Registre des risques


Cette annexe dcrit un exemple du registre des risques qui est livr au client la fin de la
mission :

Annexe IV : Planning et charge J /h prvisionnels de la mission


Cet annexe dcrit la charge prviosionnelles de la mission dvaluation des risques pour le
comptes de lassurance Assurancia

65

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Annexe V : Rcapitulatif des processus clefs d assurancia


Le tableau suivant dcrit les processus audits dans ltudes de cas :
Processus

Description

Assurance Vie

Lassurance vie grent tout les flux Banque Assurance. En effet,


cest les interections entre lassurance et les banques associes.

Assurance non vie

Lassurance non vie concernent tout les primes hors banque


assurance. A savoir : Incendie et risque divers, assurance sant,
assurance maritime, assurances des biens et assurances automobile.

Recouvrement

Le recouvrement cest les processus dbouchant de lencaissement


des primes impays.

Contrle de gestion et Le contrle de gestion et la supervision des flux est le processus


supervision des flux
qui couvre laudit interne et le contrle du bon droulement des
dveressements des flux mtiers dans le systme dinformation

Annexe VI : Fiche du processus Assurance non vie


Le diagramme ci-dessous dcrit le dversement du processus dassurances non vie dans le
systme dinformation dAssurancia

66

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Annexe VII : Extrait du plan dintervention


Le tableau suivant rsume le plan dintervention de la mission dvaluation des risques pour
le compte dassurancia :

67

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Annexe VIII :Point de recommandation Formalisaiton du plan de secour informatique

Annexe IX : Point de recommandation Mise en place des contrats SLA

68

Projet de Fin dEtudes

Dpartement Informatique

2011 - 2012

Annexe IX : Dfinitions des rglementations Ble II et Solvency II


(rf : www.wikipedia.org)
Dans cet annexe, on va donner une brve dfinition des rglementations Ble II et Solvency
II.
Rglementation Ble II :
Les normes Ble II constituent un dispositif prudentiel destin mieux apprhender
les risques bancaires et principalement le risque de crdit ou de contrepartie et les exigences
en fonds propres. Ces directives ont t prpares depuis 1988 par le Comit de Ble, sous
l'gide de la Banque des rglements internationaux et ont abouti la publication de la
Directive CRD.
Les recommandations de Ble II s'appuient sur trois piliers (terme employ explicitement
dans le texte des accords) :
l'exigence de fonds propres (ratio de solvabilit McDonough) ;
la procdure de surveillance de la gestion des fonds propres ;
la discipline du march (transparence dans la communication des tablissements).

Rglementation Solvency II :
Solvabilit II est une rforme rglementaire europenne du monde de l'assurance. Son
objectif est de mieux adapter les fonds propres exigs des compagnies d'assurances et de
rassurance avec les risques que celles-ci encourent dans leur activit.
Solvabilit II, repose sur 3 piliers ayant chacun un objectif :
Le premier pilier a pour objectif de dfinir les normes quantitatives de calcul des
provisions techniques et des fonds propres.
Le deuxime pilier a pour objectif de fixer des normes qualitatives de suivi des
risques en interne aux socits et comment l'autorit de contrle doit exercer ses
pouvoirs de surveillance dans ce contexte
Le troisime pilier a pour objectif de dfinir l'ensemble des informations dtailles les
autorits de contrle pourront avoir accs pour exercer leur pouvoir de surveillance,
d'autre part

69