Académique Documents
Professionnel Documents
Culture Documents
Communiquer
• Gouvernance : méthode d’analyse de risques, etc.
• Organisation : direction des risques, direction de l’audit & du contrôle interne, DSI, etc..
Suivre
• Outils : inventaire d’actifs, portfolio des risques, plan de traitement des risques (PTR), etc. Analyser les risques
• L’analyse des risques est un outil de pilotage qui alimente le processus de gestion des
risques
• Elle permet de justifier les plans d’actions et les budgets
Décider et traiter les
risques
L’analyse des risques est la clé de voûte du processus de gestion des risques
Privilégier une adaptation pragmatique des méthodes du marché en les adaptant au contexte et aux besoins
112
Source ANSSI
1 2 3
Étude du contexte
Étude des menaces
et expression des Cartographie des risques
et des vulnérabilités
besoins de sécurité
Cette démarche peut être appliquée pour l’analyse d’autres types de risques, avec quelques adaptations
113
Source ANSSI
La sûreté de fonctionnement consiste à maitriser les risques industriels, d’une part les défaillances des
systèmes industriels et d’une autre part les erreurs et les défaillances humaines, pour éviter ou minimiser
les conséquences sur les personnes, les biens, la productivité ou encore l’environnement.
Celle-ci est souvent confondue à tort avec la cybersécurité bien que les enjeux, la nature des menaces et la
gestion des risques associées soient différentes.
L’approche sûreté n’est pas suffisante pour faire face à toutes les « menaces ». La sûreté de
fonctionnement a donc besoin de la cybersécurité. De nombreux travaux en sont en cours pour
intégrer la cybersécurité dans les exigences de sûreté de fonctionnement.
QU’EST-CE QU’UN RISQUE ?
Niveau Valeur Impacts humains Impacts environnementaux Impacts consécutifs à l'arrêt du service rendu
Visible uniquement
Sans effet sur l’état du Sans effet sur les
1 Mineure
patient processus de l’activité
Sans impact financier en interne
Divulgation limitée
La vraisemblance traduit la faisabilité d’un risque. Elle dépend essentiellement des vulnérabilités
des supports face aux menaces et des capacités des sources de risques à les exploiter.
Echelle de vraisemblance
Théoriquement possible mais jamais rencontré dans l’établissement ou réalisable dans des conditions très
1 Exceptionnel
difficiles; événement très rare s’il s’agit d’un accident ( une fois sur plusieurs dizaines d’années)
Déjà rencontré une ou plusieurs fois (moins d’une fois par an) ou réalisable dans des conditions difficiles ou
2 Peu probable
malveillance présentant peu d’intérêt
Rencontré assez fréquemment, réalisable avec des moyens limités en cas de malveillance ou de probabilité très
3 Plausible
plausible pour un incident involontaire (au moins une fois par an)
Cas systématique ou fréquent (plusieurs fois par an), réalisable facilement, avec un intérêt évident en cas de
4 Quasi certain
malveillance
4
Critique
Importante 3
Significative
2
Mineure
1
1 2 3 4 Vraisemblance
Exceptionnel Peu probable Plausible Quasi-certain
Intégrité
Valeur Description
1 Un perte d’intégrité des informations ou des fonctions n’a pas de conséquence significative
2 Un perte d’intégrité des informations ou des fonctions est dommageable (saisies supplémentaires, délais) -
Quelques erreurs sont tolérées.
3 Une perte d’intégrité des informations ou des fonctions est grave, portant atteinte aux intérêts d’un client,
ou entraînant des pertes financières limitée - Très peu d’erreurs sont tolérées.
4 Une perte d’intégrité des informations ou des fonctions est très grave - Aucune erreur n’est tolérée.
Confidentialité
Valeur Description
1 Une perte de confidentialité des informations n’a pas de conséquence significative – info publique
2 Une perte de confidentialité des informations est dommageable – accès protégé
3 Une perte de confidentialité des informations est grave – accès restreint - info nominative
4 Une perte de confidentialité des informations est très grave - secret médical est renforcé
Vulnérabilité: caractéristique d'une entité qui peut constituer une faiblesse ou une faille au regard de la sécurité de
l'information. Ces vulnérabilités peuvent être organisationnelle (ex: pas de politique de sécurité), humaine (ex: pas
de formation des personnels), logicielles ou matérielles (ex: utilisation de produits peu fiables ou non testés),...
Exemple: les fichiers sur les ordinateurs portables ne sont pas chiffrés.
Impact: conséquence sur l'organisme de la réalisation d'une menace. L'impact peut être exprimé financièrement, ou
dans une échelle qui dépend du contexte
Impact financier ou pertes financières
Impact sur la production
Impact sur l’image de marque et les responsabilités (juridique) : engagement de responsabilités
Impact sur l’organisation de l’établissement (désorganisation …)
Partage du risque: partage avec une autre partie de la charge de la perte d’un
risque particulier (souscription d’assurance par exemple)
Gestion des
risques
Définitions, Norme
métriques et ISO/IEC
illustrations 27005
Méthodes
d’analyse de
risques