Accroître et préserver la valeur de l'entreprise avec COBIT5 for Risk AFAI APMG
1. Accroître et préserver la valeur de l'entreprise avec
COBIT®5 for Risk
Jean-Louis BleicherJean-Louis Bleicher
24 Juin 2014
2. • Atteindre les objectifs de l’entreprise grâce à un
management des risques permettant de
Le management par les risques
Opportunité Menace
management des risques permettant de
– saisir les opportunités
– contrer les menaces
• Améliorer la gouvernance, l’efficacité opérationnelle et la
qualité
• Renforcer la confiance et la réputation
4. Principales normes et référentiels majeurs
Management
des risques
COSO ERM
2004
FERMA
2002
EBIOS
2010
MEHARI
2010
OCTAVE
2007
Management des risques en
sécurité de l’information
Management des
risques informatiques
COBIT 5
2012
Risk IT
2009
ISO 21500 (PMBOK), PRINCE2, ISO 20000 (ITIL)
ISO 31010
2009
ISO 31000
2009
ISO 27000
2012
ISO 27001
2013
ISO 27002
2013
ISO 27005
2011
ISO 27014
2013
2012
COBIT 5
for Risk
2013
Risk Scenarios using
COBIT 5 for Risk
2014
5. • EDS03 : Assurer l’optimisation des risques
– EDS03.1 : Evaluer la gestion des risques
– EDS03.2 : Diriger la gestion des risques
– EDS03.3 : Surveiller la gestion des risques
• APO12 : Gérer les risques
– APO12.01 : Collecter les données
COBIT 5 et le management des risques
– APO12.01 : Collecter les données
– APO12.02 : Analyser les risques
– APO12.03 : Maintenir un profil de risque
– APO12.04 : Exprimer les risques
– APO12.05 : Constituer un portefeuille d’actions de gestion des
risques
– APO12.06 : Traiter les risques
6. COBIT 5 for risk : deux perspectives
Leviers de COBIT 5
Processus
Structures
organisationnelles
Culture, éthique
et comportement
Principes, politiques et référentiels
Information
Services,
infrastructures
et applications
Personnel,
expertises et
compétences
Fonction
Risque
1
Management
des risques
2
7. • Couvre l’ensemble des risques liés au SI
• Offre un modèle complet (du pilotage à l’action)
• Aide à l’analyse des risques
• Aide au traitement des risques
Atouts de COBIT 5 for risk
• Facilite l’intégration d’autres normes et pratiques
• Enrichit le contrôle interne du SI
• Contribue à accroître et préserver la valeur
10. • S’assurer de la capacité à prévenir, traiter et surveiller les
risques
• Ne pas s’enliser dans la cartographie des risques
• Veiller à la synergie et à la subsidiarité des actions
• Opter pour une mise en place adaptée au contexte et
Recommandations
• Opter pour une mise en place adaptée au contexte et
progressive
Il faut toujours prendre le maximum de risques avec le
maximum de précautions
(Rudyard Kipling)