Gestion des risques d'un projet informatique
La gestion des risques d’un projet informatique repose sur l’analyse continue des risques éventuels du projet afin de pouvoir l'accommoder aux résultats de cette analyse.
Pourquoi Ă©valuer les risques[1]
L'évaluation des risques est une analyse approfondie des scénarios éventuels de leur apparition.
Elle a pour but de:
- Adopter les mesures adéquates face à ces risques
- Améliorer la sécurité du projet
- Être une base pour la gestion du projet (la planification, l’abandon de certaines fonctionnalités, le choix des fournisseurs, la prévision des délais de livraison et des délais d’adaptation...)
Comment Ă©valuer les risques
Notons que la méthode d’évaluation des risques doit correspondre au contexte. Toutefois, on peut présenter dans cette partie des directives générales.
Directives générales[2]
- Énumérer, recenser tous les risques probables
- Estimer la probabilité d’apparition, la vraisemblance du scénario d’apparition
- Estimer l’impact potentiel sur le projet
- Pour chaque risque, définir le traitement envisageable
- Évaluer le coût de ce traitement
- Comparer l’impact éventuel par rapport au coût du traitement éventuel :
- Coût / sécurité
- Coût/ avantage
- Donner une note pour chaque risque en fonction de l’étape précédente, afin de les ordonner.
L’évaluation pouvant être quantitative ou qualitative selon la difficulté à pouvoir estimer.
Risques probables dans un projet informatique[3] - [4] - [5] - [6]
Cette liste est donnée à titre indicative, elle n’est pas exhaustive et dépend de l’organisation.
- Spécifications (cahier des charges) ambiguës
- Évolution des technologies (obsolescence des TIC actuels)
- Demandes de changements au cours du projet
- Manque d’expertise de la maîtrise d’œuvre
- Conflits entre utilisateurs
- Mauvaise installation
- Mauvaise utilisation des TIC (complexité technique)
- Budget et délais insuffisants
- Sabotage / résistance par les utilisateurs
- Fuite d’information
- Insécurité du système d'information
Traitements envisageables
Les traitements dépendent de la méthode de gestion adoptée et des choix de l'entreprise.
Selon ISO 27005 [7], ces traitements seraient:
- Refus du risque : Éliminer l’activité qui amène au risque.
- RĂ©duction du risque : Diminuer le risque.
- Transfert du risque : Transférer le risque à une autre « entité » capable de le gérer.
- Conservation du risque : Maintenir le risque tel quel.
Comment gérer les risques
La gestion des risques dépend de la méthode ou du référentiel choisi ainsi que des choix de l’entreprise.
L’évaluation est une étape de cette gestion, mais il y a aussi le traitement choisi, le suivi et l’adaptation à l’évolution du SI.
Cette gestion n’est pas figée, elle se doit d'être continue et de prendre en compte tous les changements que le projet subit.
MĂ©thodes de gestion des risques des SI
Cette liste n'est pas exhaustive:
- ISO 27005
- La méthode harmonisée d'analyse des risques, (Mehari), développée par le CLUSIF
- Expression des besoins et identification des objectifs de sécurité,(EBIOS), développée par l'ANSSI
- La méthode d'analyse de risques informatiques optimisée par niveau, (Marion), développée par le CLUSIF.
Qui est chargé de la gestion des risques [8]?
Ceci est un choix de l’entreprise, mais ça peut être la responsabilité de:
- Le responsable de la sécurité de l'information
- Le propriétaire de chaque projet
- Le chef de projet
- Un consultant externe
Le CLUSIF mène chaque année des études sur le responsable de cette gestion dans l'échantillon d'entreprises qu'il étudie[8]. Les rapports de leurs études sont mis à disposition du public sur leur site.
Notes et références
- http://www.secinfo.gouv.fr/gp_article50.html
- (en) « 27000.org », sur 27000.org (consulté le ).
- http://www.dtic.mil/ndia/2004cmmi/CMMIT2WedPM/1142WarrenScheinin.pdf
- Keil et al., 1998
- sage, 1992 annotated by Buttigieg, 2004
- Revised Bohem Top Ten Source of Risk, 1991
- (en) « 27000.org », sur 27000.org (consulté le ).
- http://www.clusif.asso.fr/fr/production/ouvrages/type.asp?id=MENACES+INFORMATIQUES+ET+PRATIQUES+DE+SECURITE