En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 12/03/2018
    7ème édition de Big Data Paris

    Le congrès Big Data Paris se tiendra les 12 et 13 mars 2018 à Paris…

    en détail En détail...
  • 14/03/2018
    IT Partners, le rendez-vous de la communauté des décideurs du channel IT

    Le rendez-vous de la communauté des décideurs du channel IT français ouvrira ses portes les 14 et…

    en détail En détail...
Schneider_SMARTBUNKER_leaderboard

De l'évaluation du risque à la gestion des risques

NTT secu_Threat Intelligence report_pave

Par Jean-Laurent Santoni Directeur du Développement GRAS SAVOYE RISK CONSULTING DRC – Direction Risk Consulting 

Au cours des dernières années nous sommes passés progressivement des architectures fermées à des architectures ouvertes dont la dernière manifestation la plus significative n’est autre que le “Cloud”. Par voie de conséquence les audits de sécurité traditionnels, basés essentiellement sur les infrastructures physique et logique ont évolué vers l’audit des applicatifs tant au regard des données gérées qui constituent désormais une bonne part du patrimoine de toute organisation, qu’au regard des relations contractuelles des acteurs. De plus et compte tenu de l’évolution extrêmement rapide des technologies et des processus associés, on se voit aujourd’hui confronté à la nécessité de mettre en place une évaluation dynamique de la sécurité qui plus est à des fréquences de plus en plus fortes. Associé à l’évolution des architectures, nous sommes également passés d’un calcul probabiliste des causes à l’approche déterministe de hiérarchisation des impacts. Autrefois l’on pouvait se limiter à identifier les causes entre accident, erreur ou malveillance, avant d’en mesurer les conséquences strictement techniques en matière de disponibilité, d’intégrité, de confidentialité et de preuve, avant d’en évaluer les conséquences finales économiques et non économiques comme la perte d’image ou des condamnations autres que financières. A ce jour il est indispensable d’analyser finement les impacts des risques afin de pouvoir les classifier et les hiérarchiser, de telle sorte à choisir le bon traitement de ces risques (éviter, diminuer, accepter ou transférer). La notion d’acceptation du risque devient courante, avec la notion associée de risque résiduel qu’il est bien évidemment indispensable d’avoir bien mesuré quant à ses impacts. Cette notion de risque résiduel peut également servir de critère pour choisir parmi plusieurs options possibles. En ce qui concerne les données, cette même évolution a fait que nous avons évolué d’une approche sauvegarde au cycle de vie des informations. Nous nous intéressons désormais véritablement à la valeur des informations qui monte et descend au fil du temps, est sujette aux fluctuations des niveaux de services, aux exigences des utilisateurs et des clients, aux besoins de continuité d'activité et à la variation des opportunités de marché et aux contraintes réglementaires, d’où la nécessité de prendre en compte les aspects de conformité en même temps que ceux liés à la sécurité. Enfin nous sommes passés d’une responsabilité pour faute à un défaut de conformité à la norme ou autre réglementation. Au début était la faute et la démonstration du préjudice et du lien de causalité. Puis fut la responsabilité, du fait des choses et du défaut de conseils. Ensuite vint la création d’un risque, et l’indemnisation des lésés. Et maintenant arrive le défaut de conformité à une norme ou tout autre réglementation … et la sanction du marché et du régulateur. Bien entendu chacun n’est pas exclusif de l’autre

De l'évaluation du risque à la gestion des risques
Notez cet article

Article précedent
Que retenir du GRC ?


Article suivant
La nécessité de gouvernance


Laisser un commentaire

Threat Intelligence Report

À travers sa plateforme de cyberveille mondiale, NTT Security analyse 40 % du trafic Internet dans le monde. Découvrez le dernier rapport du centre mondial de cyberveille (Global Threat Intelligence Center) sur l’état des menaces au troisième trimestre 2017

Lire le rapport

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Données personnelles ou non : vers un marché numérique unique ?

      Le 13 septembre 2017, la Commission européenne a adopté la proposition de règlement fixant…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Du Cloud-first à l'IA : les tendances 2018 selon Aron Brand, CRO de Ctera Networks

    Aron Brand, CTO de CTERA Networks, spécialiste des services sécurisés de stockage Cloud, livre ses…

    > En savoir plus...
Etudes/Enquêtes
  • L'emploi cadre porté par le dynamisme des entreprises pariant sur le digital

    Selon la 16e édition du Baromètre Européen de l’Emploi de Robert Walters, l’année 2017 est…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

BlueMind_Nouvelle version_skycraper
Agenda
livres blancs
Les Livres
Blancs
  • Comment la signature électronique a permis à Salesforce, LinkedIn, et McAfee d’ améliorer leurs performances.

    > Voir le livre
  • Les bonnes pratiques pour implémenter une solution de personnalisation

    > Voir le livre
Global K_Data scientist_skycraper