Cartographie des risques informatiques :

exemples, mthodes et outils

8 avril 2010
Gina Gull-Mnez,
Directeur de lAudit des Processus et des Projets SI,
Sanofi-Aventis
Vincent Manire
Consultant
Construction dune cartographie des risques :
quel modle proposer ?
Agenda

Introduction - Prsentation du groupe de travail

Elments gnriques sur les risques
Retours dexprience
Enseignements
Conclusions

Cartographie des risques informatiques 8 avril 2010

 Introduction

Dans le cadre des activits de lAFAI :

Publier les bonnes pratiques professionnelles
catalogue dune douzaine douvrages, issus du partage
dexprience au sein de groupes de travail constitus de
professionnels expriments

Faciliter lchange et llaboration collective

des changes professionnels approfondis
des groupes de travail constitus linitiative des membres
Dfinir un objectif (un livrable sous 18 mois maximum) : ouvrage,
article, enqute
Obtenir laccord du CA
et engager les travaux

Cartographie des risques informatiques 8 avril 2010

 OBJECTIFS DU GROUPE DE TRAVAIL
Cartographie des risques informatiques

Etudier les avantages laborer une cartographie des

risques informatiques.
Mettre en vidence les diffrentes approches pratiques, en
fonction des objectifs poursuivis et du point de vue de
lutilisateur de la cartographie (Management, Audit interne,
Direction de projet, )

Cartographie des risques informatiques 8 avril 2010

 ORGANISATION/PARTICIPANTS
Le groupe de travail tait compos de membres permanents issus
des grandes entreprises, des cabinets daudits, de consultants,
exerant des mtiers diffrents :
Responsable daudit
Risk manager
Responsable scurit informatique
Responsable mthode

Il a bnfici de la prsence dinvits, qui ont apport un angle de

vue particulier ou un tmoignage de leur exprience.

Cartographie des risques informatiques 8 avril 2010

 DROUL/MODE DE FONCTIONNEMENT
Tmoignages anonymes ayant pour objectif
Restituer de faon standardise les prsentations-tmoignages pour faciliter la
perception par le lecteur ;
Fournir un cadre structur pour les participants appels tmoigner.
Structure de la fiche Tmoignage:
Objectif de la cartographie
Rsultats obtenus
Acteurs
Dmarche
Avantages
Inconvnients et difficults
Faire ressortir des enseignements et des facteurs cls de succs
pour russir une dmarche cartographie.

Cartographie des risques informatiques 8 avril 2010

Construction dune cartographie des risques :
Quel modle proposer ?
Agenda

Introduction - Prsentation du groupe de travail

Elments gnriques sur les risques
Retours dexprience
Enseignements
Conclusions

Cartographie des risques informatiques 8 avril 2010

 Des dfinitions multiples
De nombreuses dfinitions existent qui combinent :
Probabilit
Impact
Vulnrabilit
Menace

Origine Bernoulli
"Le risque est l'esprance mathmatique d'une fonction de probabilit d'vnements". En
termes plus simples, il s'agit de la valeur moyenne des consquences d'vnements affects
de leur probabilit d'occurrence. Ainsi, un vnement e1 a une probabilit d'occurrence p1
avec une consquence probable C1 ; de mme un vnement en aura une probabilit pn et
une consquence Cn, alors le risque vaudra R = p1.C1 + p2.C2 + ... + pn.Cn. Un produit
pi.Ci est appel valeur de l'ala i.

Origine IFACI
Risque : possibilit que se produise un vnement qui aura un impact sur la ralisation des
objectifs. Le risque se mesure en termes de consquences et de probabilit.

Cartographie des risques : positionnement des risques majeurs se lon diffrents axes tels que
limpact potentiel, la probabilit de survenance ou le niveau actuel de matrise des risques.
Son objectif est de permettre dorienter le plan daudit interne et daider le management
prendre en compte la dimension risque dans son pilotage interne.

Cartographie des risques informatiques 8 avril 2010

 Elments gnriques sur les risques
Deux tendances principales se dgagent de lhistoire du risque :
Approche mathmatique
Blaise Pascal et Pierre de Fermat en 1654
Loi des grands nombres
Bernoulli en 1738
Thorie des Jeux en 1944

Approche management par les risques

Apparue en fin des annes 1950 aux Etats-Unis
Gouvernement dentreprise et obligation de contrle des risques
COSO II

Cartographie des risques informatiques 8 avril 2010

 Elments gnriques sur les risques
Tendance COSO II
Le cube COSO visualise la gestion du risque en trois dimensions : du point de
vue des objectifs de lentreprise tel le contrle interne, les composantes de la
gestion du risque lchelle de lentreprise et lorganisation de lentreprise.

Cartographie des risques informatiques 8 avril 2010

Tendance ISO 2700x

Cartographie des risques informatiques 8 avril 2010

 Le risque informatique est-il spcifique ?
Dans Risk IT (ISACA) :
Le risque informatique peut tre dsign comme le risque
mtier associ lutilisation, la possession, lexploitation,
limplication, linfluence et ladoption de linformatique dans une
organisation.
Exemples et Lien risques mtiers
Interruption des activits dune entreprise en raison dune
indisponibilit du SI :
panne dun composant du rseau (par exemple un routeur)
incendie de la salle machine
intrusion dun pirate et destruction des bases de donnes
plan de secours nayant pas suivi les volutions rcentes des
systmes
Cartographie des risques informatiques 8 avril 2010
 Le risque informatique est-il spcifique ?
Exemples et Lien risques mtiers
Fraude sur les systmes de paiement :
accs inappropri aux donnes : possibilit dintervention directe sur
les fichiers dinterface, sans supervision
absence de contrles au sein des processus achats : 3-way match
principle
anomalies de sparation des tches au sein de la communaut
dutilisateurs : le demandeur nest pas lacheteur
pas doutil de dtection danomalies en place sur les donnes :
modification des donnes fournisseurs
capacit des quipes informatiques intervenir sur le code source
des applications et mettre en production sans point de contrle

Cartographie des risques informatiques 8 avril 2010

Construction dune cartographie des risques :
quel modle proposer ?
Agenda

Introduction - Prsentation du groupe de travail

Elments gnriques sur les risques
Retours dexprience
Enseignements
Conclusions

Cartographie des risques informatiques 8 avril 2010

 Retours dexprience
Structure des retours dexprience selon la fiche
tmoignage :
Contexte de la cartographie
Objectif de la cartographie
Acteurs concerns
Dmarches
Reprsentations

Cartographie des risques informatiques 8 avril 2010

 Retours dexprience
- Contexte de la cartographie
Une rponse la monte des exigences rglementaires
concernant les risques
Dmarche de scurisation des actifs SI
Volont de la Direction Gnrale
Structuration des dmarches de gestion des risques et de
contrle interne
Management oprationnel par les risques

Cartographie des risques informatiques 8 avril 2010

 Cartographie des risques Etat de lart
4 types de cartographies identifis
cartographie des risques Groupe
pour dcision et action de gestion du responsable du risque
pour suivre la matrise des principaux risques de lentreprise
cartographie des risques pour construction du plan daudit
pour identifier lexposition au risque et dfinir le plan daudit
cartographie des risques Scurit de linformation
pour protger au plus efficient les actifs du SI au regard des menaces quils
encourent
cartographie des risques propres la Fonction SI
pour piloter les processus, la fonction SI, et la russite des projets

Cartographie des risques informatiques 8 avril 2010

 Retours dexprience
- Acteurs concerns
Ce sont toujours les mmes, mais plus ou moins impliqus selon les
contextes :
La fonction SI
La filire Scurit
LAudit Interne
Les Mtiers
La Gestion des Risques
Le Contrle interne
La Direction Gnrale

Cartographie des risques informatiques 8 avril 2010

 Retours dexprience
- Dmarche (1/3)
Les dmarches sont souvent structures et formalises,
Plusieurs dmarches peuvent co-exister au sein dune
organisation, mais elles restent gnralement
indpendantes,
Diffrents impacts lis aux risques SI sont traits :
oprationnels, financiers, rglementaires,
Des approches Top-Down (pour la DG, pour le
rglementaire) ou Bottom-Up (pour la scurit, le pilotage
SI),

Cartographie des risques informatiques 8 avril 2010

 Retours dexprience
- Dmarche (2/3)
Des inputs de plus en plus nombreux
Menaces, incidents, rsultats daudits internes et externes, dires dexperts,
statistiques
Lvaluation de limpact financier est rare,
Les risques bruts (ou inhrents) et les risques nets (ou rsiduels)
sont gnralement pris en compte,
Mthodes et rfrentiels : on retrouve les standards du contrle
interne SI et de la scurit
Cobit, COSO, ISO 27xxx,
Mais galement des mthodes internes,

Cartographie des risques informatiques 8 avril 2010

 Retours dexprience
- Dmarche (3/3)
Un outillage divers, plus ou moins sophistiqu
Questionnaires, tableurs, listes de risques, progiciel de gestion des risques
La charge de travail initiale dpend du primtre de lanalyse, mais
elle est gnralement consquente
par exemple, 20-25 jours par branche pour une cartographie Direction
Gnrale
La frquence de mise jour est souvent annuelle pour les
cartographies Groupe et Audit interne et peut-tre trimestrielle pour
les cartographies oprationnelles

Cartographie des risques informatiques 8 avril 2010

 Retours dexprience
- diffrentes reprsentations (1/4)
Par exemple :
Schma gnrique Schma Contrle Interne

Probabilit
Probabilit
doccurrence
de la menace rduction de
Risques forts
l impact

Risques moyens
rduction de la
probabilit de la
probabilit
menace
Risques faibles

Mesure de
limpact

Cartographie des risques informatiques 8 avril 2010

 Retours dexprience
- diffrentes reprsentations (2/4)
Cartographie des risques SI
Probabilit Gestion non matrise des licences
1
d'occurrence informatiques
Allocation des ressources non optimise 2 2
concernant des projets informatiques
Frquente
7
5 3 4

Accs non autoris des donnes

3
confidentielles concernant les salaris
Mauvaise gestion des habilitations suite
aux mouvements de personnel 4

Risque d'erreurs li es une mauvaise

utilisation et connaissance du systme 5
d'information

Occasionnelle Risque li l'appauvrissement et la perte

de connaissance des outils informatiques 6
Risque daccs linformation stratgique
par des personnes internes/externes au 8 8
service et la socit

Erreurs gnres par les outils Risque d'accs illicite au systme /

informatiques supportant la maintenance 9 9 7
piratage de fichiers commerciaux
des quipements

Rare
Perte de continuit de services 11
informatiques Impact
Obsolescence de vieilles applications 10 potentiel sur
les objectifs

Faible Moyen Fort

Cartographie des risques informatiques 8 avril 2010

 Retours dexprience
- Diffrentes reprsentations (3/4)
Reprsentation en rosace

Cartographie des risques informatiques 8 avril 2010

 Retours dexprience
- Diffrentes reprsentations (3/4) Actifs

Quantification

ion

es
si
plo ,
itat

air
e

la D
e d anc

ls
x

tilit
eau

trie
m ten

tu
de
'ex

us
rs
e

ee
qu

yst main

ue
/Ind
ue

ns
mi

rgi
arq
q

urs
i

tio
na

ne
n o ce, de
a

m
t

lica
dy

es

sse

ns
n
e
ble

us

tio
ge
kag

se
rni
i

ue
e
v

t ap
rta

ma
r
cka

g
r

tie

yen
ou
e
toc

siq
s

ma
po

tier

for
se

SI
tio

t/F
sto

l de

nm
es

hy

o
n, I
ns

/ In
m

et m
ure
tra

me

tan
ixe

ep
de

sd
tra

icie

tio
es
atio
inis

nis
f

ect

es
ts

-tra

tr
nn

ica
ort

ort
iel
iel

ce
g

plic

rga
dm
Lo

hit

rim
rso
tivi
tr
tr

nn
pp

rtif
pp

us

rvi
Arc
Ma
Ma

L'o
d'a

Ap

Do
Ac

So

Ce
Su

Su

Se
P
Pe
31 6 16 20 29 41 44 16 30 1 30 31 37 0 151
Perte ou altration des preuves empchant
6
toute investigation 0 0 1 0 1 0 0 0 0 0 0 3 0 0 1
Dsaccord, sanction des autorits de tutelle ou
25
sanction pnale 0 0 0 0 0 0 1 4 1 1 5 6 0 0 7

Perte de certification 16
0 0 0 0 0 1 0 4 4 0 0 6 0 0 1
Intrusion de personne 16 10
1 0 0 1 0 0 0 0 0 0 2 0 0 2
Menaces

Menaces physiques (Incendies, inondations,

13 8
tremblements de terre) 1 1 0 1 0 0 0 0 0 0 1 0 0 1
Dfaillance des prestations de tiers 18
0 1 1 0 0 4 1 3 4 0 0 1 0 0 3
Interruption des activits mtiers 11
0 0 0 0 0 3 0 0 6 0 0 0 0 0 2

Accs non autioris 72

3 1 2 2 6 12 6 0 7 0 3 1 11 0 18

Abus de droits 15
0 0 0 0 1 3 0 2 2 0 1 2 0 0 4

Reniement d'actions 12
0 0 1 0 2 2 0 0 0 0 2 2 0 0 3

Cartographie des risques informatiques 8 avril 2010

Construction dune cartographie des risques :
Quel modle proposer ?
Agenda

Introduction - Prsentation du groupe de travail

Elments gnriques sur les risques
Retours dexprience
Enseignements
Conclusions

Cartographie des risques informatiques 8 avril 2010

 ENSEIGNEMENTS (1/2)
Difficult de comprhension par les mtiers de
certains critres de linformation, notamment
Efficacit et Fiabilit
Pas dvaluation scientifique
Subjectivit dans lidentification et lvaluation des
risques
Htrognit et granularit des risques

Cartographie des risques informatiques 8 avril 2010

 ENSEIGNEMENTS (2/2)
Consolidation difficile
Niveaux de maturit ou de sensibilit diffrents
Primtre de la dmarche
Mobilisation des ressources
Vocabulaire : pas de dfinition unique dune entreprise une autre et au sein dune
mme entreprise : Menace, risque de scurit, risque mtier, risque oprationnel

Constat gnral :
Il ny a pas de cartographie unique et il apparat que cela
naurait pas forcment de sens.

Cartographie des risques informatiques 8 avril 2010

Construction dune cartographie des risques :
Quel modle proposer ?

Agenda

Introduction - Prsentation du groupe de travail

Elments gnriques sur les risques
Retours dexprience
Enseignements
Conclusions

Cartographie des risques informatiques 8 avril 2010

 Conclusions (1/2)
Concilier diversit et cohrence densemble

Effectuer un travail amont de clarification du vocabulaire et des

notions retenus
Conserver les initiatives locales rpondant des besoins
spcifiques de management oprationnel : scurit, audit interne,
contrle interne, DSI, Mtiers
Mais, mettre en place un pilotage global de la gestion des risques
informatiques
vision globale des initiatives, maintien de la cohrence et pertinence,
optimisation des moyens, matrise de la communication et du
reporting en matire de risque

Cartographie des risques informatiques 8 avril 2010

 Conclusions (2/2)
Concilier diversit et cohrence densemble

Etablir un rfrentiel des risques informatiques

Choisir un outil afin de faciliter le partage et la consolidation
des risques
Avoir une vision intgre des dmarches connexes propres
linformatique : Qualit, ITIL, Gouvernance, Scurit,
Etablir la contribution de la gestion des risques
informatiques la gestion globale des risques de
lentreprise

Cartographie des risques informatiques 8 avril 2010

 Annexe. Actualit des associations
professionnelles
AMRAE : Association pour le management des risques et des assurances de lentreprise
Groupe de travail Cartographie des risques - ouvrage publi en 2007

AFAI : Association Franaise de lAudit Informatique

Baromtre - enqute qui tablit un tat des lieux de la gestion des risques informatiques dans les
entreprises, leurs perceptions et les actions entreprises pour les maitriser
Groupe de travail Cartographie des risques
Tmoignages et publication dun ouvrage mthodologique courant 2008
IFACI
Enqute
Cahier de recherche Cartographie des risques publi en 2003

Cartographie des risques informatiques 8 avril 2010

Backup

Cartographie des risques informatiques 8 avril 2010

 DROUL/MODE DE FONCTIONNEMENT
Guide de constitution de louvrage :
Introduction : lancer le sujet et notamment le positionner par rapport la cartographie globale des
risques dune organisation
Pourquoi la cartographie
Justification
Dfinition
Mthode
Quels acteurs ?
Comment raliser la cartographie ?
Quelle dmarche ?
Quels outils mettre en uvre ?
Mise jour et priodicit
Tmoignages
Fiche selon format ci-aprs
Glossaire
Bibliographie

Cartographie des risques informatiques 8 avril 2010

 Le risque informatique est-il spcifique ?
Existe-t-il / Faut-il des catgories de risques informatiques
Recours des catgories facilite le travail sur les risques
guide pour le recensement
communication sur les risques informatiques dans un cadre partag
exemple : catgorisation du modle Risk IT de lISACA
les risques portant sur la fourniture du service, lis la disponibilit
et la performance des systmes au quotidien ;
les risques portant sur la livraison des nouvelles solutions aux
utilisateurs, et notamment les projets ;
les risques portant sur les opportunits (et notamment les
opportunits rates) de rendre plus efficaces les processus mtiers
en sappuyant sur les volutions de la technologie.

Cartographie des risques informatiques 8 avril 2010

 Conclusion
laborer une cartographie des risques informatiques est
possible et les bnfices sont rels.
Toutefois, quand des risques ont t exprims et partags
au sein dune organisation, on ne peut plus ne rien faire.
Lenjeu rel porte donc plus sur lutilisation de la
cartographie que sur la cartographie elle-mme.
Les risques sont dynamiques (surtout sur un sujet
technologique) et la vision que lon en a doit ltre aussi.
Cest donc tout un processus de gestion des risques
informatiques qui doit donc tre mis en uvre.

Cartographie des risques informatiques 8 avril 2010