Cartographie des risques IT
La cartographie des risques, positionnement des risques majeurs selon différents axes tels que l'impact potentiel et la probabilité de survenance, a pour objectif d'orienter le plan d'audit interne et d'aider le management à prendre en compte la dimension risque dans son pilotage interne.
Notre approche
La réalisation d’une cartographie des risques informatiques doit en premier lieu prendre en compte les enjeux métiers et les activités les plus sensibles pour l’organisation, que ce soit en termes financiers, réglementaires ou d’image. La bonne appréhension des processus clés de l’organisation et l’implication des parties prenantes sont donc des impératifs préalables à toute activité de recensement des risques informatiques. La deuxième étape consiste à identifier les actifs matériels et immatériels les plus critiques, puis d’en réaliser un criblage en termes de valeur et d’importance vitale pour l’organisation. Enfin, qu’il soit d’origine interne ou externe, l’ensemble des menaces et des évènements redoutés par l’organisation doivent être inventoriés. Ces évènements peuvent être classés en deux catégories : les évènements inhérents à la nature même de l’organisation, tels que la dépendance vis-à-vis d’une application clé développée en interne (événements endogènes), et les évènements exogènes comme les attaques virales, les intrusions ou les catastrophes naturelles.