Checklist pour l’utilisation de la méthode COBIT 5 for risk

maxresdefaultPréparation à l’analyse de risque
avec COBIT 5

Créé par Marc-André Léger
Pour plus d’information: marcandre@leger.ca

EDM03.1 Evaluate risk management

  • Est-ce que lappétence au risque est appropriée ?
  • Les risques informationnels sont-ils identifiés et gérés ?

EDM03.2 Direct risk management

  • Est-ce qu’un comité de gouvernance du risque informationnel est en place ?
  • Est-ce que l’organisation a mis en place de pratiques exemplaires de gestion de risque informationnel appropriées ?

L’organisation a :

  • Réalisé un inventaire des actifs informationnels
  • Catégorisé les actifs informationnels
  • Identifié les interdépendances
  • Mis en place d’un comité de projet pour l’analyse de risque informationnel
  • Produit un plan de projet pour l’analyse de risque informationnel
  • Déterminé les cadres de gestion qu’elle souhaite mettre en oeuvre
  • Fait un état de la situation et un audit

Phase didentification de l’analyse de risque

APO12.01.1.1

  • Quel est notre modèle de collecte de données ?
  • Quest-ce qui est dans le périmètre de l’analyse de risque ?
  • Comment allons-nous catégoriser et les analyser les risques ?

APO12.01.1.2

  • Comment s’assurer d’avoir une bonne couverture des différents risques ?
  • Est-ce suffisant ?
  • Est-ce que les scénarios de risques sont dans le périmètre de létude ?

APO12.01.1.3

  • Utilise-t-on une approche systématique ?
  • A-t-on cherché des sources de données probantes ?
  • Que fait-on pour limiter les biais ?

APO12.01.1.4

  • Quels sont les critères pour s’assurer que le modèle puisse soutenir la mesure et l’évaluation ?
  • Est-ce quon fait la promotion dune culture du risque ?

APO12.01.2.1

  • Quelles sont les données sur l’environnement d’exploitation de l’organisation qui pourraient jouer un rôle important dans la gestion des risques informationnels ?
  • Avons-nous suffisamment dinformations pour prendre une décision ?

APO12.01.2.2

  • Avons-nous consulté toutes les parties prenantes au sein de lorganisation ?
  • Quelles autres parties pourrions-nous consulter ?

APO12.01.2.3

L’organisation a identifié quels sont :

  • les principales sources de revenus,
  • les systèmes informatiques externes,
  • la responsabilité légale, réglementaire,
  • nos concurrents,
  • les tendances dans l’industrie informatique,
  • la maturité de l’activité principale et des capacités TI
  • les questions géopolitiques.

APO12.01.2.4 et APO12.01.3

  • As-ton identifié les données historiques sur les risques informationnels ?
  • Quel est l’expérience des pertes de lindustrie ?
  • Dispose-t-on de sources de données probantes sur lindustrie ?

APO12.01.3.1

  • Dispose-t-on de données probantes sur les aléas ?

APO12.01.3.2

  • Conserve-t-on des informations sur les incidents, problèmes et enquêtes impliquant des actifs informationnels ?

APO12.01.4.1

  • Les données probantes sont-elles organisées afin de mettre en évidence les facteurs contributifs ?

APO12.01.4.2

  • Quelles conditions existaient ou n’existaient pas lorsque les aléas sont survenus ?
  • Comment ces conditions ont-elles affecté la fréquence des aléas et l’ampleur des pertes ?

APO12.01.4.3

  • Quels sont les facteurs communs aux aléas ?
  • As-ton effectué périodiquement une analyse des vulnérabilités ?

L’analyse de risque

APO12.02.1.1

  • Quelle est profondeur attendue des efforts d’analyse des risques
  • Considère-ton un large éventail doptions ?
  • Est-ce proportionnel au niveau de maturité en gestion de risque informationnel ?

APO12.02.1.2

  • As-ton identifié les vulnérabilités pertinentes, la criticité des actifs informationnels pour l’organisation et les déclencheurs des aléas sur le terrain ?

APO12.02.1.3

  • As-ton fixé des objectifs d’optimisation des efforts d’analyse des risques ?
  • As-ton favorisé une vue étendue basée sur les processus daffaires, les extrant et les structures internes ?

APO12.02.1.4

Est-ce que la portée de l’analyse de risques tiens compte de :

  • la criticité pour l’organisation,
  • le coût des mesures par rapport à la valeur des actifs informationnels,
  • la réduction de lincertitude,
  • les exigences réglementaires globales.

APO12.03.2.1

  • Quels services informatiques sont essentiels à lorganisation ?
  • Quelles infrastructure informatique sont essentielles lorganisation ?

APO12.03.2.2

  • Quelles sont les dépendances TI-Processus daffaires ?
  • Quels sont les maillons faibles ?

APO12.03.2.3

  • As-ton un consensus des unités d’affaires et des gestionnaires TI sur les actifs informationnels critiques ?

Création de scénarios

APO12.04.1.1

  • Quels processus sont en place pour coordonner (au besoin) des activités d’analyse de risque supplémentaire ?

APO12.04.1.2

  • Comment évaluons-nous les rapports coût/bénéfices ?

APO12.04.1.3

  • Comment identifions-nous les impacts négatifs des aléas et des scénarios ?
  • Comment évaluons-nous les effets positifs des aléas et des scénarios ?
  • Comment tenons-nous compte de ces données dans nos processus décisionnels ?

APO12.04.2

Fournir aux décideurs les données qui leurs permettront de comprendre :

  • le pire des cas
  • les scénarios les plus probables,
  • les risques en matière de diligence raisonnable,
  • les risques réputationels significatifs,
  • les considérations légales ou réglementaires.

APO12.04.2.1

  • Est-ce que les décideurs ont en main les éléments qui leurs permettront de juger les scénarios ?
  • Est-ce quil les comprennent ?

Phase de priorisation

APO12.02.4.1

  • As-t’on effectué une revue par les pairs de l’analyse de risque ?

APO12.02.4.2

  • Est-ce que l’analyse est suffisamment documentée ?

APO12.02.4.3

  • Est-ce que les estimations sont appuyées par des données probantes ?
  • As-t’on mis en place des mesures afin de contrôler les biais ?

APO12.02.4.4

  • Quels sont les mécanismes mis en oeuvre de mécanismes pour contrôler les biais ?
  • Y-a-t’il des possibilités de manipuler le processus ?
  • La recherche de données probantes fut-elle exhaustive ?

APO12.02.4.5

  • Le niveau d’expérience et les qualifications de l’analyste de risque étaient-elles appropriés ?

APO12.02.4.6

  • Dispose-t’on d’une opinion professionnelle sur l’analyse de risque ?
  • Est-ce que la réduction des risques inacceptables atteint le niveau attendu ?
  • Est-ce que le coût du processus d’analyse de risque est raisonnable ?

APO12.03.3.1

  • Est-ce qu’on dispose d’un inventaire des processus, des compétences et les connaissances ?
  • As-t’on évalué la capacité des processus, les compétences et les connaissances des individus de l’organisation.

APO12.03.3.1

Est-ce que les résultats et les performances furent évalués à travers le spectre du risque informationnel:

  • TCO
  • coûts des projets,
  • coûts des opérations et de la prestation de services TI.

APO 12.03.3.2

  • As-t’on déterminé si les bons contrôles sont en place ?

APO12.03.3.3

As-t’on identifié où et comment la variabilité des résultats associés à un processus a un effet sur:

  • contrôle interne
  • la qualité de l’information
  • la performance de l’organisation
  • la capacité à saisir des opportunités

APO12.03.4.1

  • Est-ce que les variables et les métriques sont identifiés et définies ?
  • Quelles sont leurs interconnexions avec les catégories d’impact ?

APO12.03.4.2

  • Est-ce que les données sont ajustées en fonction de l’évolution du risque et des menaces émergentes ?

APO12.03.4.3

  • Est-ce que le coût de mise à jour des actifs informationnels sur la base de leur criticité est identifié ?
  • Est-ce que les liens entre les aléas et leur impact est déterminé ?

APO12.03.4.

  • As-t’on catalogué et agrégé les aléas par catégorie, secteur d’activité et secteur fonctionnel de l’organisation ?

APO12.03.4.5

  • As-t’on mis en place un processus de mise à jour annuel des scénarios de risque informationnel afin de répondre aux changements internes ou externes ?

APO12.03.5.1

  • Est-ce que l’organisation utilise un registre des risques informationnels ?
  • As-t’on cartographié les risques d’entreprise (ERM) ?

APO12.03.5.2

  • Bonifie-t’on le profil de risque par les résultats de la portion TI de l’évaluation du risque d’entreprise (ERM) ?

APO12.03.5.3

  • Est-ce qu’on a des processus de mise à jour des attributs des éléments du registre des risques informationnels ?

APO12.03.6.1

  • Quelles sont les métriques et les KRI qui peuvent cibler des aléas significatifs ?

APO12.03.6.2

  • Est-ce que ces indicateurs sont basés sur un modèle qui permet d’intégrer les variables susceptibles de comprendre l’exposition et les capacités de l’organisation ?

APO12.03.6.3

  • Est-ce que les KRI sont compris par l’ensemble des parties prenantes ?

APO12.03.6.4

  • As-t’on de processus d’examen et de révision périodique des KRI ?

APO12.04.4.1

  • Comment sont évalué les besoins de transfert de risque ou la nécessité d’analyse de risque supplémentaire ?

APO12.04.4.2

  • Comment les plans d’actions correctives influences le profil de risque global ?

APO12.04.4.3

  • Identifie-t’on les possibilités d’intégration avec des projets et des activités de gestion des risques en cours ?

Phase de mobilisation

APO12.04.3.1

  • Comment sont identifiés les besoins des différentes parties prenantes en matière de rapports sur l’évolution du risque ?
  • Est-ce qu’on applique des principes de pertinence, l’efficacité, la fréquence et l’exactitude des rapports ?

APO12.04.3.2

Est-ce que les rapports documentent:

  • l’efficacité et de performance, les problèmes et les lacunes, l’état des mesures de mitigation, les aléas, les incidents et leur impact sur le profil de risque et la performance des processus de gestion des risques.

APO12.04.3.3

  • Est-ce que les données des rapports de risque TI contribuent à la gestion intégrée des risques d’entreprise ?

APO12.05.1.1

  • Est que l’organisation a réalisé un inventaire des contrôles en place ?

APO12.05.1.2

  • Est-ce que les contrôles sont classés aux relations aux risques informationnels spécifiques ?

APO12.05.2.1

  • Est-ce que l’organisation surveille l’alignement opérationnel avec les seuils de tolérance au risque ?

APO12.05.2.2

  • Est-ce que chaque ligne d’affaires accepte la responsabilité de ses niveaux de tolérances au risque ?
  • Dispose-t’on outils de surveillance des processus clés ?

APO12.05.2.3

  • Est-ce qu’on surveille l’efficacité des contrôles ?
  • Est-ce qu’on mesure la variance de seuils par rapport aux objectifs ?

APO12.05.3.1

  • Quelles sont les réponses à l’exposition au risque ?

APO12.05.3.2

  • Choisi-t’on des contrôles basés sur des menaces spécifiques, l’exposition au risque, les pertes probables et les exigences spécifiées dans les normes ?

APO12.05.3.3

  • Comment suit-t’on l’évolution des profils de risque sous-jacents ?

APO12.05.3.4

  • Comment communique-t’on avec les principaux intervenants ?

APO12.05.3.5

  • Est-ce que l’on fait des projets pilotes pour valider l’efficacité à réduire les risques des mesures de mitigation de risque ?

APO12.05.3.6

  • Comment sont gérées les mises à jour des contrôles opérationnels ?
  • Dispose-t’on de mécanismes de mesure de la performance des contrôles ?
  • Est-ce qu’on a prévu des actions correctives au besoin ?

APO12.05.3.7

  • Qu’est-ce qui est prévu pour former le personnel sur les nouvelles procédures lors de leur déploiement ?

APO12.05.3.8

  • Est-ce qu’il y a un suivi d’avancement des projets du plan directeur ?
  • Comment s’assure-t’on de l’efficacité des actions ?
  • Qu’est qui est prévu pour valider l’acceptation du risque résiduel ?

APO12.05.3.9

  • Est-ce qu’on s’assure que le propriétaire des processus concernés prend leurs responsabilités en matière de gestion de risque ?
  • Comment les écarts sont-ils signalés à la haute direction ?

Créé par Marc-André Léger en 2015, tout droits réservés