Disponibilité

Puzzle pour F. expert de cohérence ana risques

Cohérence des analyses de risques

S’il est bien un problème qu’il est nécessaire d’éviter c’est de solliciter plusieurs fois des personnes pour poser les mêmes questions.

Pourtant c’est bien ce qui se passe dans de nombreuses entreprises lorsque d’un côté l’on sollicite des utilisateurs dans le cadre d’une analyse de risques et que de l’autre on les sollicite dans le cadre d’un plan de continuité d’activité. Cela est d’autant plus gênant que ces démarches sont assez consommatrices de temps. De plus, le fait de solliciter deux fois les utilisateurs sur des sujets identiques donne un peu un sentiment de désorganisation.

En effet, l’analyse de risque va généralement s’attacher à qualifier les impacts de la perte des critères suivants :

-         Disponibilité

-         Intégrité

-         Confidentialité

-         Preuve (traçabilité)

Dans le cadre de la démarche d’élaboration de PCA/PRA, une analyse de risque va également être menée au niveau de la phase dite d’analyse d’impacts. Elle va aussi s’attacher à déterminer les impacts de la perte des moyens de production mais de façon beaucoup plus fine. Elle va notamment évaluer le temps pendant lequel il est possible de se passer de ces moyens.

Dans les analyses de risques, le problème est que les analyses de perte de disponibilité qui sont menées restent assez générales et ne sont pas suffisantes pour déterminer de façon précise les moyens de continuité/ reprise d’activité. En effet, dans le cadre des PCA/PRA relatifs au sinistre des moyens informatiques, il existe deux éléments absolument fondamentaux dans ce domaine qui sont :

-         La Durée d’indisponibilité maximale autorisée (DIMA)

-         Perte de données maximale admissible (PDMA)

Ce sont ces éléments qui vont permettre de dimensionner les solutions techniques à mettre en œuvre.

Or les analyses de risques du type EBIOS, MEHARI, …ne rentrent pas dans ce niveau de détail et ne peuvent pas être utilisées telles quelles pour déterminer les solutions de continuité ou reprise d’activité.

Il existe donc une nécessaire mise en cohérence des analyses de risques avec les démarches de plans de continuité d’activité avant de solliciter les utilisateurs.

Il est d’ailleurs regrettable que cette problématique de cohérence ne soit pas abordée dans le référentiel ITIL.

Votre historique de navigation du : 22 Mai 2013
» Cohérence des analyses de risques
S’il est bien un problème qu’il est nécessaire d’éviter c’est de solliciter plusieurs fois......
Sauvegarder l'historique
Résultats connexes (6) pour les labels suivants :
MEHARI
EBIOS
Plans de secours
Plan de reprise d’activité
Plan de continuité d’activité
Confidentialité
Intégrité
Disponibilité
DICP
Preuve
» Plans de continuité d'activité (PCA)
AMJ effectue des missions de définition de plans de continuité / reprise d’activité depuis plus de 10 ans. Nos principales prestations dans ce domaine concernent : q     Elaboration de PCA / PRA q     Maintien en conditi...
» PCA ou PRA ?
En voilà une bonne question ! J’entends souvent dire qu’il s’agit de la même chose. D’un point de vue un peu global c’est effectivement un peu la même chose. Dans les deux cas, il s’agit bien de mettre en place un plan pour permettre de...
» Quels outils pour gérer les crises ?
Quels sont les outils indispensables au bon fonctionnement de la cellule de crise : ? Si tout le monde s’accorde pour considérer le téléphone et la messagerie comme des outils indispensables, les avis sont beaucoup plus partagés en ce qui concerne l&rs...
» Sécurité des systèmes d'information
AMJ Groupe intervient dans le domaine de la sécurité de l’information depuis plus de 10 ans. Aujourd’hui, nous réalisons pour nos clients divers types de prestations telles que :  Audits sécurité de l’existant,  Analyses de ri...
» Cellules de crise
AMJ possède d’excellentes références en matière de cellules de crises. En effet, à quoi servirait un plan de continuité d’activité en l’absence de cellule de crise ? En effet, la cellule de crise et sa procédure de d&ea...
» Pourquoi assurer la maintenance d'une cellule de crise ?
Disposer d‘une cellule de crise c’est bien. S’assurer qu’elle est opérationnelle, c’est encore mieux ! Parce que la cellule de crise : §         se situe en amont du dispositif de continuité/repr...
AMJ UK | Accueil | Mentions légales | rss