PO9 valuer et grer les risques informatiques

Un rfrentiel de gestion des risques est cr et maintenu niveau. Ce rfrentiel documente un niveau de risques informatiques commun et agr, des stratgies pour leur rduction et les risques rsiduels. Tout impact potentiel d'un vnement imprvu sur les objectifs de l'entreprise est identifi, analys et valu. Des stratgies de rduction des risques sont adoptes pour ramener le risque rsiduel un niveau acceptable. Le rsultat de l'valuation doit tre comprhensible par les parties prenantes et exprim en termes financiers pour permettre ces parties de prconiser le niveau de risque tolrable.
Objectif de contrle Inducteurs de valeur Inducteurs de risque

98
2008 AFAI. Tous droits rservs. www.afai.fr

GUIDE DAUDIT DES SI : UTILISATION DE COBIT

PO9.1 Rfrentiel de gestion des risques informatiques Mettre en place un rfrentiel de gestion des risques informatiques aligns sur le rfrentiel de gestion des risques de l'entreprise.

Approche cohrente de la gestion des risques informatiques Gestion efficace des risques informatiques valuation permanente des menaces et des risques informatiques pesant sur l'entreprise Approche largie de la gestion des risques informatiques

Risques informatiques et risques mtiers grs sparment Non dtection de l'impact d'un risque informatique sur l'entreprise Matrise des cots insuffisante en matire de gestion des risques Chaque risque est considr comme une menace distincte sans tre pris en compte dans un contexte global Soutien inefficace de la direction gnrale en matire d'valuation des risques

Evaluer les contrles

Dterminer si le rfrentiel de gestion des risques informatiques est en harmonie avec le rfrentiel de gestion des risques de l'entreprise et s'il inclut des composants orients mtiers pour la stratgie, les programmes, les projets et les activits. Examiner la classification des risques informatiques pour s'assurer qu'ils sont bass sur un socle commun de caractristiques issues du rfrentiel de gestion des risques d'entreprise. Dterminer si l'estimation des risques informatiques est standardise et hirarchise et si elle tient compte de facteurs aligns sur le rfrentiel de gestion des risques d'entreprise (impact, acceptation du risque rsiduel et probabilits). S'assurer que les risques informatiques sont pris en compte dans l'laboration et la vrification des plans informatiques stratgiques.

Objectif de contrle

Inducteurs de valeur

Inducteurs de risque

PO9.2 tablissement du contexte du risque tablir le contexte dans lequel s'applique le cadre d'valuation du risque pour s'assurer d'obtenir les rsultats appropris. Cela implique de dterminer le contexte interne et externe de chaque valuation du risque, le but de l'valuation et les critres de cette valuation.

Utilisation efficace et efficiente des ressources pour la gestion des risques Harmonie entre les priorits de gestion des risques et les besoins mtiers Focalisation sur les risques importants et significatifs Hirarchisation des risques

Risques insignifiants considrs comme importants Risques importants ne bnficiant pas de l'attention qu'ils mritent Approche inapproprie de l'valuation des risques

Evaluer les contrles

Vrifier et confirmer qu'un contexte de risque appropri a t dfini conformment aux principes et aux rgles de gestion des risques d'entreprise et qu'il tient compte des processus (systmes, gestion de projets, cycles de vie des applications logicielles, gestion des activits et services informatiques, etc.). Il convient galement de tenir compte des facteurs de risque internes et externes. Dterminer si le contexte de risque informatique est communiqu et compris.

PO9 valuer et grer les risques informatiques (suite)

Objectif de contrle Inducteurs de valeur Inducteurs de risque

2008 AFAI. Tous droits rservs. www.afai.fr

PO9.3 Identification des vnements Identifier les vnements (menaces importantes et ralistes qui exploitent une vulnrabilit applicable significative) qui peuvent avoir un impact ngatif sur les objectifs ou les oprations de l'entreprise, dont l'activit, les aspects rglementaires et lgaux, la technologie, les partenaires commerciaux, les ressources humaines et le secteur oprationnel. Dterminer la nature des consquences et actualiser cette information. Enregistrer et tenir jour les donnes sur les risques significatifs dans un registre des risques.
Evaluer les contrles

Approche cohrente de l'identification des vnements risque Focalisation sur les vnements risque significatifs

Identification et focalisation sur des vnements risque insignifiants tandis que des vnements plus importants ne sont pas dtects

Examiner le processus permettant d'identifier les vnements potentiels et s'assurer que l'analyse tient compte de tous les processus informatiques. La conception du processus doit couvrir les vnements internes et externes. L'identification des vnements potentiels peut inclure les rsultats des anciens audits, inspections et incidents identifis, grce des listes de contrle, des ateliers et l'analyse de l'enchanement des oprations. Reprer les impacts identifis dans le registre des risques pour dterminer si ce dernier est complet, actualis et en harmonie avec la terminologie du rfrentiel de gestion des risques d'entreprise. Vrifier si des quipes pluridisciplinaires comptentes participent aux diffrentes activits d'identification des vnements et des consquences. Examiner un chantillon du registre des risques pour dterminer l'importance des menaces, des vulnrabilits et de l'impact, et analyser l'efficacit du processus visant identifier, consigner et valuer les risques.

Objectif de contrle

Inducteurs de valeur

Inducteurs de risque

PO9.4 valuation du risque valuer rgulirement la probabilit et les consquences de tous les risques identifis, en utilisant des mthodes qualitatives et quantitatives. La probabilit et les consquences associes aux risques inhrents et rsiduels doivent tre dtermines individuellement, par catgorie et par portefeuille.

Amlioration de la planification et de l'utilisation des comptences et des ressources en matire de gestion des risques informatiques Crdibilit organisationnelle des quipes en charge de l'valuation des risques informatiques Transfert des connaissances entre les gestionnaires des risques Mise en place d'une action de sensibilisation la valeur des actifs informatiques

Risques insignifiants considrs comme importants Chaque risque est considr comme un vnement distinct sans tre pris en compte dans un contexte global Incapacit dcrire les risques importants au management Risques significatifs ventuellement non dtects Perte d'actifs informatiques Atteinte la confidentialit ou l'intgrit des actifs informatiques

Evaluer les contrles

Examiner le processus de gestion des risques pour dterminer si les risques inhrents et rsiduels sont identifis et documents. Vrifier et confirmer que le processus de gestion des risques value les risques identifis de faon qualitative et/ou quantitative. Inspecter les documents du projet et la documentation annexe pour valuer le bien-fond de l'valuation qualitative et quantitative des risques. Examiner le processus pour dterminer si les sources d'information utilises dans l'analyse sont raisonnables. Inspecter l'utilisation de l'analyse statistique et la dtermination des possibilits pour mesurer la probabilit de faon qualitative ou quantitative. Vrifier et confirmer l'identification de corrlations entre les risques. Examiner les corrlations pour vrifier si elles prsentent des rsultats d'impact et de vraisemblance trs diffrents dcoulant de ces relations.

ANNEXE II

99

PO9 valuer et grer les risques informatiques (suite)

Objectif de contrle Inducteurs de valeur Inducteurs de risque

100
2008 AFAI. Tous droits rservs. www.afai.fr

GUIDE DAUDIT DES SI : UTILISATION DE COBIT

PO9.5 Rponse au risque Dvelopper et tenir jour un processus de rponse au risque pour s'assurer que des contrles rentables rduisent en permanence l'exposition aux risques. Ce processus doit proposer des stratgies comme l'vitement, la rduction, le partage et l'acceptation, dterminer les responsabilits connexes et tenir compte des niveaux de tolrance au risque.
Evaluer les contrles

Gestion efficace des risques Approche cohrente de l'attnuation des risques Rentabilit de la rponse au risque

Rponses aux risques inefficaces Risques mtiers rsiduels non identifis Utilisation inefficace des ressources pour rpondre aux risques Confiance excessive dans les contrles insuffisants existants

Dterminer si les rsultats de l'valuation des risques ont t affects une rponse d'attnuation pour viter, transfrer, rduire, partager ou accepter chaque risque et s'aligner sur les mcanismes permettant de grer les risques dans l'entreprise.

Objectif de contrle

Inducteurs de valeur

Inducteurs de risque

PO9.6 Maintenance et surveillance d'un plan d'action vis--vis des risques tablir les priorits et planifier les activits de contrle tous les niveaux pour mettre en place les rponses aux risques considres comme ncessaires, sans oublier l'valuation des cots et des bnfices, et la responsabilit de leur mise en uvre. Obtenir l'approbation pour les actions recommandes et l'acceptation de tous les risques rsiduels, et s'assurer que les propritaires des processus affects par le risque assument aussi la proprit des actions entreprises. Surveiller l'excution des plans et signaler tout cart au management.
Evaluer les contrles

Gestion efficace des risques valuation permanente des risques et menaces pesant sur l'entreprise

Contrles d'attnuation des risques ne fonctionnant pas comme prvu Contrles de compensation s'cartant des risques identifis

Dterminer si les risques accepts sont officiellement reconnus et enregistrs dans un plan d'action vis--vis des risques. valuer l'adquation des lments du plan de gestion des risques. Vrifier et confirmer que l'excution, les points de situation et les disparits sont surveills. Examiner les rponses aux risques pour vrifier l'existence d'approbations appropries. Examiner les actions entreprises pour vrifier si la proprit est affecte et documente. S'assurer que le plan d'action fait l'objet de mises jour et de rajustements efficaces.

ANNEXE II
Evaluer le rsultat des objectifs de contrle : Vrifier si les niveaux de tolrance au risque informatique sont aligns sur les niveaux de tolrance au risque d'entreprise. Dterminer si la tolrance au risque d'entreprise est prise en compte dans l'laboration de la stratgie informatique et de la stratgie mtiers. Vrifier s'il existe un processus visant appliquer les niveaux de tolrance au risque d'entreprise aux dcisions de gestion des risques informatiques. Dterminer si des analyses comparatives des rfrentiels d'valuation des risques ont t effectues par rapport des entreprises similaires, aux normes internationales concernes et aux meilleures pratiques du secteur. Vrifier si les responsabilits oprationnelles et les responsabilits finales relatives aux risques sont comprises et acceptes. Vrifier si les comptences appropries et les ressources ncessaires sont disponibles pour la gestion des risques. Interroger les principaux employs concerns pour dterminer si le mcanisme de contrle, son but, ainsi que les responsabilits oprationnelles et les responsabilits finales sont compris et appliqus. Dterminer si les activits sont efficacement intgres dans les processus de gestion des SI. Examiner si les impacts identifis sont intressants et significatifs pour l'entreprise ou s'ils sont surestims ou sous-estims. Dterminer si les quipes pluridisciplinaires participent au processus d'analyse des vnements. Vrifier, par le biais d'entretiens et de rapports d'impact, si les membres du groupe de travail sur l'identification des vnements bnficient d'une formation approprie sur le rfrentiel de gestion des risques d'entreprise. Vrifier si les interdpendances et les probabilits sont identifies avec prcision lors de l'valuation de l'impact. Examiner les corrlations pour vrifier si elles prsentent des rsultats d'impact et de vraisemblance trs diffrents dcoulant de ces relations. Examiner le processus de gestion des risques pour dterminer si les sources d'information utilises dans l'analyse sont raisonnables. Inspecter l'utilisation de l'analyse statistique et la dtermination des possibilits pour mesurer la probabilit du risque de faon qualitative ou quantitative. Examiner le processus pour dterminer si les risques inhrents et rsiduels sont identifis et documents. Inspecter le plan d'action vis--vis des risques pour dterminer s'il identifie les priorits, les responsabilits, les chanciers, les rsultats escompts, l'attnuation des risques, les cots, les avantages, les mesures de performance et le processus d'analyse tablir. Examiner les rponses aux risques pour vrifier l'existence d'approbations appropries. Examiner les actions entreprises pour vrifier si la proprit est affecte et documente. S'assurer que le plan de gestion des risques fait l'objet de mises jour et de rajustements efficaces. Examiner et analyser les rsultats du plan d'action pour dterminer s'ils sont conformes aux recommandations du rfrentiel de gestion des risques et s'ils refltent les modifications des objectifs mtiers. Analyser le plan pour vrifier s'il tient compte du partage, de la rduction et de l'vitement des risques. Vrifier si les rponses aux risques inclure sont slectionnes en tenant compte des cots et des bnfices. Evaluer limpact des faiblesses de contrle : valuer la stratgie de gestion des risques informatiques pour dterminer si elle est en harmonie avec la stratgie de gestion des risques d'entreprise et si elle est conforme l'apptence pour le risque de l'entreprise. S'assurer que la possibilit de risques non identifis, d'une application inapproprie des ressources informatiques, du non-respect des exigences rglementaires et des objectifs de l'entreprise a t tudie. valuer la prcision et l'exhaustivit de l'identification des vnements, comprenant les risques non dtects, la compression inefficace des cots, les risques non attnus, les niveaux de risque cumul non contrls, la perte d'actifs de l'entreprise, le tort caus la rputation, les objectifs stratgiques non atteints et la non-conformit aux exigences rglementaires. valuer l'efficacit du plan d'action vis--vis des risques pour rduire les risques travers l'entreprise et examiner la corrlation entre le risque et l'attnuation. Examiner les rsultats du plan d'action pour valuer son efficacit et vrifier si les propritaires sont ractifs et interviennent temps en matire d'attnuation des risques. Examiner les activits d'attnuation des risques appliques aux menaces prsentant un risque lev pour valuer l'efficacit de la hirarchisation.

2008 AFAI. Tous droits rservs. www.afai.fr

101