annuler
Affichage des résultats de 
Afficher  uniquement  | Rechercher plutôt 
Vouliez-vous dire : 
Ncanteau
Retired

Concrètement, comment créez-vous un inventaire informatique fiable ? Comment identifiez-vous les risques informatiques, les vulnérabilités et menaces liées ? Quelle méthode et critères utilisez-vous pour évaluer l’exposition aux risques qui en découle ? Comment analysez-vous les résultats ?

Êtes-vous certains d’être conforme aux réglementations informatiques ? Quels contrôles mettez-vous en place pour réduire les risques informatiques, supporter les objectifs et vous conformer à toutes les réglementations à travers le monde ? Incluez-vous vos fournisseurs informatiques dans cette analyse ?

Pour répondre à ces questions, de nombreuses entreprises utilisent encore des tableurs Excel géants dans lesquels ils définissent et mettent régulièrement à jour les informations clés sur leurs ressources informatiques, les règlementations et les risques s’y rattachant. Outre un temps de travail considérable, cette solution possède de nombreuses limites liées aux difficultés de mise à jour des informations qui entrainent un désalignement constant avec la réalité.

La gestion des risques doit avant tout permettre la prise de décisions, et ne peut se résumer à la simple compilation d'informations sur les menaces, risques et ressources informatiques dans des librairies en silo, mises à jour périodiquement. Cette approche n’est ni suffisante, ni même efficace.

Pour établir une approche globale et durable des risques informatiques, il faut tenir compte des dépendances entre les actifs IT, comprendre la propagation aux métiers, et fournir sur cette base la bonne information, au bon moment, à la bonne personne, pour des décisions pertinentes en fonction du contexte.

Les plateformes de Gouvernance, Risques et Conformité (GRC) incluent très souvent les risques IT dans leur périmètre de traitement. Elles aident les départements informatiques, gestionnaires de risques informatiques et responsables sécurité à définir le profil de risque de leur activité et à établir des indicateurs de risques clés pertinents pour déployer les bonnes pratiques de gouvernance du risque IT.

Une plateforme de Gouvernance, Risques et Conformité IT (IT GRC) permet une analyse d'impact approfondie des changements et risques inhérents à l'infrastructure informatique et à l’usage des données. Enfin elle permet d’en comprendre les répercussions auprès des lignes métiers.

Si, de surcroît, une telle plateforme établit aussi des synergies entre les métiers, le paysage informatique, la gestion du portefeuille applicatif et technologique et les fournisseurs IT, alors elle représente une solide fondation pour la gouvernance du risque IT.

Or cette gouvernance doit aussi permettre d’éviter le risque de non-conformité aux réglementations informatiques. Qu’elles soient internes ou importées à partir d'une base de données externe comme UFC, ces règlementations doivent être analysées, décomposées en exigences, pour établir le bon niveau de contrôle et faire baisser le risque résiduel.

Enfin, certaines plateformes proposent de modéliser les réseaux de risques informatiques afin de maîtriser la propagation des menaces et vulnérabilités depuis les actifs IT jusqu’aux processus et aux objectifs stratégiques. Le réseau qui en résulte permet de communiquer avec tous les rôles impliqués, mais aussi d’allouer les bonnes ressources et de définir des plans d’action bien proportionnés aux risques encourus.

En découvrant la nouvelle solution HOPEX IT Risk Management de MEGA, vous posez les bases d’une gouvernance des risques IT durable et tournée vers le business.