dimanche 27 décembre 2009
Bonjour,
L'idée de la recherche d'un parallèle entre la gestion des risques et la résolution des incidents de sécurité peut paraitre intéressante, cependant il y a une règle fondamentale qui les différencie notoirement.
La gestion des risques est une processus préventif, celle des changement est un processus curatif. Il en découle inévitablement que la nature de leur catégorisation est de fait dépendante de leur propre nature intrinsèque.
Ainsi par exemple ne pourrons nous jamais avoir d'acceptation ou de refus d'un incident de sécurité comme catégorie de résolution.
Dans les catégories évoquées pour la catégorisation, la résolution immédiate peut être apparentée à une suppression du risque à postériori (donc une mesure qui si elle avait été prise dans le processus de gestion des risques n'aurait pas permis que l'incident se produise). La solution de contournement correspond à la réduction d'un risque ou un transfert du risque puisque la solution définitive reste alors à implémenter. La demande de changement quant à elle, ne résoud pas l'incident sauf à être associée à la réparation immédiate ou au contournement.
A contrario, les catégories de gestion des risques sont applicables à la manière de traiter un incident de sécurité.
La réduction du risque correspond à un traitement partiel de l'incident (par exemple, isolation des éléments concernés par une attaque virale avant tout traitement local curatif)
Le transfert du risque correspond à l'escalade de l'incident vers le groupe de résolution approprié en vue de son traitement dans les meilleurs délais.
L'acceptation du risque correpond à une poursuite de l'activité pendant la résolution de l'incident.
Le refus du risque IMPOSE l'isolation immédiate de toutes les infrastructures potentiellement cible de l'incident afin de les protéger de sa diffusion.
Voilà pourquoi à mon sens faire le parallèle entre les deux processus a certainement du bon au sens de l'alimentation, de l'approfondissement et de l'enrichissement de la réflexion mais pas du traitement de chacun d'eux.
Bien cordialement et joyeuses fêtes de fin d'année à tous
Dominique HEVIN
AXYNERGIE
L'idée de la recherche d'un parallèle entre la gestion des risques et la résolution des incidents de sécurité peut paraitre intéressante, cependant il y a une règle fondamentale qui les différencie notoirement.
La gestion des risques est une processus préventif, celle des changement est un processus curatif. Il en découle inévitablement que la nature de leur catégorisation est de fait dépendante de leur propre nature intrinsèque.
Ainsi par exemple ne pourrons nous jamais avoir d'acceptation ou de refus d'un incident de sécurité comme catégorie de résolution.
Dans les catégories évoquées pour la catégorisation, la résolution immédiate peut être apparentée à une suppression du risque à postériori (donc une mesure qui si elle avait été prise dans le processus de gestion des risques n'aurait pas permis que l'incident se produise). La solution de contournement correspond à la réduction d'un risque ou un transfert du risque puisque la solution définitive reste alors à implémenter. La demande de changement quant à elle, ne résoud pas l'incident sauf à être associée à la réparation immédiate ou au contournement.
A contrario, les catégories de gestion des risques sont applicables à la manière de traiter un incident de sécurité.
La réduction du risque correspond à un traitement partiel de l'incident (par exemple, isolation des éléments concernés par une attaque virale avant tout traitement local curatif)
Le transfert du risque correspond à l'escalade de l'incident vers le groupe de résolution approprié en vue de son traitement dans les meilleurs délais.
L'acceptation du risque correpond à une poursuite de l'activité pendant la résolution de l'incident.
Le refus du risque IMPOSE l'isolation immédiate de toutes les infrastructures potentiellement cible de l'incident afin de les protéger de sa diffusion.
Voilà pourquoi à mon sens faire le parallèle entre les deux processus a certainement du bon au sens de l'alimentation, de l'approfondissement et de l'enrichissement de la réflexion mais pas du traitement de chacun d'eux.
Bien cordialement et joyeuses fêtes de fin d'année à tous
Dominique HEVIN
AXYNERGIE