01 DemarcheAnalyseDeRisques V2a 2

Max2G
Droit dauteur Max2G 2012 : Reproduction permise avec obligation dindiquer la source www.max2g.com
Dmarche danalyse de risques avec lAssistant Mhari

Lanalyse de risques est une approche de gestion permettant didentifier les risques ngatifs pouvant affecter une organisation et de dterminer les mesures pour en diminuer les consquences ou pour viter quils se concrtisent. Certains vnements se produisant dans le contexte daffaires peuvent avoir des impacts ngatifs sur le fonctionnement et mme sur la survie dune organisation. Il est donc essentiel que les gestionnaires prennent connaissance des risques lis ces vnements et mettent en place des mesures de protection appropries. Lobjectif est de rduire la probabilit que ces vnements se produisent et/ou de rduire les impacts qui pourraient en dcouler. Lidentification des risques et des mesures de protection constituent un dfi de taille pour lorganisation. Lutilisation dune mthode danalyse de risques et dun logiciel efficace doit tre envisage pour faciliter la tche de lquipe de gestion. Cet article dcrit la dmarche danalyse de risques avec lAssistant Mhari. Cette dmarche est spcifique Max2G et inclut les activits suivantes : 1. 2. 3. 4. 5. 6. 7. Classification des types dactif Dtermination de lexposition aux vnements Dtermination des grilles (potentialit, impact, gravit) Slection des scnarios de risques Dtermination des sous-services amliorer tablissement du diagnostic de scurit Prparation du plan daction
Chacune de ces activits est dcrite dans les sections suivantes. Pour faciliter la comprhension, nous allons imaginer un exemple simple o il est demand de faire une analyse de risques portant uniquement sur les risques relatifs la famille de scnarios D01-D Perte de donnes applicatives de faon rduire la gravit une valeur infrieure 2,5. La base de donnes pour cet exemple simple est disponible sur le site www.max2g.com. Le lecteur peut consulter la documentation sur Mhari en accdant le site du CLUSIF ladresse www.clusif.org. Nous recommandons notamment de jeter un coup dil au document Mhari 2010 Principes fondamentaux et spcifications fonctionnelles .
1- Classification des types dactif

Lobjectif de cette activit est de dterminer pour chaque type dactif (par exemple : les donnes applicatives) un niveau de gravit de consquences du risque en fonction des processus daffaires utilisant ce type dactif. Mhari propose des niveaux de gravit de consquences variant de 1 4. Un niveau doit tre indiqu pour chaque combinaison pertinente de processus et de type dactif utilis. Attention Si la classification nest pas faite, il sera impossible de calculer le niveau dimpact rel des scnarios visant les types dactif. Par consquent, la gravit des scnarios de risques ne pourra pas tre tablie. tape 1 : Identifier les processus daffaires Cette tape consiste identifier les processus daffaires pertinents pour lanalyse. La figure 1 montre un exemple aprs avoir enregistr trois processus. Figure 1 Onglet 2.2.1 : Processus
tape 2 : Pour chaque processus utilisant un type dactif, indiquer un niveau de gravit La figure 2 montre la liste des groupes dactifs et des types dactif dfinis par dfaut dans la mthode Mhari. On constate quil y a trois groupes dactif ( Donnes , Processus de gestion et Services ). Chaque groupe inclut plusieurs types dactif. Sur la figure, on ne voit que les types dactif pour le groupe Donnes . Figure 2 Onglet 2.2.3 : Types dactif
Le dialogue pour indiquer la classification pour le type dactif Donnes applicatives peut tre affich en cliquant sur le bouton et est montr la figure 3.
Figure 3 - Classification des types dactif
Les cases dans la premire colonne indiquent si le processus utilise le type dactif. Les cellules des colonnes D, I, E et C contiennent la valeur du niveau de gravit de consquence. Par exemple, dans le cas du processus P-01, le niveau de gravit des consquences dune perte de disponibilit (colonne D) du type dactif Donnes applicatives est estim 3 par les gestionnaires. Dans le cas du processus P-02, le niveau de gravit des consquences dune perte de confidentialit (colonne C) du type dactif Donnes applicatives est estim 4. Finalement, le processus P-03 nutilise pas le type dactif Donnes applicatives . Aprs avoir cliqu sur Ok, la liste montre la figure 4 est mise jour automatiquement. On montre ici le rsultat aprs avoir ouvert le type dactif Donnes applicatives . Figure 4
Il est primordial de comprendre la signification des colonnes dont ltiquette dbute par Max: . Par exemple, la colonne dont ltiquette est Max : 3 (16) concerne lintgrit. La valeur 3 est le maximum des valeurs contenues dans les cellules de la colonne (3 est le maximum entre 2 et 3). La valeur 16 entre parenthses indique le nombre de scnarios qui touchent le type dactif D01 et concernant lintgrit. La valeur 3 sera utilise comme niveau de gravit de consquence (c.--d. comme niveau dimpact) pour le calcul de la gravit intrinsque pour chacun des 16 scnarios ayant un impact sur lintgrit et qui rfrent au type dactif D01. Dans le cas de la colonne dont ltiquette est Max : 3 (40) , cette colonne concerne la disponibilit. On constate quil y a 40 scnarios qui touchent le type dactif D01 concernant la disponibilit. La valeur 3 est le maximum de la colonne (3 est le maximum de 3 et 3) et cette valeur sera utilise comme niveau de gravit de consquence (c.--d. comme niveau dimpact) pour le calcul de la gravit intrinsque pour chacun des 40 scnarios ayant un impact sur la disponibilit et qui rfrent au type dactif D01. La figure suivante montre les valeurs obtenues aprs avoir complt la classification pour notre exemple.
Figure 4 : Classification des types dactif
Les processus sont maintenant dtermins et la classification des types dactif est complte. On peut maintenant aller lactivit suivante.
2- Dtermination de lexposition aux vnements

Lobjectif de cette activit est de dterminer les niveaux dexposition de lorganisation face aux vnements qui peuvent survenir. Plus lexposition est leve, plus la probabilit que lvnement se produise est leve pour lorganisation. Attention Si la dtermination des niveaux dexposition aux vnements nest pas faite, il sera impossible de calculer la potentialit relle des scnarios concernant ces vnements. Par consquent, la gravit des scnarios de risques ne pourra pas tre tablie. La figure 5 illustre les types dvnement et les vnements avec leur exposition naturelle et lexposition dcide.
Figure 5 : Exposition aux vnements
Les valeurs dans la colonne Exposition naturelle sont les valeurs de dfaut de Mhari. La colonne Exposition dcide permet dindiquer un niveau dexposition diffrent selon la perception quen ont les gestionnaires. En gnral, les valeurs par dfaut sont applicables la plupart des situations. Lexposition aux vnements est maintenant tablie et on peut aller lactivit suivante.
3- Dtermination des grilles (potentialit, impact, gravit)

Cette tape a pour objectif de dterminer les valeurs qui seront utilises dans les grilles suivantes : Grille de rduction de la potentialit : cette grille sert dterminer dans quelle mesure la potentialit sera diminue suite une amlioration de la qualit des sous-services de prvention et de dissuasion. Grille de rduction de limpact : cette grille sert dterminer dans quelle mesure limpact sera diminu suite une amlioration de la qualit des sous-services de palliation et de confinement. Grille de la gravit : cette grille sert dterminer la gravit en fonction de la potentialit et de limpact.
La mthode Mhari propose des grilles avec des valeurs standards et lAssistant Mhari permet de les modifier selon les besoins. En gnral, on accepte dutiliser les valeurs de dfaut. Les figures suivantes prsentent les grilles de rduction de la potentialit dans le cas des malveillances et la grille de gravit.
Figure 6 : Grilles de rduction de la potentialit dans le cas des malveillances en fonction de lexposition, la dissuasion et la prvention
Figure 7 : Grille de gravit en fonction de la potentialit et de limpact
4- Slection des scnarios de risques

Cette activit a pour objectif de rechercher les scnarios de risques en fonction des proccupations des gestionnaires. La slection des scnarios se fait dabord en interrogeant les gestionnaires afin dobtenir des critres de slection. Ces critres seront utiliss pour construire un filtre permettant didentifier les scnarios pertinents. Par exemple, si laccomplissement de la mission de lorganisation est fortement appuy sur la disponibilit des actifs, alors il sera naturel pour les gestionnaires de demander de retenir tous les scnarios ayant un impact ngatif sur la disponibilit. De mme, si les gestionnaires sont craintifs par rapport aux actes volontaires et aux malveillances, alors il sera galement naturel de ne retenir parmi les scnarios retenus prcdemment que ceux lis des actes volontaires et des malveillances. Pour permettre de choisir des scnarios selon diffrents critres, lAssistant Mhari permet de dfinir un filtre qui sera utilis pour slectionner les scnarios. Pour lexemple, la proccupation des gestionnaires concerne uniquement les risques relatifs la disponibilit des donnes applicatives D01-D. La figure 6 montre longlet 2.4 sur lequel le filtre requis a t dfini laide des boutons et 7 .
Figure 8 Onglet 2.4 : Slection (avec filtre dfini)
Pour faire la recherche des scnarios conformes au filtre que lon vient de dfinir, il faut cliquer sur le bouton dans la section centrale de la fentre. La liste des scnarios conformes est alors affiche dans la zone Scnarios conformes lexpression ci-dessus comme le montre la figure 7.
Figure 9 : Onglet 2.4 : Slection (avec scnarios conformes affichs)
Pour simplifier notre exemple, les 40 scnarios conformes seront retenus sans modification. Pour ce faire, on doit cliquer sur le bouton puis sur le bouton . La Liste des 40 scnarios est alors copie dans la section Scnarios retenus pour ltude au bas de la fentre comme le montre la figure 8.
Figure 10 : Onglet 2.4 Slections (avec les scnarios retenus)
On constate que les 40 scnarios contiennent 75 formules. Celles-ci seront utilises pour identifier les sous-services quil faudra ventuellement amliorer. Les scnarios sont maintenant choisis et on peut aller lactivit suivante.
5 - Dtermination des sous-services amliorer

Cette activit a pour objectif didentifier les sous-services dont la qualit devra tre tablie et quil faudra ventuellement amliorer pour viter que les scnarios retenus se produisent ou pour diminuer les consquences sils se produisent. Attention La liste des sous-services qui seront identifis durant cette activit ne constitue pas le plan daction. Celui-ci sera tabli un peu plus loin dans la dmarche. Pour dterminer les sous-services, il faut afficher longlet 3.2 : Sous-services retenus tel que la figure 11 le montre.
10
Figure 11 : Onglet 3.2 : Sous-services retenus
Pour simplifier notre exemple, toutes les cases cocher dans la partie suprieure seront laisses telles quelles sont. Pour rechercher les sous-services, lAssistant Mhari va parcourir les 75 formules des 40 scnarios retenus et construire une liste rduite de toutes les combinaisons possibles de sousservices inclus dans les formules des scnarios retenus. La liste rsultante est affiche dans la section Ensembles des sous-services . Par dfaut, la section Ensembles de sous-services contient une ligne avec une efficacit 1000 et le reste des valeurs 0. Pour dclencher la recherche des scnarios, il faut cliquer sur le bouton alors mis jour tel que le dmontre la figure 12. . Longlet 3.2 est
11
Figure 12 : Onglet 3.2 : Sous-services retenus
La ligne 1 dans la partie suprieure contient la combinaison la plus efficace. Lefficacit est calcule en fonction des cases coches dans la section Et en calculant lefficacit en fonction du nombre de . En examinant la ligne 1, on constate que : 1. Il y a 28 sous-services dans la combinaison. Ceux-ci sont affichs dans la premire colonne du tableau de longlet 3.2.1 : Sous-services requis . chaque fois que lon slectionne une combinaison diffrente, la liste des sous-services dans longlet 3.2.1 est mise jour. 2. Les 28 sous-services sont utiliss dans 358 scnarios. Or seulement 40 scnarios ont t retenus longlet 2.4. La diffrence provient du fait que les 28 sous-services apparaissent dans les 75 formules des 40 scnarios mais galement dans 318 autres scnarios non retenus. La figure suivante montre longlet 3.2.3 o lon voit quelquesuns de ces 318 scnarios non retenus et identifis par un symbole +. Les scnarios retenus sont accompagns dun crochet.
12
Figure 13 : Onglet 3.2.3 : Scnarios couverts
3. Dans les 358 scnarios, il y a 456 formules dont 114 de dissuasion, 245 de prvention, 30 de confinement et 67 de palliation. 4. Finalement, lidentifiant du sous-ensemble est gal 2 (voir dernire colonne droite). Pour encore simplifier notre exemple, les 28 sous-services seront retenus et on passera lactivit suivante. Pour les retenir, il faut afficher longlet 3.2.1 Sous-services requis et slectionner tous les sous-services requis avec le bouton copier dans longlet 3.2.4 : Sous-services retenus . puis cliquer sur bouton pour les
Les sous-services sont maintenant retenus et on peut aller lactivit suivante.
6 - tablissement du diagnostic de scurit

Pour tablir un diagnostic de ltat actuel de la scurit, il faut poser des questions qui permettront de quantifier la qualit des sous-services en place dans lorganisation. Le questionnaire doit tre labor uniquement en fonction des sous-services prcdemment retenus pour ltude. Les rponses permettront de mesurer la situation en termes de gravit et seront utilises comme point de dpart pour construire un plan daction visant rduire cette gravit un niveau acceptable pour lorganisation. tape 1 : Prparation du questionnaire Dans notre exemple, les questions pertinentes sont les questions qui sont marques avec un symbole dans longlet 4.1 : Slection des questions , comme le montre la figure suivante :
13
Figure 14 : Onglet 4.1 : Slection des questions (avec sous-services marqus dun symbole)
Pour copier les questions marques dun symbole, il faut cliquer sur le bouton apparatre le dialogue pour indiquer quelles questions devront tre copies. Figure 15 : Dialogue de spcification des questions copier
pour faire
14
Il faut alors cocher les cases tel quillustr et cliquer sur Ok. Puis il faut afficher longlet 4.2 : Questionnaire pour voir les questions. Figure 16 : Onglet 4.2 : Questionnaire (aprs avoir copi les sous-services avec des symboles)
Longlet 4.2 et ses sous-onglets sont probablement les plus importants de tous les onglets. En effet, sommairement, ils permettent de : 1. 2. 3. 4. 5. 6. 7. Rpondre aux questions pertinentes et dtablir un diagnostic de la scurit Amliorer les rponses et ainsi identifier les actions du plan daction Voir les graphiques des notes obtenues pour les domaines, les fonctions et les mesures Voir la liste des scnarios et leurs gravits Voir les combinaisons de sous-services amliorer en ordre dcroissant dimportance Voir la liste des sous-services retenus et de leurs notes Voir des statistiques sur les rsultats obtenus
Dans les pages suivantes, les 5 premiers points seront examins. Les deux derniers ne seront pas expliqus parce quils sont trs simple comprendre et utiliser. Avant de poursuivre, il est important de mentionner quelques informations concernant les commandes et certaines zones de cet onglet.
15
Le groupe de boutons permettant de rpondre aux questions est illustr la figure suivante :
Ces boutons servent dans lordre rpondre oui, non, sans objet, ne sais pas, effacer, initialiser et ajouter un commentaire sur la rponse. chaque fois quune rponse est indique, la zone des rponses et toutes les donnes affiches sur les onglets au bas de la fentre sont mises jour automatiquement. La figure suivante illustre la zone des rponses entoure en rouge. Figure 17 : La zone des rponses pour le diagnostic
Le groupe de boutons permettant damliorer les sous-services en rpondant oui aux questions est illustr la figure suivante :
Ces boutons servent dans lordre transfrer des rponses dans le plan, rpondre oui, non, sans objet, ne sais pas, effacer, initialiser et ajouter un commentaire sur la rponse. chaque fois quune rponse au plan est indique, la zone des rponses au plan et toutes les donnes affiches sur les onglets au bas de la fentre sont mises jour automatiquement. La figure suivante illustre la zone des rponses au plan entoure en bleu. 16
Figure 18 : La zone des rponses au plan
Portons lattention sur longlet 4.2.1 : Graphiques . Cet onglet est mis jour chaque fois quune rponse est modifie. Voici quoi pourraient ressembler les graphiques aprs avoir rpondu et amlior plusieurs questions. Figure 19 : Les graphiques mis jour
La ligne continue en noir illustre la situation actuelle et permet de voir les notes des domaines, fonctions et sous-services. La ligne pointille en bleu illustre la situation prvue en fonction des rponses au plan. videmment, aprs amlioration des sous-services, la ligne pointille englobera la ligne continue.
17
Examinons maintenant longlet 4.2.2 : Scnarios retenus qui affiche la liste de tous les scnarios retenus (voir onglet 2.4 : Slection ). La figure suivante montre longlet 4.2.2. Figure 20 : Onglet 4.2.2 : Scnarios retenus
Sur cette liste, toutes les colonnes dont le nom dbute par Rp concernent le diagnostic et sont automatiquement mises jour chaque fois quune rponse est indique dans la partie suprieure. Toutes les colonnes dont le nom dbute par Plan concernent le plan et sont automatiquement mises jour chaque fois quune rponse au plan est indique dans la partie suprieure. Il est donc possible de comparer mesure que les rponses sont indiques les notes dans le diagnostic avec celles du plan. La liste est actuellement trie en ordre descendant de la colonne Rp Grav Calc . Chaque cellule de cette colonne contient la gravit calcule du scnario, cest--dire la gravit du scnario en tenant compte des notes apparaissant sa gauche pour les formules de dissuasion, prvention, confinement et palliation. Certaines colonnes sont colores pour faciliter les comparaisons des notes. Ainsi, les colonnes de couleur identique peuvent tre facilement et rapidement compares entre elles.
18
Jetons maintenant un coup dil longlet 4.2.3 : Combinaisons retenues . Cet onglet est trs important car cest lui qui est la base de la prparation du plan daction. Figure 21 : 4.2.3 : Combinaisons retenues (avec la combinaison 03B06 dplie)
Voici quelques explications sur le contenu des colonnes les plus importantes. Colonne Affinit ->Scnarios Description Combinaison de sous-services qui doivent tre amliors en mme temps pour tre efficaces sur les scnarios sur lesquels ils agissent. Par exemple, la quatrime combinaison 08B05+08D09 indique que les sous-services 08D05 et 08D09 doivent tre amliors en mme temps pour tre efficaces sur les 4 scnarios o cette combinaison est applicable. Nombre de scnarios pour lesquels les sous-services doivent tre amliors en mme temps pour tre efficaces sur ces scnarios. Exemple pour la combinaison 03B06 : 6 Moyenne des potentialits calcules des scnarios de la combinaison. Les valeurs dans cette colonne changent lors que les rponses changent. Exemple pour la combinaison 03B06 : 2 Moyenne des impacts calculs des scnarios de la combinaison. Les valeurs dans cette colonne changent lorsque les rponses changent. Exemple pour la combinaison 03B06 : 2 Moyenne des gravits calcules des scnarios de la combinaison. Les valeurs dans cette colonne changent lorsque les rponses changent. 19
N Scnarios Pot Calc Imp Calc Grv Calc
Sm Grv Calc
Pot Plan
Imp Plan
Grv Plan
Sm Grv Plan
N Max Grv Calc N Max Grv Clac
Exemple pour la combinaison 03B06 : 3 Somme des gravits calcules des scnarios de la combinaison. Les valeurs dans cette colonne refltent la masse de gravits calcules. Elles changent lorsque les rponses changent. Exemple pour la combinaison 03D06 : 18 Moyenne des potentialits au plan des scnarios de la combinaison. Les valeurs dans cette colonne changent lorsque les rponses au plan changent. Lobjectif des amliorations aux sous-services est de rduire ces valeurs. Moyenne des impacts au plan des scnarios de la combinaison. Les valeurs dans cette colonne changent lorsque les rponses au plan changent. Lobjectif des amliorations aux sous-services est de rduire ces valeurs. Moyenne des gravits au plan des scnarios de la combinaison. Les valeurs dans cette colonne changent lorsque les rponses au plan changent. Lobjectif des amliorations aux sous-services est de rduire ces valeurs. Somme des gravits au plan des scnarios de la combinaison. Les valeurs dans cette colonne refltent la masse de gravits au plan. Elles changent lorsque les rponses au plan changent. Lobjectif des amliorations aux sous-services est de rduire ces valeurs. Nombre de scnarios de la combinaison dont la gravit est plus grande que la valeur Nombre de scnarios de la combinaison dont la gravit est plus grande que la valeur
La construction du plan daction est guide par lobjectif consistant rduire la potentialit au plan ( Pot Plan ), la gravit au plan ( Grv Plan ), la somme des gravits au plan ( Sm Grav Plan ) et rduire 0 le nombre de scnarios ( N Max Grv Plan ) dont la gravit dpasse le seuil tabli par N Max Gr. tape 2 : Rpondre aux questions Les questions ayant t tablies, il sagit maintenant dobtenir les rponses auprs des intervenants identifis par lquipe de gestionnaire. Cela peut se faire par des entrevues ou des ateliers mais il est souvent ncessaire de faire une prsentation en dbut de parcours pour exposer lobjectif, la porte, la dmarche, les rles et responsabilits, les activits et les rsultats qui seront produits. Dans le cas des entrevues, lexpert en analyse de risques rencontre chaque intervenant ayant une expertise pour un ou plusieurs domaines de scurit et laide rpondre aux questions en lui donnant des prcisions. Dans le cas des ateliers, des groupes dintervenants sont rencontrs ensemble pour obtenir les rponses de faon consensuelle. Pour les besoins du prsent article, les rponses aux questions ont t simules et importes laide de la fonction dimportation de questions et rponses que le montre la figure suivante. 20
Suite limportation, on constate que les rponses ont t initialises et que la valeur de la potentialit calcule pour la combinaison 08D05 est passe de 2,57576 2,54545. Toutes les autres valeurs y compris celle du plan sont restes identiques. Figure 22 : Rponses initialises
21
7 Prparation du plan daction

Il faut maintenant copier toutes les rponses vers le plan pour constituer un point de dpart pour faire les amliorations. La figure suivante montre le rsultat aprs avoir copier toutes les rponses vers le plan laide du bouton . Les notes et les notes au plan sont alors gales. Les rponses ( gauche) ne doivent plus changer tandis que celles au plan ( droite) seront modifies pour amliorer le sous-service auquel elles sont rattaches. Figure 23 : Rponses copies au plan
Le principe pour laborer le plan est le suivant : il faut rpondre OUI aux rponses du plan pour les rponses qui ne sont pas gales OUI tant et aussi longtemps que les potentialits, les impacts et les gravits sont suprieures des valeurs tablies. Pour faciliter notre expos et permettre de bien comprendre leffet dune amlioration, nous allons porter notre attention sur quelques sous-services que nous allons tenter damliorer pour voir leffet sur les onglets 4.2.1 4.2.3. Lexamen des onglets 4.2.4 et 4.2.5 est laiss la discrtion du lecteur car ils sont assez simples comprendre et utiliser. Nous allons porter lattention plus prcisment sur le sous-service 08D05. Sur la figure suivante, on voit ce sous-service et toutes ses questions. La colonne Rponses contient les rponses et la colonne Rponse PLAN contient les rponses au plan. 22
Figure 24 : Le sous-service 08D05 avec ses questions
Les rponses au plan pour les questions 1, 2, 3, 7, 8, 9 et 12 sont gales Non. Cest donc laide de ces questions que lon peut amliorer la qualit du sous-service 08D05. En rpondant Oui au plan pour la question 9, notre objectif dans le cas de ce sous-service est atteint car la gravit diminue 2, la somme des gravits diminue 66 et le nombre de scnarios avec une gravit gale ou suprieure 2,5 est rduit 0, comme le montre la figure 26 suivante. noter que les valeurs pour les trois combinaisons suivantes (c.--d. 03B06, 09C02 et 08D05+08D09) ont aussi changes car le sous-service 08D05 est aussi rfrenc dans les formules des scnarios de ces combinaisons.
23
Figure 25 : Diminution de la gravit, de la somme des gravits et du nombre de scnarios > 2,5
Comme lobjectif de lanalyse est de rduire la gravit en de de 2,5, on constate que la prochaine combinaison amliorer est la quatrime ( 08D05+08D09 ). Pour tre efficace, il faut amliorer le sous-service 08D09 jusqu ce que sa note soit suprieure celle de 08D051. La figure suivante montre le sous-service 08D09 avec ses questions.
noter que 08D05+08D09 dcoule de la formule MIN(08D05;08D09).
24
Figure 26 : Rponses aux questions du sous-service 08D09
Ce nest quen rpondant Oui aux questions 1 et 2 que lon voit effectivement une diminution de la gravit, comme le dmontre la figure suivante.
25
Figure 27 : Amlioration des sous-services 08D05 et 08D09
La prochaine combinaison amliorer est la combinaison 09D02 dont la gravit au plan est gale 3. La figure suivante montre les questions de 09D02.
26
Figure 28 : Questions du sous-service 09D02
Si on rpond Oui la question 1, la combinaison 09D02 se dplace automatiquement vers le bas de larbre et disparat de la fentre. En dplaant lascenseur vertical, on peut la faire rapparatre et constater que la gravit a diminu 2, comme le montre la figure suivante.
27
Figure 29 : Amlioration du sous-service 09D02
La prochaine combinaison amliorer est la combinaison 08F02+08F03 dont la gravit est gale 2,5. Comme cette combinaison comporte 2 sous-services, il faut amliorer les 2 sous-services en parallle jusqu ce que la gravit soit infrieure au seuil vis. La figure suivante montre le rsultat obtenu en rpondant Oui aux questions des deux sous-services jusqu ce que la gravit 2,5 diminue. La note de 08F02 est passe de 0,6153 4 tandis que celle de 08F03 est passe de 1,42857 3,71429.
28
Figure 30 : Amlioration en parallle des sous-services 08F02 et 08F03
ce stade, les valeurs dans la colonne Grv Plan sont tous infrieures 2,5 et il ny a plus de scnarios dont la gravit dpasse 2,5. Lobjectif final est donc atteint et on peut arrter damliorer les sous-services. videmment, la dmarche expose ici pour produire le plan daction est trs mathmatique et il faut utiliser la fois lexprience et le jugement pour sassurer que ce qui en ressort rpond toutes les proccupations des gestionnaires de lorganisation. Finalement, lAssistant Mhari offre la possibilit de produire des rapports de base partir des informations des diffrents onglets. On peut notamment produire la liste des questions dont les rponses diffrent des rponses au plan, permettant ainsi de voir de quoi est constitu en final le plan daction. La figure suivante illustre la premire page de ce rapport.
29
chaque question apparaissant dans ce rapport, il faut prvoir une activit spcifique dans un projet. Par exemple, dans le cas de la question 08D095-09, il faut prvoir une activit que lon pourrait intituler Contrle du redmarrage des applications informatiques aprs rechargement dune copie de scurit . Cette activit pourrait tre assigne lquipe responsable du projet de continuit des affaires et des technologies de lorganisation.
30
Sommaire de la dmarche La dmarche a t complte. Le tableau suivant rsume les activits excutes tel que propose par Max2G lorsque lon utilise lAssistant Mhari. 1- La classification des types dactif permet dtablir les types actifs les plus importants de lorganisation en termes dimpacts dun problme de disponibilit, dintgrit ou de confidentialit de ces types. 2- La dtermination de lexposition permet dtablir la potentialit des vnements susceptibles dinfluencer le fonctionnement de lorganisation. 3- La dtermination des grilles permet dajuster les tableaux des facteurs de rduction et de gravit en fonction des perceptions de lquipe de gestion. 4- La slection des scnarios de risques permet de choisir des scnarios en fonction de diffrents critres dfinis dans un filtre. 5- La dtermination des sous-services permet didentifier les sous-services sur lesquels il faudra porter lattention pour faire le diagnostic et amliorer la scurit. 6- Ltablissement du diagnostic de scurit permet de faire un portrait de la scurit en fonction de la qualit des sous-services de scurit en place dans lorganisation. La qualit des sous-services est tablie partir des rponses un questionnaire spcifiques aux sous-services retenus ltape 5. 7- La prparation du plan daction permet de dterminer les amliorations apporter aux sous-services de faon rduire la potentialit, limpact et la gravit des scnarios de risques. Dautres activits doivent quand mme tre prvues, comme par exemple : La rdaction du rapport danalyse de risques partir des rsultats obtenus avec lAssistant Mhari La prsentation du rapport aux gestionnaires Lexcution et le suivi du plan daction La mise jour du plan daction produit par lAssistant Mhari en fonction des actions excutes. 31
Conclusion LAssistant Mhari est un logiciel danalyse de risques qui offre beaucoup de fonctionnalits intressantes pour les organisations. Les pages prcdentes ont permis de constater que la dmarche et le logiciel sont faciles comprendre et appliquer. Lquipe de dveloppement de Max2G travaille actuellement la conception et lamlioration des fonctions suivantes : Production automatique du plan daction en fonction dobjectifs fixs par lexpert en analyse de risques Cration de nouveaux rapports Amlioration de lergonomie du logiciel Exportation et importation des donnes Comparaison de plans daction Cration de nouveaux graphiques Cration de Capsule de formation Amlioration de laide intgre au logiciel Etc.
LAssistant Mhari en mode dmonstration peut tre tlcharg partir du site web www.max2g.com. Un service de support est disponible pour recevoir toutes les demandes relatives lutilisation du logiciel. Il est possible de contacter directement lquipe de Max2G ladresse info@max2g.com. Nhsitez pas nous contacter ! Il nous fera plaisir de rpondre vos questions et de recevoir vos commentaires et suggestions.
32

01 DemarcheAnalyseDeRisques V2a 2

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

01 DemarcheAnalyseDeRisques V2a 2

Uploaded by

Copyright:

Available Formats

Max2G

Dmarche danalyse de risques avec lAssistant Mhari

1- Classification des types dactif

Figure 3 - Classification des types dactif

Figure 4 : Classification des types dactif

2- Dtermination de lexposition aux vnements

Figure 5 : Exposition aux vnements

3- Dtermination des grilles (potentialit, impact, gravit)

Figure 7 : Grille de gravit en fonction de la potentialit et de limpact

4- Slection des scnarios de risques

Figure 8 Onglet 2.4 : Slection (avec filtre dfini)

Figure 9 : Onglet 2.4 : Slection (avec scnarios conformes affichs)

Figure 10 : Onglet 2.4 Slections (avec les scnarios retenus)

5 - Dtermination des sous-services amliorer

Figure 11 : Onglet 3.2 : Sous-services retenus

Figure 12 : Onglet 3.2 : Sous-services retenus

Figure 13 : Onglet 3.2.3 : Scnarios couverts

Les sous-services sont maintenant retenus et on peut aller lactivit suivante.

6 - tablissement du diagnostic de scurit

Figure 18 : La zone des rponses au plan

N Scnarios Pot Calc Imp Calc Grv Calc

N Max Grv Calc N Max Grv Clac

7 Prparation du plan daction

Figure 24 : Le sous-service 08D05 avec ses questions

noter que 08D05+08D09 dcoule de la formule MIN(08D05;08D09).

Figure 26 : Rponses aux questions du sous-service 08D09

Figure 27 : Amlioration des sous-services 08D05 et 08D09

Figure 28 : Questions du sous-service 09D02

Figure 29 : Amlioration du sous-service 09D02

Figure 30 : Amlioration en parallle des sous-services 08F02 et 08F03

You might also like