Grille d’évaluation de méthodologie d’analyse de risque et de gestion de risque.

maxresdefaultPar Marc-André Léger, DESS, MscA(MIS)

 

Question

 

 
Est-ce la première version?
Version:
Source ou distributeur:
Coordonnées:
Y a t il des données disponibles sur le nombre d’utilisateurs ou de licences vendues?
Si oui, quel est il?
Quel type de méthodologie?
La méthodologie est documentée?
La documentation est disponible en français?
Elle est accompagnée d’outils?
Lequel?
Les outils sont disponibles en français?
Quel en est le coût?
Les outils sont-ils multi utilisateurs?
Si oui, intègrent’ ils une gestion du suivi (Workflow)?
Intègrent-ils des contrôles d’accès
Est-il convivial?
Une formation est offerte?
À quel endroit?
À quel coût?
Le support est-il disponible?
À quel endroit ou de quelle façon?
À quel coût?
Y a-t’il des experts-conseil disponibles qui connaissent cette méthodologie?
À quel endroit ou de quelle façon?
À quel coût?
L’interface utilisateur est conviviale?
Une interface utilisateur WEB est offerte?
À quel endroit ?
La méthodologie est appuyée par un modèle théorique?
Si oui, lequel?
Quelle est l’approche méthodologique?
Si Qualitative: La méthode qualitative convient-elle pour l’étude du phénomène en question?
Si Qualitative: L’étude est-elle centrée sur l’aspect subjectif de l’expérience humaine?
Si Qualitative: Peut-on distinguer la méthode qualitative utilisée dans l’étude?
Comment ?
Ce modèle est-il le résultat de travaux?
Lesquels?
Est-ce basé sur une application de la théorie des jeux ou des arbres de décisions?
Si oui, lequel?
Est-ce documenté?
Est-ce basé sur des simulations?
Si oui, de quelle façon?
Des audits sont effectués? ISO13335-2(2005)
Le processus d’analyse du risque identifie, quantifie et priorise les risques en utilisant des critères d’acceptation du risque et des objectifs pertinents à l’organisation. ISO17799(2005) Ch4
Le processus d’analyse du risque et de sélection des contrôles de gestion est répété afin de couvrir l’ensemble des systèmes d’informations ou les systèmes de manière individuelle. ISO17799(2005) Ch4
Le processus d’analyse de risque intègre une méthode systématique d’estimation de la magnitude des risques informationnels et des processus de comparaison du risque avec des seuils de tolérance et des normes établies par l’organisation (Baseline). ISO17799(2005) Ch4
Le processus d’analyse du risque est répété périodiquement ou suite à des changements significatifs. ISO17799(2005) Ch4
Le processus d’analyse du risque est systématique et méthodologique afin de permettre des résultats comparables et reproductibles. ISO17799 (2005) Ch4
L’analyse des vulnérabilités technologiques est prise en considération? ISO13335-2(2005)
L’analyse du risque informationnel s’opère dans un contexte bien défini (scope).  ISO17799 (2005) Ch4
Les liens avec les analyses de risque dans d’autres secteurs d’activités ou unités d’affaires de l’organisation sont définis. ISO17799 (2005) Ch4
La méthodologie offre des processus formels d’identification des menaces?
Si oui, sont ils automatisés?
Quelle est l’importance de la subjectivité dans l’identification des menaces?
La méthodologie offre des processus formels d’identification des vulnérabilités?
Si oui, sont ils automatisés?
Quelle est l’importance de la subjectivité dans l’identification des vulnérabilités?
Quelle est l’approche de calcul du risque?
Comment sont évaluées les probabilités de réalisation?
Comment est évalué l’impact?
Comment est mesurée la tolérance au risque?
Un Baseline (seuil de tolérance) est-il utilisé?
Comment?
La méthodologie offre des processus formels de hiérarchisation du risque?
Si oui, est-ce automatisé?
Quelle est l’importance de la subjectivité dans la hiérarchisation?
La méthodologie offre des processus d’amélioration continue?
Si oui, est-ce cyclique, répétitif?
De quelle façon?
Le processus de traitement du risque utilise des critères organisationnels pour déterminer le seuil de tolérance et l’acceptation du risque. ISO17799 (2005) Ch4
Le coût des mesures de mitigation est déterminé?
Les pertes potentielles sont déterminées? ISO17799 (2005) Ch4
Une analyse coût bénéfices est réalisée? ISO17799 (2005) Ch4
La décision est conservée?  ISO17799 (2005) Ch4
a)     Le choix des mesures de mitigation prend en compte les objectifs et les besoins suivants: ISO17799 (2005) Ch4 b)
Les contrôles peuvent être ajoutés? ISO17799 (2005) Ch4
Différent référentiels peuvent êtres utilisés?
Permet le traitement des risques dans les projets?  ISO17799 (2005) Ch4
Quelle est l’échelle de mesure utilisée
L’échelle de mesure utilisée est-elle appropriée pour mesurer les variables de recherche?
Les instruments de mesure ont-ils été utilisés antérieurement ou ont-ils été construits pour les besoins de l’étude?
Quel est le type d’échantillonnage?
Comment sont choisis les sujets?
Y a-t-il des processus en place pour assurer la saturation des données?
Lesquels?
La méthode de collecte et d’enregistrement des données est-elle clairement précisée?
La méthode décrit clairement la façon dont les participants sont choisis?
Trouve-t-on de l’information sur la fidélité des instruments de mesure?
Si oui, quel type de fidélité a été analysé et comment l’auteur interprète-t-il les résultats de l’examen de la fidélité?
Trouve-t-on de l’information sur la validité des instruments de mesure?
Si oui, quel type de validité a été analysé?
Les résultats vous semblent-ils suffisants?
Si on a traduit les échelles de mesure d’une autre langue, comment a-t-on procédé?
Cela vous parait-il approprié?
S’est-on assuré de la fidélité et de la validité des échelles traduites?
De quelle façon?
La méthode d’analyse des données est-elle conforme au but de l’étude?
Les résultats revêtent-ils une signification précise pour la discipline?
Les résultats de l’analyse de risque guident et déterminent les actions de gestion, les priorités de gestion des risques informationnels et la mise en oeuvre des contrôles de gestion pour mitiger les risques. ISO17799 (2005) Ch4
Y a-t-il des tableaux de bord?
Y a-t-il des rapports de gestion?
Est-ce qu’un plan directeur ou un plan d’action est produit?
Est-ce qu’il y a une gestion du suivi?
Est-il dans un format qui permet l’utilisation d’une méthodologie de gestion de projet ou un outils de gestion de projets?
Si oui, sont-ils configurables?
L’interprétation s’accorde-t-elle avec les données recueillies?
Un plan de formation est établi?
Un plan de communication du risque est établi?
Crédibilité : Les résultats de l’analyse reflètent ils l’expérience des participants ou le contexte avec crédibilité?
Authenticité; La perspective émic démontre t’elle une conscience des différences subtiles d’opinion de tous les participants?
Criticité : Le processus d’analyse montre t’il des signes d’évaluation du niveau de criticité?
Intégrité : L’analyse reflète t’elle une validation de la validité répétitive et récursive associée à une présentation simple?
Explicité : Les décisions et interprétations méthodologiques de même que les positions particulières de l’enquêteur ont-elles été considérées?
Réalisme : Des descriptions riches et respectant la réalité sont illustrées clairement et avec verve?
Créativité : Des méthodes d’organisation, de présentation et d’analyse des données créative ont-elles été incorporées à l’étude?
Exhaustivité ; Les conclusions couvrent-elles l’ensemble des questions posées de façon exhaustive?
Congruence ; Le processus et les résultats sont-ils congruents?
Vont-ils de pair les uns avec les autres?
Les résultats s’inscrivent-ils dans un autre contexte que celui de la situation étudiée?
Sensibilité; L’enquête à t’elle été faite en tenant compte de la nature humaine et du contexte socioculturel?
Une base de connaissance centralisée est maintenue?
La sécurité des informations de la base de données centrale est-elle assurée?