RISICARE est une approche associe un outillage, s'appuyant sur la mthode Mehari 2010 et qui permet d'amliorer la productivit et la justesse d'une dmarche de gestion des risques.
Il s'agit de faciliter la tche du RSSI ayant raliser une analyse de risque ou implmenter un SMSI . La trame globale se voulant trs proche d'une dmarche ISO 27001 et ISO 27005.
Principales caractristiques de Risicare
Risicare s'appuie sur les caractristiques suivantes :
- L'utilisation de la mthode Mehari dveloppe au sein du CLUSIF comme modle d'analyse des risques. - La possibilit de personnaliser les bases de connaissances, voire de construire ses propres bases de connaissances. - Une relation entre un audit de l'existant et la quantification de scnarios de risques. - Une prise en compte exhaustive et automatique des multiples possibilits de survenance de ces scnarios. - L'laboration de plans d'action cohrents optimisant la rduction de l'ensemble des risques. - Une aide en ligne trs dveloppe avec l'accs un ensemble de rubriques mthodologiques et techniques . - Un outil performant et simple utiliser en ergonomie Windows.
Intrts et limites de Risicare
Les avantages de Risicare vis vis des autres outils sont :
- De s'appuyer sur la mthode Mehari dveloppe au sein du CLUSIF qui est une mthode complte d'analyse des risques et qui bnficie du retour d'exprience des mthodes Marion et Melisa. - D'tre conu pour permettre une approche de diagnostic qui permet de s'adapter la taille et la complexit de l'entreprise ou organisme.
1 / 4 Le logiciel Risicare Mis jour Lundi, 19 Juillet 2010 10:18 Mais attention RISICARE est un outillage et pour bien l'utiliser il faut avoir bien assimil la mthode Mehari.
Notamment dans des contextes de moyennes entreprises, son utilisation ncessite de savoir dfinir un primtre des processus clefs afin d'optimiser la dmarche et les ressources (internes et externes).
Evolutions de Risicare 2010 (Risicare V7)
Les volutions par rapport la version 2007 sont trs importantes et aboutissent une utilisation profondment remanie.
Etablissement du contexte : l'analyse des enjeux mtier
Cette phase est toujours dlicate dans un dmarche de gestion des risques. Risicare 2010 propose une assistance cette phase puisqu'elle permet une cartographie du Systme d'Information (donc des actifs de support) partir des processus mtier.
La dmarche suivie est la suivante :
- A partir d'un processus mtier analys, les actifs de support sont identifis partir de la liste des actifs gnriques des bases de connaissance. - La classification de cet actif pour le processus selon les critres d'impact, Risicare slectionnant automatiquement les critres d'impact qui peuvent tre concerns par un actif
- Un lien est tabli entre Processus mtier Actifs concerns. - Ensuite les actifs dtermins prcdemment sont localiss, Risicare prsentant pour chaque actif les domaines d'audit pouvant servir quantifier les vulnrabilits de cet actif.
L'analyse de l'existant
Une notion de slection des questions apparait selon un niveau de maturit de l'entreprise et la finalit recherche. Ainsi il est maintenant possible
2 / 4 Le logiciel Risicare Mis jour Lundi, 19 Juillet 2010 10:18 La base de connaissances 2010 du Clusif introduit une taxinomie des questions d'audit selon la finalit sur le service de scurit (Efficacit, Robustesse ou Mise sous contrle) et selon un niveau de maturit (niveau 1, 2 et 3).
Risicare 2010 utilise cette taxinomie pour slectionner les questions d'audit. Aprs cette slection, l'utilisateur ne voit pas de diffrence, il se positionnera uniquement sur les questions slectionnes.
La phase de traitement du risque
La construction de cette phase assure une conformit avec l'ISO 27005 et prpare la SOA. Elle vise construire des plans d'actions visent rduire la gravit des risques que l'on veut traiter.
Elle permet de dfinir des stratgies de rduction du risque :
- Choix entre rduction de la potentialit du risque ou de l'impact ou des deux. - Dans la rduction de la potentialit, choix entre dissuasion et prvention - Dans la rduction de l'impact, choix entre le confinement et la palliation. - Dans la rduction d'un facteur de risque, choix entre les diffrentes alternatives de services de scurit mettre en uvre.
En ce sens, Risicare est un vrai outil de support la rflexion du RSSI sur l'tablissement du plan de traitement des risques.
La phase d'acceptation du risque
Dans une optique ISO 27005, il existe d'autres alternatives dans le traitement du risque que de rduire les risque, savoir :
- Accepter le risque tel qu'il est. - Trouver des moyens d'vitement. - Transfrer le risque.
3 / 4 Le logiciel Risicare Mis jour Lundi, 19 Juillet 2010 10:18 Risicare prsente les risques qui n'ont pas t rduits afin qu'un choix de traitement puisse tre fait par le RSSI.