Chapitre 3 : Présentation de la gestion des risques de sécurité
Paru le 15/10/2004
Ce chapitre est le premier de ce guide à présenter le processus de gestion des risques de sécurité de Microsoft dans son ensemble. À la suite de cette présentation, le chapitre développe différentes rubriques destinées à aider les lecteurs à mettre en place le processus. Ces rubriques constituent la base solide de la réussite d'un programme de gestion des risques de sécurité. Elles abordent les thèmes suivants :
distinction entre gestion des risques et évaluation des risques ;
communication efficace des risques ;
évaluation de la maturité de vos pratiques actuelles en matière de gestion des risques ;
définition des rôles et des responsabilités.
Il convient également de remarquer que la gestion des risques ne constitue qu'une partie d'un programme de gouvernance permettant à la direction de l'entreprise de surveiller cette dernière et de prendre des décisions éclairées. Les programmes de gouvernance varient considérablement, mais tous requièrent un composant de gestion des risques structuré pour hiérarchiser et minimiser les risques de sécurité. Les concepts utilisés dans le processus de gestion des risques de sécurité de Microsoft peuvent s'appliquer à tous les programmes de gouvernance dans le but de faciliter la définition et la gestion des risques à des niveaux acceptables.
Sur cette page
Les quatre phases du processus de gestion des risques de sécurité de Microsoft
Résumé
Les quatre phases du processus de gestion des risques de sécurité de Microsoft
Le chapitre 2, « Étude des pratiques de gestion des risques de sécurité » a fourni une présentation du processus de gestion des risques de sécurité de Microsoft et défini la gestion des risques comme un processus continu réparti en quatre phases principales :
Évaluation des risques : identifier et hiérarchiser les risques potentiels pour l'entreprise.
Aide à la décision : identifier et évaluer les solutions de contrôle en fonction d'un processus d'analyse coût/bénéfices précis.
Mise en place de contrôles : déployer et appliquer des solutions de contrôle afin de réduire les risques potentiels pour l'entreprise.
Mesure de l'efficacité du programme : analyser l'efficacité du processus de gestion des risques et vérifier que les contrôles apportent le niveau de protection prévu.
Ce cycle de gestion des risques réparti en quatre phases résume le processus de gestion des risques de sécurité de Microsoft et sert également de structure à ce guide.
Avant de définir chaque opération du processus de gestion des risques de sécurité de Microsoft, il est primordial de concevoir le processus de gestion des risques au sens large, ainsi que ses composants. Chaque phase du cycle comprend plusieurs étapes détaillées. La liste suivante répertorie chacune de ces étapes pour vous permettre de mieux saisir leur importance dans l'ensemble du guide :
Phase d'évaluation des risques
Planification de la collecte de données : étudier les clés de la réussite et les instructions préparatoires.
Collecte de données sur les risques : élaborer un processus de collecte et d'analyse de données.
Hiérarchisation des risques : élaborer des instructions permettant d'identifier et de quantifier les risques.
Phase d'aide à la décision
Définition d'exigences fonctionnelles : définir des exigences fonctionnelles afin de minimiser les risques.
Choix de solutions de contrôle potentielles : élaborer une approche visant à identifier les solutions de minimisation.
Comparaison des solutions : comparer les contrôles proposés avec les exigences fonctionnelles.
Estimation de la réduction des risques : s'efforcer de comprendre la réduction de l'exposition ou de la probabilité des risques.
Estimation du coût de la solution : évaluer les coûts directs et indirects liés aux solutions de minimisation.
Choix d'une stratégie de minimisation des risques : effectuer une analyse coût/bénéfices afin d'identifier la solution de minimisation la plus rentable.
Phase de mise en place de contrôles
Recherche d'une approche holistique : intégrer les personnes, le processus et la technologie à la solution de minimisation.
Organisation d'une défense renforcée : appliquer des solutions de minimisation à l'ensemble de l'entreprise.
Phase de mesure de l'efficacité du programme
Création d'une fiche d'évaluation des risques : comprendre la position et la progression des risques.
Mesure de l'efficacité du programme : évaluer les possibilités d'amélioration du programme de gestion des risques.
L'illustration suivante présente chaque phase et les étapes qui lui sont associées.
.gif)
Illustration 3.1 Processus de gestion des risques de sécurité de Microsoft
Les chapitres suivants de ce guide décrivent successivement chaque phase du processus de gestion des risques de sécurité de Microsoft. Avant de commencer à appliquer ce processus, vous devez tenir compte de plusieurs aspects.
Niveau d'effort
Si votre entreprise n'est pas encore totalement familiarisée avec le concept de gestion du risque, il peut s'avérer utile d'identifier les étapes du processus de gestion des risques de sécurité de Microsoft qui exigent le plus d'effort de la part de l'équipe de gestion des risques de sécurité. L'illustration suivante, réalisée à partir des activités de gestion des risques de Microsoft IT, présente les niveaux d'effort relatifs tout au long du processus. Cette approche peut faciliter la description de l'ensemble du processus et de l'engagement nécessaire en terme de temps aux entreprises qui abordent pour la première fois le concept de gestion des risques. Les niveaux d'effort relatifs permettent également d'éviter de consacrer trop de temps à un aspect de l'ensemble du processus. Pour résumer le niveau d'effort tout au long du processus, l'illustration présente un niveau d'effort modéré pour la collecte de données, un niveau plus faible pour l'analyse sommaire, puis des niveaux d'effort élevés pour la constitution de listes détaillées d'évaluation détaillée des risques et le processus d'aide à la décision. Pour afficher d'autres tâches et leur niveau d'effort correspondant, reportez-vous à l'exemple de programme de projet SRMGTool4-Exemple de programme.xls dans le dossier Outils et modèles. Les autres chapitres de ce guide décrivent chacune des étapes présentées ci-dessous.
.gif)
Niveau d'effort relatif au cours du processus de gestion des risques de sécurité de Microsoft
Préparation au lancement du processus de gestion des risques de sécurité de Microsoft
Avant d'entreprendre un effort de gestion des risques de sécurité, il est essentiel de bien comprendre les connaissances et les tâches de base exigées par le processus de gestion des risques de sécurité de Microsoft, notamment :
la distinction entre gestion des risques et évaluation des risques ;
la communication claire des risques ;
l'évaluation de la maturité de la gestion des risques de votre entreprise ;
la définition des rôles et des responsabilités du processus.
Gestion des risques et évaluation des risques
Comme indiqué au chapitre 2, les termes de gestion des risques et d'évaluation des risques ne sont pas interchangeables. Le processus de gestion des risques de sécurité de Microsoft définit la gestion des risques comme l'ensemble du processus visant à gérer les risques pour les amener à un niveau acceptable pour l'entreprise. L'évaluation des risques est définie comme le processus permettant d'identifier et de hiérarchiser les risques potentiels pour l'entreprise. Conformément au schéma ci-avant, la gestion des risques comprend quatre phases principales : l'évaluation des risques, l'aide à la décision, la mise en place de contrôles et la mesure de l'efficacité du programme. L'évaluation des risques, dans le cadre du processus de gestion des risques de sécurité de Microsoft, constitue uniquement une phase du cycle de gestion des risques.
L'autre aspect permettant de distinguer la gestion des risques de l'évaluation des risques est leur fréquence de lancement. La gestion des risques est définie comme un cycle continu, mais elle est généralement relancée à intervalles réguliers afin d'actualiser les données à chaque étape du processus. Le processus de gestion des risques est généralement aligné sur le cycle fiscal comptable de l'entreprise afin d'aligner les demandes de crédits destinés aux contrôles sur les processus commerciaux classiques. L'alignement des solutions de contrôle sur les cycles budgétaires annuels dans le cadre du processus de gestion des risques s'effectue en général tous les ans.
Bien que l'évaluation des risques soit une phase à part entière et obligatoire du processus de gestion des risques, le groupe de sécurité informatique peut mener plusieurs évaluations des risques parallèlement à la phase de gestion des risques ou au cycle budgétaire en cours. Le groupe de sécurité informatique peut en lancer chaque fois qu'un changement susceptible d'affecter la sécurité survient dans l'entreprise. Il peut s'agir de l'introduction de nouvelles pratiques commerciales, de la découverte de nouvelles vulnérabilités ou de modifications au niveau de l'infrastructure. Ces fréquentes évaluations des risques sont souvent appelées évaluations des risques ad-hoc ou évaluations des risques d'étendue limitée, et viennent compléter le processus formel de gestion des risques. Les évaluations ad-hoc portent généralement sur une zone de risque particulière et n'exigent pas autant de ressources que l'ensemble du processus de gestion des risques. L'annexe A, « Évaluation des risques ad-hoc », décrit et fournit un exemple de modèle d'évaluation des risques ad-hoc.
Tableau 3.1 : Gestion des risques et évaluation des risques
| Objectif |
Ramener les risques à un niveau acceptable dans l'entreprise |
Identifier et hiérarchiser les risques |
| Cycle |
Programme complet réparti sur quatre phases |
Phase unique du programme de gestion des risques |
| Planification |
Continue |
Autant que nécessaire |
| Alignement |
Sur les cycles budgétaires |
S/O |
#### Communication des risques
Les différentes personnes impliquées dans le processus de gestion des risques définissent chacun à leur manière le terme *risque*. Afin de garantir une cohérence à tous les niveaux du cycle de gestion des risques, le processus de gestion des risques de sécurité de Microsoft exige la compréhension et l'adoption par tous les protagonistes d'une seule et même définition de ce terme. Selon la définition fournie au chapitre 1, « Introduction au guide de gestion des risques de sécurité », le risque correspond à la probabilité de réalisation d'un impact sur l'entreprise. Cette définition implique la constitution d'une déclaration d'impact et la prévision du moment où l'impact risque de se produire (également appelée « probabilité d'impact »). Lorsqu'une déclaration de risque contient les deux composants du risque (probabilité et impact), le processus parle de *déclaration de risque complète*. Utilisez ce terme pour garantir une compréhension globale de la nature composée du risque. Le schéma suivant décrit le risque à son niveau le plus élémentaire.
[.gif)](https://technet.microsoft.com/fr-fr/cc163153.rmch0303_big(fr-fr,technet.10).gif)
**Illustration 3.3 Déclaration de risque complète**
Il est primordial que l'ensemble des personnes impliquées dans le processus de gestion des risques comprenne la complexité de chaque élément de la définition du risque. Seule une compréhension parfaite de la notion de risque permet à l'entreprise d'entreprendre les actions adaptées à la gestion de ce dernier. Par exemple, la définition d'un impact sur l'entreprise nécessite de connaître la nature de la ressource affectée, le type de dommage potentiel et son ampleur sur la ressource. Pour évaluer la probabilité de réalisation d'un impact, vous devez comprendre la manière dont chaque impact peut survenir et dans quelle mesure l'environnement de contrôle actuel est capable de réduire la probabilité du risque.
À l'aide des termes définis au chapitre 1, « Introduction au guide de gestion des risques de sécurité », la déclaration de risque suivante explique comment présenter à la fois les éléments de l'impact et sa probabilité :
Le risque constitue la probabilité d'exploitation d'une vulnérabilité dans l'environnement actuel, entraînant un certain niveau de perte de confidentialité, d'intégrité ou de disponibilité d'une ressource.
Le processus de gestion des risques de sécurité de Microsoft fournit les outils permettant de communiquer et de mesurer de façon cohérente la probabilité et le niveau de perte entraîné par chaque risque. Les chapitres de ce guide abordent successivement les étapes du processus permettant de définir chaque composant de la déclaration de risque complète afin d'identifier et de hiérarchiser les risques potentiels pour l'entreprise. Le schéma suivant se base sur la déclaration de risque élémentaire abordée précédemment pour montrer les relations entre chaque élément du risque.
[.gif)](https://technet.microsoft.com/fr-fr/cc163153.rmch0304_big(fr-fr,technet.10).gif)
**Illustration 3.4 Composants d'une déclaration de risque complète**
Pour faciliter la communication de l'ampleur de l'impact et le niveau de probabilité dans la déclaration de risque, le processus de gestion des risques de sécurité de Microsoft commence par hiérarchiser les risques à l'aide de termes relatifs tels qu'élevé, modéré et faible. Cette terminologie de base simplifie le choix des niveaux de risque, mais elle n'est pas suffisamment détaillée pour sélectionner la solution de minimisation la plus efficace lorsque vous effectuez une analyse coût/bénéfices. Pour palier la faiblesse de cette approche qualitative élémentaire, le processus fournit des outils permettant d'effectuer une évaluation détaillée des niveaux de risque. Le processus intègre également des attributs quantitatifs pour faciliter l'analyse coût/bénéfices servant au choix des contrôles.
Une des erreurs courantes rencontrées dans les disciplines de gestion des risques consiste à négliger les définitions qualitatives telles que les risques élevés, modérés et faibles courus par l'entreprise. Votre programme de gestion des risques de sécurité identifie un grand nombre de risques. Bien que le processus de gestion des risques de sécurité de Microsoft vous aide à effectuer de manière cohérente des estimations quantifiables et qualitatives des risques, il incombe à l'équipe de gestion des risques de sécurité de définir la signification de chaque valeur à l'aide de termes spécifiques à l'activité. Par exemple, un risque élevé pour votre entreprise peut renvoyer à une vulnérabilité survenant dans l'année suivante et entraînant la perte d'intégrité de la propriété intellectuelle la plus précieuse pour votre entreprise. L'équipe de gestion des risques de sécurité doit indiquer la définition de chaque élément de la déclaration de risque complète. Le chapitre suivant fournit des instructions sur la définition des niveaux de risque. Il vous aide à définir des niveaux de risque adaptés à votre entreprise. Le processus ne fait que faciliter l'exercice en vous aidant à maintenir une cohérence et une visibilité tout au long du processus.
#### Évaluation du degré de maturité de la gestion des risques de votre entreprise
Avant de tenter d'appliquer le processus de gestion des risques de sécurité de Microsoft, l'entreprise doit évaluer son degré de maturité en la matière. Une entreprise qui ne dispose d'aucune stratégie ni processus formels concernant la gestion des risques de sécurité aura des difficultés à mettre en pratique tous les aspects du processus à la fois. Même les entreprises dotées de stratégies et de directives formelles déjà bien intégrées par la majorité des employés sont parfois légèrement dépassées par le processus. Par conséquent, une évaluation du degré de maturité de votre propre entreprise est primordiale. Si vous trouvez que votre entreprise est encore relativement inexpérimentée, il se peut que vous souhaitiez étaler l'introduction du processus sur plusieurs mois, par exemple, en le pilotant au sein d'une entité commerciale jusqu'à ce vous ayez accompli plusieurs cycles. Une fois l'efficacité du processus de gestion des risques de sécurité de Microsoft démontrée au travers de ce programme pilote, l'équipe de gestion des risques de sécurité peut alors progressivement l'étendre à d'autres entités commerciales, pour ensuite l'adopter à l'échelle de l'entreprise.
Méthode d'évaluation du degré de maturité de votre entreprise Dans le cadre du CoBIT (Control Objectives for Information and Related Technology), l'institut ITGI (IT Governance Institute, institut de gouvernance informatique) décrit un modèle de maturité de gouvernance des systèmes d'information. Vous pouvez acquérir et consulter le CoBIT pour y trouver une méthode détaillée d'évaluation du degré de maturité de votre entreprise. Le processus de gestion des risques de sécurité de Microsoft répertorie les éléments utilisés dans le CoBIT et présente une approche simplifiée à partir des modèles également développés par Microsoft Services. Les définitions de degrés de maturité présentés ici s'appuient sur la norme ISO *Technologies de l'information* — *Code de pratique pour la gestion de sécurité d'information*, également appelée ISO 17799.
Vous pouvez évaluer le degré de maturité de votre entreprise en le comparant aux définitions du tableau ci-dessous.
**Tableau 3.2 : Degrés de maturité de la gestion des risques**
| 0 |
Inexistant |
Stratégie (ou processus) non définie ; auparavant, l'entreprise ignorait les risques potentiels liés à la gestion des risques. Par conséquent, aucune communication n'a été faite à ce sujet. |
| 1 |
Ad-hoc |
Il apparaît clairement que certains membres de l'entreprise ont compris que la gestion des risques était importante. Toutefois, les efforts de gestion des risques sont menés de façon ad-hoc. Il n'existe aucun processus ni stratégie définis et le processus n'est pas entièrement renouvelable. De façon générale, les projets de gestion des risques semblent chaotiques et désordonnés. De plus, les résultats ne sont ni évalués ni audités. |
| 2 |
Renouvelable |
La notion de gestion des risques n'est pas inconnue au sein de l'entreprise. Le processus de gestion des risques est renouvelable mais inexpérimenté. Le processus n'est pas complètement défini ; toutefois, des actions sont menées régulièrement et l'entreprise s'emploie à établir un processus de gestion des risques complet impliquant des cadres supérieurs. Il n'existe aucune formation ou communication officielle concernant la gestion des risques ; la mise en place d'un processus incombe à chaque employé. |
| 3 |
Processus défini |
L'entreprise a pris la décision de s'en remettre totalement à la gestion des risques pour diriger son programme de sécurité informatique. Un processus de base aux objectifs clairement définis et incluant des opérations formelles a été développé pour atteindre un certain niveau d'efficacité et le mesurer. En outre, une formation rudimentaire à la gestion des risques est proposée à l'ensemble du personnel. Enfin, l'entreprise met en place activement ses processus formels de gestion des risques. |
| 4 |
Géré |
Une compréhension totale de la gestion des risques est présente à tous les niveaux de l'entreprise. Il existe des procédures de gestion des risques, le processus est clairement défini, le personnel est largement sensibilisé, une formation rigoureuse est proposée et des méthodes d'évaluation primaires sont mises en place pour mesurer l'efficacité du processus. Le programme de gestion des risques dispose des ressources suffisantes, une bonne partie de l'entreprise en bénéficie et l'équipe de gestion des risques de sécurité améliore de manière constante ses processus et ses outils. Des outils technologiques sont utilisés pour faciliter la gestion des risques, mais un grand nombre voire la plupart des procédures d'évaluation des risques, d'identification des contrôles et d'analyse coût/bénéfices sont effectuées manuellement. |
| 5 |
Optimisé |
L'entreprise a alloué des ressources importantes à la gestion des risques de sécurité et les membres du personnel essayent d'anticiper les problèmes et les solutions susceptibles de se présenter dans les mois et les années à venir. Le processus de gestion des risques est bien assimilé et considérablement automatisé à travers l'utilisation d'outils (développés en interne ou achetés à des distributeurs de logiciels indépendants). La cause principale de tous les problèmes de sécurité est identifiée et les actions appropriées sont entreprises pour limiter le risque de répétition. Des formations en fonction des niveaux d'expertise sont proposées au personnel. |
##### Autoévaluation du degré de maturité de la gestion des risques de votre entreprise
La liste de questions suivante vous propose une méthode plus rigoureuse d'évaluation du degré de maturité de votre entreprise. Ces questions appellent des réponses subjectives, mais en y répondant honnêtement, vous serez capable d'évaluer dans quelle mesure votre entreprise est prête à mettre en place le processus de gestion des risques de sécurité de Microsoft. Notez votre entreprise sur une échelle de 0 à 5, en vous aidant des définitions des degrés de maturité précédentes.
1. Les stratégies et les procédures relatives à la sécurité informatique sont claires, précises, bien définies et complètes.
2. Le rôle et les responsabilités du personnel dont la fonction est en rapport avec la sécurité informatique sont clairement énoncés et bien compris.
3. Les stratégies et procédures de sécurisation de l'accès d'un tiers aux données de l'entreprise sont bien définies. Par exemple, les distributeurs à distance effectuant le développement d'une application pour un outil interne à l'entreprise disposent d'un accès suffisant aux ressources du réseau pour une collaboration efficace et effectuer leur tâche, mais leur accès reste limité à leurs tâches.
4. L'inventaire des ressources informatiques, telles que le matériel, les logiciels et le référentiel d'entreprise, est correct et à jour.
5. Des contrôles appropriés sont mis en place pour protéger les données de l'entreprise des accès non-autorisés de la part du personnel interne, mais également des intervenants externes.
6. Des programmes de sensibilisation des utilisateurs efficaces, tels que des formations et des bulletins d'informations concernant les stratégies et les pratiques de sécurité informatique sont instaurés.
7. L'accès physique au réseau et aux autres ressources informatiques est limité grâce à des contrôles efficaces.
8. Les nouveaux systèmes informatiques sont intégrés conformément aux normes de sécurité de l'entreprise à l'aide d'outils automatisés tels que la copie d'image disque ou les scripts de compilation.
9. Un système de gestion des correctifs efficace permet de livrer automatiquement les mises à jour des logiciels de la plupart des distributeurs à la majorité des systèmes informatiques de l'entreprise.
10. Une équipe de réponse aux incidents a été formée. Cette dernière a développé et défini des processus efficaces permettant de traiter et d'assurer le suivi des incidents de sécurité. Une enquête est menée pour chaque incident jusqu'à identification de la cause et résolution de chaque problème.
11. L'entreprise dispose d'un programme antivirus complet présentant plusieurs couches de défense, mène des campagnes de sensibilisation des utilisateurs et bénéficie de processus efficaces de réponse aux attaques virales.
12. Les processus de création des comptes utilisateur sont clairement définis et au moins partiellement automatisés afin que les nouveaux employés, distributeurs et partenaires disposent à tout moment d'un niveau d'accès approprié aux systèmes d'information de l'entreprise. Ces processus doivent également prendre en charge la désactivation et la suppression de comptes utilisateur qui ne servent plus.
13. L'accès aux ordinateurs et au réseau est contrôlé grâce à l'authentification et à l'autorisation des utilisateurs, à des listes d'accès restreints à certaines données et à une surveillance proactive des violations de la politique de sécurité.
14. Les développeurs informatiques sont compétents et nettement sensibilisés aux normes de sécurité relatives à la création de logiciel et au test d'assurance qualité du code.
15. La continuité des opérations de l'entreprise et les programmes correspondants sont clairement définis, bien diffusés et testés à intervalles réguliers à l'aide de simulations et d'analyses.
16. Les programmes sont en place et garantissent de manière efficace que l'ensemble du personnel effectue ses tâches conformément aux exigences légales.
17. Des contrôles effectués par des tiers et des audits sont régulièrement pratiqués pour vérifier la conformité des processus aux pratiques standard de sécurité des ressources d'entreprise.
Calculez la note de votre entreprise en ajoutant toutes les notes attribuées aux questions précédentes. En théorie, les notes peuvent se situer entre 0 et 85 ; cependant, peu d'entreprises atteignent les notes minimales ou maximales.
Une note égale ou supérieure à 51 indique que l'entreprise est prête à intégrer et à utiliser le processus de gestion des risques de sécurité de Microsoft dans son intégralité. Une note comprise entre 34 et 50 indique que l'entreprise a pris un grand nombre de mesures importantes pour contrôler les risques de sécurité et est prête à intégrer progressivement le processus. Les entreprises qui obtiennent une note dans cette catégorie doivent envisager de déployer le processus dans quelques entités commerciales pendant quelques mois avant d'appliquer le processus à l'ensemble de l'entreprise. Les entreprises qui obtiennent une note inférieure à 34 doivent envisager d'adopter le processus de gestion des risques de sécurité de Microsoft très lentement en formant une équipe de gestion des risques de sécurité fondamentale et en ne l'appliquant qu'à une seule entité commerciale dans les premiers mois. Une fois que ces entreprises réalisent l'utilité du processus en l'utilisant pour minimiser les risques de cette entité commerciale, elles peuvent l'étendre à deux ou trois autres entités, dans la mesure du possible. Continuez à adopter le processus, mais lentement, car les modifications introduites peuvent être considérables. Mieux vaut ne pas perturber l'entreprise au point d'affecter sa capacité à mener à bien ses activités. C'est à vous de juger : tous les systèmes laissés sans protection présentent des risques de sécurité et de responsabilités et vous seul connaissez le mieux vos systèmes. Si vous estimez qu'il est urgent d'intégrer le processus sans tenir compte de notre conseil, faites-le.
Choisissez avec prudence l'entité commerciale dans laquelle vous souhaitez mettre en place des programmes pilote. Les aspects à prendre en compte sont le niveau d'importance de la sécurité pour cette entité commerciale, le niveau auquel la sécurité se définit en termes de disponibilité, d'intégrité et de confidentialité des informations et des services. Exemples de questions possibles :
- Le degré de maturité de la gestion des risques de sécurité de cette entité commerciale dépasse-t-il le niveau moyen au sein de l'entreprise ?
- Le responsable de cette entité commerciale soutiendra-t-il activement le programme ?
- L'entité commerciale dispose-t-elle d'un niveau de visibilité élevé au sein de l'entreprise ?
- L'intérêt du programme pilote du processus de gestion des risques de sécurité de Microsoft sera-t-il transmis efficacement au reste de l'entreprise s'il réussit ?
Vous devez vous poser les mêmes questions lorsqu'il s'agit de sélectionner les entités commerciales auxquelles étendre le programme.
**Remarque :** le National Institute for Standards and Technology (NIST), agence du département du commerce des États-Unis, propose un autre exemple d'autoévaluation des technologies de l'information qui peut vous aider à évaluer votre degré de maturité ; consultez la publication spéciale 800-26 sur le site http://csrc.nist.gov/ (en anglais).
#### Définition des rôles et des responsabilités
L'attribution de rôles et de responsabilités bien définies est un facteur de réussite crucial pour tout programme de gestion des risques en raison de la nécessité d'interaction entre les groupes et de répartition des responsabilités. Le tableau suivant décrit les principaux rôles et responsabilités utilisés dans le cadre du processus de gestion des risques de sécurité de Microsoft.
**Tableau 3.3 : Principaux rôles et responsabilités du processus de gestion des risques de sécurité de Microsoft**
| Soutien de la direction |
Soutient toutes les activités en rapport avec la gestion des risques potentiels pour l'entreprise, par exemple, le développement, le financement, l'autorité et le soutien à l'équipe de gestion des risques de sécurité. Ce rôle est généralement attribué à un cadre supérieur, par exemple, le responsable de la sécurité ou le responsable de l'information. Ce rôle désigne la partie décisionnaire en matière de définition du niveau de risque acceptable pour l'entreprise. |
| Responsable de l'entreprise |
Il est responsable des ressources matérielles et virtuelles de l'entreprise. Les responsables d'entreprises sont également en charge de la hiérarchisation des ressources de l'entreprise et de la définition de l'ampleur des impacts sur les ressources. Généralement, il leur incombe de définir les niveaux de risque acceptables ; cependant, c'est le soutien de la direction qui prend la décision finale, compte tenu des commentaires du groupe de sécurité informatique. |
| Groupe de sécurité informatique |
Intervient sur l'ensemble du processus de gestion des risques, y compris lors des phases d'évaluation des risques et de mesure de l'efficacité du programme. Il définit également les exigences de sécurité fonctionnelles et évalue les contrôles techniques, ainsi que l'efficacité globale du programme de gestion des risques de sécurité. |
| Groupe informatique |
Comprend l'architecture, l'ingénierie et les opérations informatiques. |
| Équipe de gestion des risques de sécurité |
Responsable de l'ensemble du programme de gestion des risques. Elle est également responsable de la phase d'évaluation des risques et de la hiérarchisation des risques potentiels pour l'entreprise. Cette équipe doit être composée au minimum d'un facilitateur et d'un preneur de notes. |
| Facilitateur d'évaluation des risques |
En tant que responsable de l'équipe de gestion des risques de sécurité, il dirige les discussions relatives à la collecte d'informations. Ce rôle implique une position centrale au sein de l'ensemble du processus de gestion des risques. |
| Preneur de notes d'évaluation des risques |
Note les informations détaillées concernant les risques au cours des discussions relatives à la collecte de données. |
| Responsables de la minimisation des risques |
Responsables de la mise en place et de la maintenance de solutions de contrôle visant à amener le risque à un niveau acceptable. Les responsables de la minimisation des risques incluent les membres du groupe informatique et, dans certains cas, des responsables d'entreprises. |
| Comité de contrôle de la sécurité |
Il est composé de l'équipe de gestion des risques de sécurité, de représentants du groupe informatique et de certains responsables d'entreprises. En général, le soutien de la direction préside ce comité. Ce dernier est chargé de sélectionner des stratégies de minimisation et de définir un niveau de risque acceptable pour l'entreprise. |
| Parties prenantes |
Terme générique désignant les participants directs et indirects au sein d'un processus ou d'un programme donné ; ce terme est utilisé tout au long du processus de gestion des risques de sécurité de Microsoft. Parmi les parties prenantes peuvent figurer des groupes extérieurs au domaine informatique, par exemple, des représentants des services financiers, des relations publiques et des ressources humaines. |
L'équipe de gestion des risques de sécurité sera amenée à rencontrer des personnes qui n'ont jamais pris part à un processus de gestion des risques et qui sont susceptibles ne de pas complètement comprendre leurs rôles. Toutes les occasions sont bonnes pour présenter le processus et ses participants. L'objectif est de parvenir à un consensus et d'insister sur le fait que tous les participants ont un rôle à jouer dans la gestion des risques. Vous pouvez utiliser le schéma suivant qui rassemble les participants clés et présente un aperçu de leurs relations, pour communiquer les rôles et les responsabilités précédemment définis ; il fournit une vue d'ensemble du programme de gestion des risques.
En résumé, le soutien de la direction a le dernier mot en matière de niveau d'acceptabilité du risque et conseille l'équipe de gestion des risques de sécurité dans la hiérarchisation des risques potentiels pour l'entreprise. L'équipe de gestion des risques de sécurité est chargée de l'évaluation des risques et de la définition d'exigences fonctionnelles visant à minimiser les risques et à les amener à un niveau acceptable. L'équipe de gestion des risques de sécurité se met alors en relation avec les groupes informatiques, chargés de la sélection, de la mise en place et du fonctionnement des stratégies de minimisation des risques. La dernière relation définie dans le schéma ci-dessous représente la mesure de l'efficacité des contrôles mis en place par l'équipe de gestion des risques de sécurité. Cette opération est généralement effectuée sous forme de rapports d'audit qui sont également communiqués au soutien de la direction.
[.gif)](https://technet.microsoft.com/fr-fr/cc163153.rmch0305_big(fr-fr,technet.10).gif)
**Illustration 3.5 Présentation des rôles et des responsabilités utilisées au cours du processus de gestion des risques de sécurité de Microsoft**
##### Formation de l'équipe de gestion des risques de sécurité
Avant d'amorcer le processus d'évaluation des risques, attachez-vous à définir clairement les rôles au sein de l'équipe de gestion des risques de sécurité. La gestion des risques s'étendant à l'ensemble de l'entreprise, il se peut que des personnes extérieures au groupe de sécurité informatique demandent à intégrer l'équipe. Dans ce cas, définissez précisément le rôle de chaque membre et alignez-les sur les rôles et les responsabilités définies dans l'ensemble du programme de gestion des risques ci-dessus. Le fait de consacrer dès le départ du temps à la définition des rôles évite la confusion et facilite les prises de décision tout au long du processus. Tous les membres de l'équipe doivent comprendre que le groupe de sécurité informatique est responsable de l'ensemble du processus. La notion de responsabilité est capitale à définir, car ce groupe constitue la seule partie prenante clé présente à toutes les étapes du processus, y compris les rapports à la direction.
###### Rôles et responsabilités de l'équipe de gestion des risques de sécurité
Une fois l'équipe de gestion des risques de sécurité formée, vous devez absolument attribuer des rôles précis à chacun et les conserver tout au long de l'ensemble du processus. Les principaux rôles, Facilitateur d'évaluation des risques et Preneur de notes d'évaluation des risques sont décrits ci-dessous.
Le facilitateur d'évaluation des risques doit disposer d'une connaissance approfondie de l'ensemble du processus de gestion des risques et d'une compréhension totale de l'activité, ainsi que des risques de sécurité techniques liés aux fonctionnements de l'entreprise. Cette personne doit être capable de traduire des scénarios d'entreprise en risques techniques tout en menant des discussions sur les risques. Par exemple, le facilitateur de d'évaluation des risques doit comprendre à la fois les menaces techniques dirigées contre les employés mobiles et les vulnérabilités de ces derniers, ainsi que la valeur commerciale de tels employés. Par exemple, les règlements des clients ne peuvent pas être traités si un employé mobile ne peut accéder au réseau de l'entreprise. Le facilitateur d'évaluation des risques doit comprendre de tels scénarios et être capable d'identifier les risques techniques et les exigences de contrôle potentielles, comme la configuration des périphériques mobiles et les exigences d'authentification. Si possible, choisissez un facilitateur d'évaluation des risques qui possède une expérience dans l'évaluation des risques et qui maîtrise l'ensemble des priorités de l'entreprise.
Si un facilitateur manque d'expérience en matière d'évaluation des risques, désignez un collègue qualifié ou un consultant pour l'assister. En outre, assurez-vous qu'au moins un des membres du groupe de sécurité informatique comprend l'activité de l'entreprise et les parties prenantes.
**Remarque :** vous pouvez être tenté d'externaliser le rôle de facilitateur de l'évaluation des risques, mais prenez garde à ne pas perdre la relation avec les parties prenantes, l'entreprise et les connaissances en matière de sécurité lorsque les consultants vous quitteront. Ne sous-estimez pas la valeur du processus de gestion des risques pour les parties prenantes, ainsi que du groupe de sécurité informatique.
Le preneur de notes d'évaluation des risques est chargé de prendre des notes et de répertorier les activités de planification et de collecte de données. Cette responsabilité peut sembler trop informelle pour être proprement définie à ce stade ; toutefois, de solides compétences en prise de note sont payantes au niveau des processus d'aide à la décision et de hiérarchisation qui suivent. L'un des aspects les plus importants de la gestion des risques est la communication du risque dans des termes compréhensibles et applicables par les parties prenantes. Un preneur de note efficace facilite ce processus en fournissant une documentation écrite en cas de besoin.
[](#mainsection)[Haut de page](#mainsection)
### Résumé
Les chapitres 1 à 3 présentent la gestion des risques et définissent les objectifs et l'approche permettant de jeter les fondements de la mise en place du processus de gestion des risques de sécurité de Microsoft. Le chapitre suivant traite en détail la première phase : l'évaluation des risques. Les chapitres suivants abordent chaque phase du processus de gestion des risques : l'aide à la décision, la mise en place de contrôles et la mesure de l'efficacité du programme.
[](#mainsection)[Haut de page](#mainsection)
.gif)
.gif)