Avant toute action, l’analyse des risques est au cœur de la sécurité. C’est souvent le système d’information lui-même qui représente une des menaces majeures en termes de risque opérationnel pour l’entreprise. Pour assurer le fonctionnement optimal des activités, il faut en avoir mesuré le niveau d’exposition et de vulnérabilité. Maîtriser ses risques assure une confiance primordiale dans le SI tout en respectant les contraintes législatives et réglementaires (Bâle III, Certification des comptes).
Activus, une offre unique sur la sécurité du système d’information !
L’analyse des risques consiste à définir les biens de l’entreprise, ses besoins de sécurité, les événements redoutés, les scénarios de menaces, les impacts de survenue d’un sinistre.
A partir de ces résultats on définit la stratégie de traitement du risque permettant de statuer sur les contre-mesures.
L’analyse de risques doit être une approche pragmatique, opérationnelle et didactique.
Elle aboutit à la définition d’un plan d’actions en considérant les aspects organisationnels, financiers, de ressources humaines, d’applications, d’infrastructures et d’environnement.
Dans cette logique, nous proposons des outils d’analyse de risques utilisant les bases de connaissances de la méthodologie EBIOS de l’ANSSI et d’analyse de maturité utilisant le référentiel ISO27002. Ils simplifient et permettent ainsi un pilotage des activités de sécurité du système d’information par le référent sécurité ou le RSSI.
Les composantes d’un plan d’actions abordent un spectre large de contre-mesures techniques et non techniques dont les plans de continuité et de reprise d’activité (PCA/PRA) permettant d’assurer la continuité des activités stratégiques de l’entreprise.
