28
[Audit Sécurité des Sy stèmes d’Information]
LICENCE PROFESSIONNELLE – ADMINISTRATION DE SYSTÈMES INFORMATIQUES
Dans les points suivants nous détaillons le processus d’appréciation des risques avant de donner deux exemples de méthodes parmi les plus connues. 2.2.1- Processus d’appréciation des risques Le processus d’appréciation des risques se déroule en sept étapes, illustrées dans figure ci-dessous.
Le processus d’appréci ation des risques
La première étape consiste dresser une liste de tous les actifs qui ont une importance en matière d’information au sein du SMSI. On distingue généralement six catégories d’actifs. Matériel, pour tous les équipements réseau et système. Physique, pour les bureaux, lieux de production, de livraisons. Logiciel, pour les bases de données, fichiers, les systèmes d’exploitation. Humain, pour tous les collaborateurs de l’organisme. Documents, pour les documents papier, manuels d’utilisation. Immatériel, pour le savoir-faire de l’organisme. La deuxième étape vise à attribuer pour chaque actif d’information un « propriétaire ». La norme définit le propriétaire comme étant la personne qui connaît le mieux la valeur et les conséquences d’une compromission en termes de disponibilité, d’intégrité et de confidentialité de l’actif.
Identification des actifs
Identification des propriétaires
d’actifs
Identification des vulnérabilités
Identification des menaces
Identification des impactes
Evaluation de la vraisemblance
Estimation des niveaux de risque