Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Fidens automatise l’analyse de la Gestion des risques

février 2011 par Marc Jacob

Fidens a organisé une session d’information consacrée à la gestion des risques SSI et à la présentation de son outil : EGERIE Risk Manager, développé spécifiquement pour accompagner les RSSI, les Risk Managers et les équipes techniques dans la conduite et la gestion des risques SSI. Jean Larroumets, Co-fondateur et associé Fidens a présenté en préambule sa vision de la gestion des risques. Aurélie Barbier, consultant SI, a fait une démonstration d’EGERIE Risk Manager, l’outil d’appréciation et de gestion des risques développé par Fidens.

Pierre Oger, Aurélie Barbier et Jean Larroumets

Fidens est un cabinet de conseil, fondé en 2002 et implanté à Paris et à Toulon. Il compte aujourd’hui une vingtaine de collaborateurs. Il s’est spécialisé dans le conseil opérationnel.

Pour Jean Larroumets, le SI est toujours plus ouvert et plus complexe multipliant ainsi les risques. Les entreprises sont sous la menace de deux grands types de risques :

- Celle qui vise l’intégrité et la disponibilité engendrant la paralysie ou le ralentissement du fonctionnement du système et le détournement de la fonction première du système.
- Les fuites de données et la compromission des informations sensibles.

Il est donc essentiel de mettre en place une stratégie de gestion des risques pour atteindre des objectifs précis : protéger les processus métiers, assurer la continuer d’activité et protéger le patrimoine informationnel.

La gestion des risques nécessite l’application de normes, telles l’ISO 27001 à 27005 ou EBIOS… qui sont des guides de bonnes pratiques. Il a rappelé rapidement la démarche de l’ISO 27005 :

1) Appréciation des risques
2) Estimation des risques
3) Evaluation des risques
4) Traitement des risques en fonction des priorités
5) Acceptation des risques résiduels par un décisionnaire

Cette démarche s’accompagne de deux processus transverses : la communication des risques et la surveillance, et le réexamen des risques.

L’un des problèmes de cette démarche est l’identification et l’évaluation des risques, sans compter les problèmes de collaboration entre les personnes des différents services. Ce dernier point rend les arbitrages difficiles, en particulier pour faire accepter par les directions les risques résiduels. Par ailleurs, les risques résiduels sont rarement revisités malgré l’évolution des risques.

Pour répondre à ces problèmes, Fidens a créé EGERIE Risk Manager, un logiciel d’automatisation des processus. Elle l’utilise pour réaliser des audits chez ses clients. Ces derniers bénéficient du logiciel à la fin de la prestation. Il n’est donc pas commercialisé à ce jour. L’objectif de cet outil est d’être un support à la réalisation des analyses de risques pour procéder à des arbitrages en toute objectivité et connaissance de cause. Il est basé sur une interface Web sécurisée. Il contient des fonctionnalités de gestion des rôles des acteurs, une analyse de risques qui repose sur EBIOS mais avec des compléments pour rendre cette méthode plus opérationnelle. Jean Larroumets a rappelé que « l’ISO 27005 est une démarche qui ne propose pas de méthode, c’est pour cela que cet outil repose sur EBIOS. »

EGERIE Risk Manager permet de lister automatiquement les risques et les responsabilités, d’associer les impacts aux risques. Il contient entre autres une base de loi et de règlementation. Il est paramétrable pour s’adapter au besoin de chaque client. Bien sûr, la démarche de cet outil suit les différentes phases des normes avec : identification des vulnérabilités, cartographie des risques, prévisualisation des risques identifiés, validation des risques… mais de façon automatique. A la fin du processus, un rapport d’analyse est créé et sauvegarder en local. Il offre deux types d’analyse :

- un arbitrage par les risques qui propose des contre-mesures risque par risque
- un arbitrage par les exigences : les contre-mesures sont proposées en fonction des exigences de sécurité.

L’outil s’arrête aujourd’hui à la conformité ISO 27002.




Voir les articles précédents

    

Voir les articles suivants