Survol de Risk IT UN NOUVEAU RÉFÉRENTIEL DE GESTION DES RISQUES TI GP - Québec 2010 JOURNÉE THÉMATIQUE SUR LES RISQUES 3 mars 2010 - Version 4.0 Mario Lapointe ing. MBA CISA CGEIT mario.lapointe@metastrategie.com
Votre conférencier Mario Lapointe ing. MBA CISA CGEIT Vice-président, Métastratégie 23 ans en TI au Gouvernement du Québec et au privé Architecture technologique, architecture d affaires, architecture d entreprises, architecture de sécurité, gestion intégrée des risques etc. Gestionnaires de projets variés; Info- Santé 811, GMF, convergence en télécommunication
Préambule Dans le monde des affaires d aujourd'hui, le risque joue un rôle critique. Presque chaque décision d'affaires exige des cadres et des gestionnaires un exercice pour balancer les risque et les bénéfices. Efficacement la gestion des risques d'affaires est essentielle au succès d'une entreprise.
Le problème visé Trop souvent, le risque TI (le risque d'affaires lié à l'utilisation des TI) est échappé. D'autres risques d'affaires, comme les risques du marché, les risques de crédit et les risques opérationnels ont longtemps été intégrés. Dans les processus décisionnel d'entreprise, les risques TI ont été relégués aux spécialistes techniques à l'extérieur de la salle du conseil, sous le même 'parapluie' que la catégorisations des risques comme d'autres risques d'affaires. Échec d atteinte des objectifs stratégiques.
Que fait-t-on? Le problème est clair. La solution? Pas évidente! Maintenant, on a depuis décembre 2009 Risk IT
Un jeu de principes directeurs et le premier "framework" pour aider les entreprises à identifier, gouverner et gérer efficacement le risque. Le plus récent produit de l' «IT Governance Institute (ITGI)»
L auteur de Risk IT L' «IT Governance Institute (ITGI)» est un organisme de recherche indépendant, à but non lucratif qui apporte une aide à la communauté commerciale internationale en ce qui concerne les problèmes associés à la gouvernance des actifs en systèmes d'information. Les deux outils mondialement connus sont :
Cadre de référence COBIT Généralement accepté comme un ensemble d outils assurant que les TI fonctionnent adéquatement Fonctionne comme un cadre référentiel structurant Fournit un langage commun pour communiquer les buts, objectifs et résultats attendus à toutes les parties prenantes Basé sur les bonne pratiques, et intégrant les normes reconnues et facilitant Alignement stratégique des TI sur les objectifs d affaires Livraison de la valeur des services et des projets Gestion des risques Gestion des ressources Mesure de la performance Fournir un cadre pour un programme d amélioration continue
Cadre de référence Val IT Val IT complète COBIT et traite : des investissements à forte composante IT pour des projets affaires du management d un Portefeuille de projets et de programmes de l élaboration et du suivi des business cases L objectif est de : Accroître la transparence des coûts, risques et bénéfices Accroître la probabilité d identifier les options gagnantes Accroître la probabilité de réussite de ces options gagnantes Réduire les coûts en ne faisant pas ce qu il n est pas utile de faire Réduire les risques d échecs à fort impact négatif pour les affaires Réduire les incertitudes relatives aux coûts, délais et qualité des projets IT
Val IT complète COBIT au niveau Performance pour former un référentiel complet de Gouvernance Val IT COBIT Les domaines de COBIT PO = Planifier et organiser AI = Acquérir et Implémenter DS = Délivrer et supporter SE (ME) = Surveiller et évaluer
Information System Audit and Control association (Isaca) Une association à but non lucratif qui a pour mission de promouvoir le développement professionnel des membres et des organisations dans les domaines de la : Gouvernance des technologies de l information Sécurité de l information Vérification des technologies de l information Isaca compte plus 86 000 membres répartis dans 160 pays et dispose d un réseau de 175 chapitres locaux répartis dans plus de 70 pays. Isaca possède trois certifications :
Isaca-Québec Compte plus de 130 membres, majoritairement des professionnels provenant de différents secteurs de l activité économique, tant publics que privés. Isaca-Québec contribue depuis de nombreuses années à la formation et au perfectionnement des professionnels en sécurité, audit et gouvernance des TI. Elle élabore et met en œuvre un programme annuel d activités s adressant à ses membres, mais aussi à la communauté des professionnels des TI de la région de Québec.
Le Risk IT c'est : Une structure basée sur un jeu de principes directeurs pour une direction efficace et gestion des risques TI Une composante du portefeuille de produit d'isaca pour la gouvernance TI
The Risk IT Framework
Positionnement CobiT, Val IT et Risk IT
Le Risk IT Framework
Survol du Risk IT Framework 3 Domaines 9 Procédures 43 Activités Pour chaque domaine - Modèle de maturité Pour chaque procédure - Entrées et sorties - Management - Objectifs et métriques
Le RISK IT framework comprend Gouvernance des risques (RG) RG1 Établir et maintenir une vue de risques communs RG2 S intègrer avec ERM RG3 Prendre des décisions de risques d'affaires Évaluation des risques (RE) RE1 Rassembler les données RE2 Analyser les risques RE3 Maintenir un profil de risques Réponse aux risques (RR) RR1 Articuler les risques RR2 Gérer les risques RR3 Réagir aux événements
Gouvernance des risques (RG) Objectif S assurer que les pratiques de gestion du risque TI sont incorporées dans l'entreprise, permettant de s assurer que la sécurité est optimale et que les risques sont ajustés. Mesures Le degré à lequel l'utilisation stratégique des TI augmente les ressources de l entreprise tout en réduisant les risques globaux de l entreprise Pourcentage de gestion du risque assumé par le personnel formé par des techniques de gestion pour les risques critiques (par exemple, les techniques d analyses de risques standard, gestion de crise, gestion de projet, les compétences des employés pour détecter quand une TI est incorrecte)
RG1 Établir une vision commune des But risques Assurer que les activités de gestion du risque sont alignées sur les capacités objectives de l'entreprise avec des seuils de tolérances Activités RG1.1 Entreprendre une analyse de risques TI de l entreprise RG1.2 Proposer des seuils de tolérance de risques TI. RG1.3 Approuver la tolérance de risque TI. RG1.4 Aligner la politique de risque TI RG1.5 Promouvoir une culture de risque TI. RG1.6 Encourager une communication efficace sur les risques TI
RG2 Intégrer avec ERM (Entreprise But Risk Management) Intégrer la stratégie de risque TI et les opérations avec les décisions de risques d'affaires stratégiques qui ont été établis au niveau d'entreprise. Activités RG2.1 Établir et maintenir les responsabilités pour la gestion de risques TI RG2.2 Coordonner la stratégie de risque TI et la stratégie de risque d'affaire RG2.3 Adapter les pratiques de risque TI aux pratiques de risques d'entreprise RG2.4 Identifier les ressources adéquates pour gérer les risques TI RG2.5 S assurer d une assurance d indépendance de la gestion des risques TI
RG3 Prendre des décisions de But risque d'affaires S assurer que les décisions d'entreprise considèrent la gamme complète des occasions que les TI peuvent contribuer au succès Activités RG3.1 Tirer profit de la gestion des risques TI RG3.2 Approuver l'analyse de risque TI. RG3.3 Considérer les risques TI comme stratégique RG3.4 Accepter le risque TI. RG3.5 Prioriser les activités de réponses aux risques TI.
Évaluation des risques (RE) Objectif S assurer que les risques IT et les opportunités sont identifiées, analysés et présentés dans des termes d'affaires. Mesures Impact cumulatif sur les affaires provoqués par des incidents et des événements TI non identifiés par le processus d'évaluation des risques
RE1 Rassembler les données But Identifier des données appropriées pour permettre une identification, une analyse et un rapport efficace de risques TI Activités RE1.1 Établir et maintenir un modèle de collecte de données. RE1.2 Rassembler les données sur l'environnement d'exploitation. RE1.3 Rassembler les données sur des événements de risque. RE1.4 Identifier les facteurs de risque.
RE2 Analyse les risques But Développer l'information utile pour que la prise de décisions de risque tienne compte de la pertinence et des facteurs de risques d'affaires Activités RE2.1 Définir la portée d'analyse de risque TI. RE2.2 Estimer les risques TI RE2.3 Identifier les options de réponse aux risques. RE2.4 Exécuter une révision de l'analyse de risque par un pair
RE3 Maintenir un profil de risques But Maintenir un inventaire complet et à jour des risques et attributs connus (par exemple, fréquence, impacts potentiels, conséquences), des ressources TI, des capacités et des contrôles dans le contexte de produits, services et processus d'affaires. Activités RE3.1 Produire une carte des ressources TI requises aux processus d affaires RE3.2 Déterminer les ressources TI critiques pour les affaires RE3.3 Comprendre les capacités TI. RE3.4 Mettre à jour les composantes de scénarios de risque. RE3.5 Maintenir à jour le risque le registre TI et la carte de risques TI. RE3.6 Développer les indicateurs de risque.
Réponse aux risques (RR) Objectif S assurer que les risques TI, les opportunités, les événements et les occasions sont adressés de façon rentable et en lien avec les priorités d'affaires. Mesures Impact cumulatif sur les affaires provoqué par des incidents et événements TI anticipé par le processus l évaluation de risque, mais non encore adressé dans un plan d'actions visant à le réduire.
RR1 Articuler les risques But Assurer que l'information sur l état réel de l exposition des risques TI et leurs impacts sont disponibles de façon correcte au personnel requis pour une réponse appropriée. Activités RR1.1 Communiquer les résultats de l'analyse de risque. RR1.2 Annoncer des activités de gestion du risque TI et l état de conformité. RR1.3 Interpréter indépendamment les possibilités TI RR1.4 Identifier les opportunités TI
RR2 Gérer les risques But S assurer que des mesures pour évaluer les occasions stratégiques et réduire les risques à un niveau acceptable sont gérées dans un portefeuille. Activités RR2.1 Faire l inventaires des contrôles RR2.2 Contrôler l'alignement opérationnel avec le seuil de tolérance des risques RR2.3 Répondre à la découverte d'une exposition de risque RR2.4 Implémenter les contrôles RR2.5 Annoncer le progression du plan d'action des risques TI
RR3 Réagir aux événements But S assurer que des mesures pour réagir immédiatement à une opportunité ou à une limitation de l'ampleur de perte d un événement TI ont été activées d une manière opportune visant leur efficacité. Activités RR3.1 Maintenir les plans de réponse aux incidents. RR3.2 Surveiller les risques TI. RR3.3 Amorcer une réponse aux incidents. RR3.4 Communiquer les leçons apprises lors d événements de risques
The Risk IT Practitioner Guide
Contenu du Practitioner Guide 8 sections 1. Définition de l environnement de risques et son management 2. Appréciation et tolérance aux risques 3. Évaluation des risques, communication et rapport 4. Classification et description des risques 5. Scénario de risques 6. Réponse et priorisation des risques 7. Cheminement (workflow) d analyse des risques 8. Mitigation des risques TI avec CobiT et Val IT
2- Exemples de scénarios de risques et leurs appréciations
2- Exemple d une carte d appréciation des risques
2- Exemple des scénarios associés avec la carte des risques
5 - Composantes de scénario de risque TI
Scénario de RISQUE de haut niveau 1 de 4 1 Sélection des programmes TI 2 Nouvelles technologies 3 Sélection des technologies 4 Processus décisionnel des investissements technologiques 5 Responsabilité des TI 6 Intégration des TI aux affaires 7 État de l'infrastructure technologique 8 Vieillissement des logiciels d'application 9 Agilité et flexibilité de l architecture
Scénario de RISQUE de haut niveau 2 de 4 10 Conformité réglementaire 11 Mise en service de logiciel 12 Gestion de la fin des projets 13 Économie des projets TI 14 Livraison des projets 15 Qualité des projet 16 Sélection et performance des fournisseurs et tiers 17 Vol d'infrastructure 18 Destruction d'infrastructure
Scénario de RISQUE de haut niveau 3 de 4 19 Personnel en technologies de l information 20 Expertise et compétences en technologies de l information 21 Intégrité des logiciels 22 Infrastructure matériel 23 Performance des logiciels 24 Capacité des systèmes 25 Vieillissement des logiciels d infrastructures 26 Intrusions logiciels 27 Attaques logiques
Scénario de RISQUE de haut niveau 4 de 4 28 Médias de support à l'information 29 Performance des logiciels de supports 30 Action de niveau industriel 31 Intégrité des bases de données 32 Intrusion logiciel 33 Erreurs d opération des TI 34 Conformité contractuelle 35 Environnement 36 Actes naturels
7- Workflow d analyse des risques
Merci pour votre attention Des questions?