Quelle méthodes d'analyse des risques utilisez-vous ?

Quand le cadre de cet article : Normes de sécurité : les méthodes d'analyse des risques je réalise un sondage sur les méthodes d'analyse des risques utilisées par les membres du Club Developpez.com

Ainsi, vous pouvez me fournir les informations suivantes :
- nom de la méthode utilisée
- date de dernière utilisation
- taille de la structure (entreprise privé, organisme public...) auditée
- nombre de personnes impliquées dans la mise en oeuvre de la méthode
- résultats de la méthode ? succès ou échec, leçons retenues...
- mise en oeuvre en interne ou par une société de service ?

Salut Hugo,

Et bien voici une question qui tombe à pic pour moi. Je suis chargé de l etude de notre stratégie de DRP (continuité de l'activité) et je vais surement aboutir à des préconisations à l issue de l etude. Ton article va donc me fournir certains éléments de réflexion, mais à cette question je ne peux pour le moment pas répondre !.

Merci pour le choix du sujet en tout cas ;-)

pour ma part, dans le cadre d'un stage dans une grande entreprise d'informatique française, j'ai eu à réaliser l'étude des risques non pas du SI de l'entreprise tout entière, mais celui d'un projet dont j'avais - avec un costagiaire - la responsabilité

Nous avons développer une méthode spécifique dont le périmètre était limité à notre projet et prenant en compte les aspects techniques, humains, environnementaux et organisationnels.

A partir des procédures documenéts déjà existantes de l'entreprise et des cours sur la gestion des risques que nous avions eu à la fac, nous avons développer une méthode à nous et précéder à l'analyse des risques et mis au point des indicateurs de contrôle du risque et de la qualité.

Ceci c'est fait en parallèle à une démarche qualité rigoureuse du projet.

Résultat : des risques pourtant réduits se sont produts en cascade ! sans compromettre le projet cependant. ça été l'occasion de se proter à ce type de méthodes et à une mentalité de gestion des risques

Le plus dur reste à mon avis la réappréciation régulière des risques.

Hello, j'aime beaucoup ce thème. J'ai en tête trois sujets récents, mais comme je n'aurais pas le temps ce soir, voici le premier :

1. Contexte : Déménagement de locaux des services informatiques, déménagement à distance des serveurs de BDD, avec TMA partielle, changement de version des BDD, changement de technologie de stockage, entre autres

nom de la méthode utilisée : aucune, interne et empirique, basée sur l'expérience et l'implication des principaux acteurs, avec "scrutation" par des externes (MOA, Direction) . Autrement dit, sans formalisation a priori, plutôt du style "brain storming" : identification des risques, information, mesures des retombées et coûts possibles par les scrutateurs et informaticiens, identification et mesure du coût des solutions de repli ; délégation très forte aux responsables opérationnels pour les actions à mener. Comité de suivi général (ie pas dédié spécifiquement aux risques mais aussi à l'organisation et au déroulement du projet) hebdo, avec droit d'alerte ou de mobilisation théoriquement immédiat.
- date de dernière utilisation : 2003 -2004 (préparation 8 mois, opération mise en oeuvre du projet en trois jours), suivi 1 mois
- taille de la structure auditée : 1000 personnes, dans un contexte de fusion (disparité des habitudes de travail et des référentiels de compétences, éloignement des deux équipes informatiques). Groupe de filiales d'un grand groupe bancaire. A noter que outre la compexité technique du projet, il y avait un très fort aspect "politique" : ce projet de rapprochement/mutation informatique était l'un des premiers "grands" projet à être mis en oeuvre ; sa réussite ou son échec semblait déterminant pour donner le "LA" de la fusion.
- nombre de personnes impliquées dans la mise en oeuvre de la méthode : difficile à dire, en l'absence de structures dédiées spécifiquement à "la méthode", l'analyse des risques faisant intégralement partie de la conduite de projet. Sur les aspects analyses du risque, on peut toutefois considérer qu'ont été impliquées : le comité de projet (10 personnes), une majoritaire partie des équipes d'exploitation, systèmes, réseaux, et DBA, (20 personnes au moins sur l'ensemble), et enfin, de façon plus informative, l'équipe de Direction-décisionnaire-en-cas-de-gros-pépin (6 personnes), les autres directeurs susceptibles d'être impactés en cas de plantage, les autres des équipes informatiques cités plus ceux du développement..
- résultats de la méthode ? succès ou échec, leçons retenues...
Pas vu, pas pris..... Le déménagement des serveurs de A et B vers C correspondait aussi à un déménagement du personnel de D et B vers E. Donc pot d'accueil. Pour s'assurer que chacun avait bien trouvé sa plante verte en cadeau. La réussite du projet de migration a été aussi citée : "Et sur le plan informatique, vous ne vous êtes rendu compte d'absolument rien? ...Silence....Normal, ils ont bien travaillé!".
Un bel hommage en somme...
- mise en oeuvre en interne ou par une société de service ?Interne donc.

Salut à tous,

Je relance ce sujet car je suis tout a fait intéressé par ce sujet.
Je souhaiterai mettre en oeuvre une analyse de risque sécurité informatique dans mon entreprise.

Mais il s'agit d'une moyenne structure (environ 100 personnes).

Je pense que EBIOS est trop lourd pour une si petite structure.

Vous avez une méthode à me conseiller orientée PME/PMI ?

Merci

Peut on considéré l'application de la norme ISO 20005 une méthode indépendante?

je suis étudiante de 2 année master audit et sécurité informatique , maintenant je prépare mon mémoire de fin d’étude intitule " manuel des procédures de la sécurité personnel " je tombe doute et je ne connu pas la norme ( 27001 , 27002 ou 27005) ou le méthode d'analyse des risques ( Marion , Ebios ou Méhari ..) a utilise pour élaborer le manuel , les clauses de la sécurité personnel a adopter et la méthode à appliquer pour l'analyse des risques guidez moi pour connaitre la démarche correcte . Merci d'avance.