Quelle méthodes d'analyse des risques utilisez-vous ?

cyberzoide · 19/08/2006, 10h24

Quand le cadre de cet article : Normes de sécurité : les méthodes d'analyse des risques je réalise un sondage sur les méthodes d'analyse des risques utilisées par les membres du Club Developpez.com

Ainsi, vous pouvez me fournir les informations suivantes :
- nom de la méthode utilisée
- date de dernière utilisation
- taille de la structure (entreprise privé, organisme public...) auditée
- nombre de personnes impliquées dans la mise en oeuvre de la méthode
- résultats de la méthode ? succès ou échec, leçons retenues...
- mise en oeuvre en interne ou par une société de service ?

Petrus · 20/08/2006, 22h41

Salut Hugo,

Et bien voici une question qui tombe à pic pour moi. Je suis chargé de l etude de notre stratégie de DRP (continuité de l'activité) et je vais surement aboutir à des préconisations à l issue de l etude. Ton article va donc me fournir certains éléments de réflexion, mais à cette question je ne peux pour le moment pas répondre !.

Merci pour le choix du sujet en tout cas ;-)

cyberzoide · 21/08/2006, 09h50

pour ma part, dans le cadre d'un stage dans une grande entreprise d'informatique française, j'ai eu à réaliser l'étude des risques non pas du SI de l'entreprise tout entière, mais celui d'un projet dont j'avais - avec un costagiaire - la responsabilité

Nous avons développer une méthode spécifique dont le périmètre était limité à notre projet et prenant en compte les aspects techniques, humains, environnementaux et organisationnels.

A partir des procédures documenéts déjà existantes de l'entreprise et des cours sur la gestion des risques que nous avions eu à la fac, nous avons développer une méthode à nous et précéder à l'analyse des risques et mis au point des indicateurs de contrôle du risque et de la qualité.

Ceci c'est fait en parallèle à une démarche qualité rigoureuse du projet.

Résultat : des risques pourtant réduits se sont produts en cascade ! sans compromettre le projet cependant. ça été l'occasion de se proter à ce type de méthodes et à une mentalité de gestion des risques

Le plus dur reste à mon avis la réappréciation régulière des risques.

annickl · 31/08/2006, 05h26

Hello, j'aime beaucoup ce thème. J'ai en tête trois sujets récents, mais comme je n'aurais pas le temps ce soir, voici le premier :

1. Contexte : Déménagement de locaux des services informatiques, déménagement à distance des serveurs de BDD, avec TMA partielle, changement de version des BDD, changement de technologie de stockage, entre autres

nom de la méthode utilisée : aucune, interne et empirique, basée sur l'expérience et l'implication des principaux acteurs, avec "scrutation" par des externes (MOA, Direction) . Autrement dit, sans formalisation a priori, plutôt du style "brain storming" : identification des risques, information, mesures des retombées et coûts possibles par les scrutateurs et informaticiens, identification et mesure du coût des solutions de repli ; délégation très forte aux responsables opérationnels pour les actions à mener. Comité de suivi général (ie pas dédié spécifiquement aux risques mais aussi à l'organisation et au déroulement du projet) hebdo, avec droit d'alerte ou de mobilisation théoriquement immédiat.
- date de dernière utilisation : 2003 -2004 (préparation 8 mois, opération mise en oeuvre du projet en trois jours), suivi 1 mois
- taille de la structure auditée : 1000 personnes, dans un contexte de fusion (disparité des habitudes de travail et des référentiels de compétences, éloignement des deux équipes informatiques). Groupe de filiales d'un grand groupe bancaire. A noter que outre la compexité technique du projet, il y avait un très fort aspect "politique" : ce projet de rapprochement/mutation informatique était l'un des premiers "grands" projet à être mis en oeuvre ; sa réussite ou son échec semblait déterminant pour donner le "LA" de la fusion.
- nombre de personnes impliquées dans la mise en oeuvre de la méthode : difficile à dire, en l'absence de structures dédiées spécifiquement à "la méthode", l'analyse des risques faisant intégralement partie de la conduite de projet. Sur les aspects analyses du risque, on peut toutefois considérer qu'ont été impliquées : le comité de projet (10 personnes), une majoritaire partie des équipes d'exploitation, systèmes, réseaux, et DBA, (20 personnes au moins sur l'ensemble), et enfin, de façon plus informative, l'équipe de Direction-décisionnaire-en-cas-de-gros-pépin (6 personnes), les autres directeurs susceptibles d'être impactés en cas de plantage, les autres des équipes informatiques cités plus ceux du développement..
- résultats de la méthode ? succès ou échec, leçons retenues...
Pas vu, pas pris..... Le déménagement des serveurs de A et B vers C correspondait aussi à un déménagement du personnel de D et B vers E. Donc pot d'accueil. Pour s'assurer que chacun avait bien trouvé sa plante verte en cadeau. La réussite du projet de migration a été aussi citée : "Et sur le plan informatique, vous ne vous êtes rendu compte d'absolument rien? ...Silence....Normal, ils ont bien travaillé!".
Un bel hommage en somme...
- mise en oeuvre en interne ou par une société de service ?Interne donc.

EvilAngel · 19/08/2008, 10h33

Salut à tous,

Je relance ce sujet car je suis tout a fait intéressé par ce sujet.
Je souhaiterai mettre en oeuvre une analyse de risque sécurité informatique dans mon entreprise.

Mais il s'agit d'une moyenne structure (environ 100 personnes).

Je pense que EBIOS est trop lourd pour une si petite structure.

Vous avez une méthode à me conseiller orientée PME/PMI ?

Merci

bileldjou · 22/03/2011, 12h00

Peut on considéré l'application de la norme ISO 20005 une méthode indépendante?

19/08/2006, 10h24	#1
cyberzoide Membre Expert Inscription : mai 2002 Messages : 1 290 Détails du profil Informations personnelles : Âge : 31 Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : mai 2002 Messages : 1 290 Points : 2 071 Points : 2 071	Quelle méthodes d'analyse des risques utilisez-vous ? Quand le cadre de cet article : Normes de sécurité : les méthodes d'analyse des risques je réalise un sondage sur les méthodes d'analyse des risques utilisées par les membres du Club Developpez.com Ainsi, vous pouvez me fournir les informations suivantes : - nom de la méthode utilisée - date de dernière utilisation - taille de la structure (entreprise privé, organisme public...) auditée - nombre de personnes impliquées dans la mise en oeuvre de la méthode - résultats de la méthode ? succès ou échec, leçons retenues... - mise en oeuvre en interne ou par une société de service ? __________________ Cours systèmes : systèmes temps réels, distribués, embarqués, tolérants aux fautes, parallèles, OS, architectures... Le dictionnaire des développeurs : des milliers de définitions illustrées liées aux tutoriels de Developpez
	10

20/08/2006, 22h41	#2
Petrus Rédacteur Inscription : mars 2002 Messages : 415 Détails du profil Informations personnelles : Âge : 32 Informations forums : Inscription : mars 2002 Messages : 415 Points : 1 622 Points : 1 622	Salut Hugo, Et bien voici une question qui tombe à pic pour moi. Je suis chargé de l etude de notre stratégie de DRP (continuité de l'activité) et je vais surement aboutir à des préconisations à l issue de l etude. Ton article va donc me fournir certains éléments de réflexion, mais à cette question je ne peux pour le moment pas répondre !. Merci pour le choix du sujet en tout cas ;-) __________________ Bye... Petrus Article: le routeur-modem ADSL-WiFi D-Link DSL-G604T (Montavista) et le modem Thomson THG520. Articles Developpez.com (Java, UML, Linux, etc.) Blog Developpez.com Blog Personnel
	00

21/08/2006, 09h50	#3
cyberzoide Membre Expert Inscription : mai 2002 Messages : 1 290 Détails du profil Informations personnelles : Âge : 31 Localisation : France, Rhône (Rhône Alpes) Informations forums : Inscription : mai 2002 Messages : 1 290 Points : 2 071 Points : 2 071	pour ma part, dans le cadre d'un stage dans une grande entreprise d'informatique française, j'ai eu à réaliser l'étude des risques non pas du SI de l'entreprise tout entière, mais celui d'un projet dont j'avais - avec un costagiaire - la responsabilité Nous avons développer une méthode spécifique dont le périmètre était limité à notre projet et prenant en compte les aspects techniques, humains, environnementaux et organisationnels. A partir des procédures documenéts déjà existantes de l'entreprise et des cours sur la gestion des risques que nous avions eu à la fac, nous avons développer une méthode à nous et précéder à l'analyse des risques et mis au point des indicateurs de contrôle du risque et de la qualité. Ceci c'est fait en parallèle à une démarche qualité rigoureuse du projet. Résultat : des risques pourtant réduits se sont produts en cascade ! sans compromettre le projet cependant. ça été l'occasion de se proter à ce type de méthodes et à une mentalité de gestion des risques Le plus dur reste à mon avis la réappréciation régulière des risques. __________________ Cours systèmes : systèmes temps réels, distribués, embarqués, tolérants aux fautes, parallèles, OS, architectures... Le dictionnaire des développeurs : des milliers de définitions illustrées liées aux tutoriels de Developpez
	00

31/08/2006, 05h26	#4
annickl Membre régulier Inscription : mars 2006 Messages : 83 Détails du profil Informations forums : Inscription : mars 2006 Messages : 83 Points : 79 Points : 79	Méthode d'analyse de risque. Cas 1 Hello, j'aime beaucoup ce thème. J'ai en tête trois sujets récents, mais comme je n'aurais pas le temps ce soir, voici le premier : 1. Contexte : Déménagement de locaux des services informatiques, déménagement à distance des serveurs de BDD, avec TMA partielle, changement de version des BDD, changement de technologie de stockage, entre autres nom de la méthode utilisée : aucune, interne et empirique, basée sur l'expérience et l'implication des principaux acteurs, avec "scrutation" par des externes (MOA, Direction) . Autrement dit, sans formalisation a priori, plutôt du style "brain storming" : identification des risques, information, mesures des retombées et coûts possibles par les scrutateurs et informaticiens, identification et mesure du coût des solutions de repli ; délégation très forte aux responsables opérationnels pour les actions à mener. Comité de suivi général (ie pas dédié spécifiquement aux risques mais aussi à l'organisation et au déroulement du projet) hebdo, avec droit d'alerte ou de mobilisation théoriquement immédiat. - date de dernière utilisation : 2003 -2004 (préparation 8 mois, opération mise en oeuvre du projet en trois jours), suivi 1 mois - taille de la structure auditée : 1000 personnes, dans un contexte de fusion (disparité des habitudes de travail et des référentiels de compétences, éloignement des deux équipes informatiques). Groupe de filiales d'un grand groupe bancaire. A noter que outre la compexité technique du projet, il y avait un très fort aspect "politique" : ce projet de rapprochement/mutation informatique était l'un des premiers "grands" projet à être mis en oeuvre ; sa réussite ou son échec semblait déterminant pour donner le "LA" de la fusion. - nombre de personnes impliquées dans la mise en oeuvre de la méthode : difficile à dire, en l'absence de structures dédiées spécifiquement à "la méthode", l'analyse des risques faisant intégralement partie de la conduite de projet. Sur les aspects analyses du risque, on peut toutefois considérer qu'ont été impliquées : le comité de projet (10 personnes), une majoritaire partie des équipes d'exploitation, systèmes, réseaux, et DBA, (20 personnes au moins sur l'ensemble), et enfin, de façon plus informative, l'équipe de Direction-décisionnaire-en-cas-de-gros-pépin (6 personnes), les autres directeurs susceptibles d'être impactés en cas de plantage, les autres des équipes informatiques cités plus ceux du développement.. - résultats de la méthode ? succès ou échec, leçons retenues... Pas vu, pas pris..... Le déménagement des serveurs de A et B vers C correspondait aussi à un déménagement du personnel de D et B vers E. Donc pot d'accueil. Pour s'assurer que chacun avait bien trouvé sa plante verte en cadeau. La réussite du projet de migration a été aussi citée : "Et sur le plan informatique, vous ne vous êtes rendu compte d'absolument rien? ...Silence....Normal, ils ont bien travaillé!". Un bel hommage en somme... - mise en oeuvre en interne ou par une société de service ?Interne donc.
	00

19/08/2008, 10h33	#5
EvilAngel Membre régulier Inscription : avril 2004 Messages : 236 Détails du profil Informations forums : Inscription : avril 2004 Messages : 236 Points : 74 Points : 74	Salut à tous, Je relance ce sujet car je suis tout a fait intéressé par ce sujet. Je souhaiterai mettre en oeuvre une analyse de risque sécurité informatique dans mon entreprise. Mais il s'agit d'une moyenne structure (environ 100 personnes). Je pense que EBIOS est trop lourd pour une si petite structure. Vous avez une méthode à me conseiller orientée PME/PMI ? Merci
	00

22/03/2011, 12h00	#6
bileldjou Invité de passage Bilel Manai Développeur informatique Inscription : mai 2009 Messages : 1 Détails du profil Informations personnelles : Nom : Bilel Manai Localisation : Tunisie Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : mai 2009 Messages : 1 Points : 1 Points : 1	Peut on considéré l'application de la norme ISO 20005 une méthode indépendante?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email