Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Présentation
Paru le 15-10-2004
Sur cette page
Chapitre 1 : Introduction au guide de gestion des risques de sécurité
Chapitre 2 : Étude des pratiques de gestion des risques de sécurité
Chapitre 3 : Présentation de la gestion des risques de sécurité
Chapitre 4 : Évaluation des risques
Chapitre 5 : Aide à la décision
Chapitre 6 : Mise en place de contrôles et mesure de l'efficacité du programme
Annexes
Les clients peuvent se trouver débordés lorsqu'ils tentent de mettre en place un programme de gestion des risques de sécurité, notamment en raison d'un manque d'expertise interne, de ressources budgétaires ou d'instructions. Pour venir en aide à ces clients, Microsoft a rédigé le guide de gestion des risques de sécurité.
Ce guide permet à tout type de clients de planifier, mettre en place et gérer avec succès un programme de gestion des risques de sécurité. Il explique comment mener chacune des quatre phases (voir l'illustration ci-dessous) d'un programme de gestion des risques de sécurité et établir sur la durée un processus permettant de mesurer les risques de sécurité et de les amener à un niveau acceptable.
.gif)
La lecture de ce guide n’exige aucune connaissance technologique particulière ; ce dernier se base en effet sur de nombreuses normes de gestion des risques de sécurité reconnues par l'industrie. Il constitue un exemple important de l'engagement de Microsoft à offrir des conseils de qualité pour aider les clients à sécuriser leurs infrastructures informatiques. Ce guide comprend des expériences réellement vécues par les équipes informatiques de Microsoft ainsi que des témoignages de clients et partenaires de Microsoft.
Il a été développé, révisé et approuvé par des équipes d'experts en sécurité faisant autorité. Ce guide et d'autres rubriques afférant à la sécurité sont disponibles sur le site Microsoft Sécurité à l'adresse suivante : http://www.microsoft.com/france/technet/security. Envoyez vos commentaires ou questions au sujet de ce guide à secwish@microsoft.com.
Ce guide comprend six chapitres et quatre annexes.
Chapitre 1 : Introduction au guide de gestion des risques de sécurité
Le chapitre 1 présente le guide de gestion des risques de sécurité et décrit brièvement les chapitres suivants. Il fournit également des informations sur les éléments suivants :
Points clés pour réussir un programme de gestion des risques de sécurité
Termes clés et définitions
Conventions stylistiques utilisées dans ce guide
Références pour l'obtention d'informations complémentaires
Chapitre 2 : Étude des pratiques de gestion des risques de sécurité
Le chapitre 2 définit les principes de base et le contexte du guide en examinant d'autres approches de gestion des risques de sécurité et des considérations liées, notamment l'évaluation du degré de maturité de la gestion des risques de votre entreprise.
Chapitre 3 : Présentation de la gestion des risques de sécurité
Le chapitre 3 décrit plus en détail les quatre phases du processus abordé dans le guide et présente certains de ses concepts essentiels et les clés de la réussite. Ce chapitre propose également des conseils pour la préparation du programme en mettant l'accent sur l'importance d'une planification efficace et la mise en place d'une solide équipe de gestion des risques de sécurité, dont les membres possèdent des rôles et des responsabilités clairement définis.
Chapitre 4 : Évaluation des risques
Le chapitre 4 traite en détail la première phase : l'évaluation des risques. Les étapes de cette phase sont la planification, la collecte de données et le classement des risques par ordre de priorité. Le classement des risques comprend à la fois des niveaux synthétiques et détaillés, équilibrant les approches qualitatives et quantitatives afin de fournir des informations fiables sur les risques avec des compromis raisonnables en termes de temps et d'efforts. Cette phase d'évaluation des risques débouche sur la création d'une liste des risques les plus importants et la réalisation d'une analyse détaillée. Ces deux éléments sont alors exploités par l'équipe dans le cadre de la phase de prise de décision (phase suivante du processus).
Chapitre 5 : Aide à la décision
Le chapitre 5 traite la deuxième phase : l'aide à la décision. Au cours de cette phase, les équipes déterminent comment gérer les risques principaux de la manière la plus efficace et rentable possible. Elles identifient les contrôles, estiment les coûts, évaluent le degré de réduction des risques, puis décident du contrôle à mettre en place. Cette phase d'aide à la décision débouche sur la mise en place d'un programme clair et concret pour contrôler ou accepter chacun des risques principaux identifiés dans la phase d'évaluation des risques.
Chapitre 6 : Mise en place de contrôles et mesure de l'efficacité du programme
Le chapitre 6 traite des deux dernières phases du guide : la mise en place de contrôles et la mesure de l'efficacité du programme. Au cours de la phase de mise en place de contrôles, les responsables de la minimisation des risques créent et exécutent des programmes qui s'appuient sur la liste de solutions de contrôle suggérée pendant la phase d'aide à la décision.
Lorsque les trois premières phases du processus de gestion des risques de sécurité sont terminées, les entreprises doivent estimer les progrès réalisés en termes de gestion globale des risques de sécurité. La dernière phase, la mesure de l'efficacité du programme, introduit le concept de « fiche d'évaluation des risques de sécurité », un outil qui aide les utilisateurs dans ce processus.
Annexes
Les annexes comprennent :
Annexe A : Évaluation des risques ad-hoc
Annexe B : Ressources courantes des systèmes d'information
Annexe C : Menaces courantes
Annexe D : Vulnérabilités
Télécharger la solution complète