Évaluation d’impact et évaluation des risques

Smart Global Governance solution

Découvrez nos solutions sans obligation d’achat

ESSAI GRATUIT 15 JOURS

Une évaluation des risques liés à la reprise après sinistre est un document qui décrit les risques potentiels pour le fonctionnement d’une organisation. Cet article a pour but d’expliquer la différence entre une évaluation d’impact et une analyse de risque et de donner un aperçu de la manière dont les évaluations de risque sont réalisées et de leur fonctionnement. Sources : 7,7]

Une évaluation des risques identifie le risque de dangers pour une entreprise et évalue les domaines dans lesquels ces dangers se produisent. Elle identifie les risques potentiels pour l’entreprise, tels que l’impact potentiel d’une catastrophe, et identifie un certain nombre de solutions potentielles à ces risques, ainsi qu’un certain nombre de mesures pour atténuer ces risques. Sources : 20,21]

Une évaluation des risques est réalisée en attribuant un certain nombre de facteurs, tels que le potentiel de risque pour l’entreprise et l’impact potentiel du risque. Cela nécessite de définir un certain nombre de risques définis et un certain nombre de solutions potentielles à ces risques. Sources : 16,18]

Lorsque vous voyez la matrice d’évaluation des risques, vous pouvez comparer les différents niveaux de risque. Les résultats de la BIA seront examinés et les perturbations possibles seront classées par ordre de priorité sur la base de leur potentiel. L’évaluation des risques vous montre le type d’incident auquel vous pourriez être confronté, tandis que l’analyse de l’impact sur les entreprises vous montre la rapidité avec laquelle vous devez vous rétablir après un incident et comment vous pouvez vous rétablir rapidement tout en évitant des dommages importants. Sources : 15,4,21]

La matrice d’évaluation des risques signifie que vous devez passer en revue tous les événements à risque qui pourraient vous arriver. Essayez de trouver comment traiter ou atténuer ces menaces lorsque vous procédez ensuite à l’évaluation des risques. Cela dépend des actifs et des données clés pris en compte dans l’évaluation des risques et de l’évaluation de l’impact. Sources : 14,15,7]

Si vous êtes chef de projet et que vous voulez un risque minimal et un flux de travail libre, essayez d’intégrer la matrice d’évaluation des risques dans votre processus. Un certain nombre de facteurs influencent la méthode la plus appropriée à utiliser en fonction des circonstances, notamment la taille du projet, le potentiel de risque et la nature de vos actifs et de vos données clés. Si vous optez pour une approche d’évaluation des risques basée sur les actifs, vous serez en mesure d’identifier les ressources plus tard dans l’analyse de l’impact sur l’entreprise. Sources : 22,5,10]

Une évaluation efficace des risques implique la participation de nombreuses personnes à ce processus et de nombreux facteurs. Une fois que vous avez rassemblé les données et déterminé la portée de l’évaluation des risques pour le projet, vous pouvez passer de l’évaluation des risques elle-même à un processus qui la réalise. [Sources : 6,6]

À première vue, l’analyse de l’impact sur l’entreprise et l’évaluation des risques semblent avoir des objectifs similaires, mais chacune traite d’un aspect critique différent de la planification de la DR. Si vous savez comment et quand chacun de ces processus est réalisé, vous comprenez l’impact d’un sinistre sur votre activité et son impact sur l’entreprise dans son ensemble. Par exemple, lors de la préparation d’un plan d’intervention en cas de catastrophe et d’un plan de continuité des activités, les deux se déroulent de la même manière. [Sources : 17,17,9]

L’analyse d’impact sur l’entreprise doit être utilisée pour quantifier et hiérarchiser les risques identifiés par l’évaluation des risques. Alors que l’analyse d’impact sur l’activité peut être effectuée sans accompagnement lors d’une évaluation des risques, les évaluations des risques ne peuvent être effectuées que pendant l’analyse de l’impact sur l’activité et non après l’analyse des risques. La BIA doit utiliser les évaluations des risques pour quantifier et hiérarchiser les dangers et les risques qu’elle identifie, tels que les incendies, les inondations et autres catastrophes naturelles. Bien que l’AIB puisse être effectuée avant les évaluations des risques, elle ne doit pas être effectuée après celles-ci. Les évaluations des risques ne doivent pas être effectuées avant les BI et ne doivent être réalisées qu’après celles-ci. Sources : 0,12]

Lorsqu’il est nécessaire d’évaluer et de comparer la contribution de différents facteurs de risque, des évaluations comparatives des risques doivent être effectuées avant l’AIPMB. Un rapport et une discussion détaillés peuvent aider à sélectionner des indicateurs de risques sélectionnés qui peuvent être présentés lors d’ateliers ultérieurs d’évaluation des risques [Sources : 8,22]. Sources : 8,22]

Lors de l’évaluation de l’impact sur la vie privée d’un programme ou d’une activité, il est bon de procéder à une évaluation préliminaire des risques. Le processus d’évaluation des risques peut être assez complexe et doit tenir compte des effets secondaires et autres des actions et de l’inactivité qui sont secondaires aux effets des actions ou de l’inactivité lorsqu’il s’agit de savoir comment assurer la sécurité des différentes ressources informatiques. [Sources : 1,19]

Le processus d’évaluation des risques permet de hiérarchiser les risques en faisant participer toutes les parties prenantes à l’évaluation des risques potentiels, tout en conservant une structure facile à utiliser. L’analyse des risques comprend, le cas échéant, une évaluation de l’impact potentiel sur la sécurité de différentes ressources informatiques, comme l’impact d’un programme ou d’une activité sur la vie privée. Les équipes d’évaluation des risques peuvent utiliser une combinaison d’outils d’analyse de données, de modélisation des risques et de gestion des risques pour comparer les risques et ainsi établir des priorités. Sources : 11,6,3]

Par exemple, dans le domaine de la sécurité, les risques posés par les menaces externes et internes à l’intégrité, la confidentialité et la disponibilité des données de l’entreprise sont identifiés et analysés, et les risques qui pourraient nuire aux activités et aux actifs de la chaîne de valeur critique sont identifiés. L’évaluation des risques est réalisée en identifiant les risques pour les actifs critiques tels que les infrastructures et les données critiques, puis en formulant un plan d’atténuation pour les principaux risques identifiés. L’étape finale de l’évaluation des risques consiste à inviter des experts en sécurité à examiner les résultats de l’analyse des risques et à les comparer aux critères de risque établis afin de déterminer où des contrôles supplémentaires pourraient être nécessaires et de quels contrôles il pourrait s’agir. Le processus d’évaluation des risques consiste à identifier et à effectuer des analyses des risques identifiés et à établir des contrôles de sécurité pour atténuer ou prévenir ces menaces. [Sources : 2,2,6,13]

Sources:

[0] : https://www.inoni.co.uk/blog/business-impact-analysis-vs-risk-assessment
[1] : https://www.priv.gc.ca/en/privacy-topics/privacy-impact-assessments/gd_exp_202003/
[2] : https://reciprocitylabs.com/risk-assessment-vs-risk-analysis-whats-the-difference/
[3] : https://info.undp.org/sites/ERM/SitePages/Step%202%20-%20Risk%20Assessment.aspx
[4] : https://advisera.com/27001academy/knowledgebase/risk-assessment-vs-business-impact-analysis/
[5] : https://www.ntaskmanager.com/blog/risk-assessment-matrix/
[6] : https://cio-wiki.org/wiki/Risk_Assessment
[7] : https://www.nakivo.com/blog/risk-impact-assessment-in-disaster-recovery-where-to-start/
[9] : https://www.itgovernance.co.uk/blog/whats-the-difference-between-a-risk-assessment-and-a-business-impact-analysis
[10] : http://www.gmhasia.com/risk-assessment-or-business-impact-analysis-what-comes-first/
[11] : https://www.indeed.com/career-advice/career-development/risk-assessment-matrix
[12] : https://ipspecialist.net/risk-assessment-vs-business-impact-analysis/
[13] : https://zecuboy.wordpress.com/2013/06/20/risk-assessment-versus-business-impact-analysis/
[14] : https://www.cm-alliance.com/news/2016/04/risk-assessment-risk-management-mean
[15] : https://tms-outsource.com/blog/posts/risk-assessment-matrix/
[16] : https://www.security-analyst.org/threat-analysis-and-risk-assessment/
[17] : https://searchdisasterrecovery.techtarget.com/answer/How-do-a-business-impact-analysis-and-risk-assessment-differ
[18] : https://castellanbc.com/business-impact-analysis/
[19] : https://www.isaca.org/resources/isaca-journal/past-issues/2010/performing-a-security-risk-assessment
[20] : https://continuity2.com/business-continuity-blog/how-do-bias-and-risk-assessments-work-together
[21] : https://itsm.ucsf.edu/business-impact-analysis-bia-0
[22] : http://www.perseus-net.eu/site/content.php?artid=2204