Passer au contenu principal

Créer une analyse de risques

Mis à jour il y a plus de 3 mois

⚠️ Ce module est payant. Contactez votre account manager si vous êtes intéressés.

Lors de votre première utilisation, un tutoriel vous accompagne sur la création de votre première analyse de risques.

L'analyse de risques dans Tenacy s'inspire des méthodologies classiques (EBIOS-RM, ISO 27005) en les simplifiant sur la partie menaces et en tirant parti des éléments déjà existants dans Tenacy, comme les mesures.

Elle intègre les éléments de base suivants :

  • Des échelles d'enjeux métier qui permettent de qualifier les impacts au niveau métier

  • Des valeurs métier qui supportent la production de valeur pour l'entreprise

  • Des actifs support qui permettent la production des valeurs métier

  • Des menaces qui portent sur les actifs support et induisent de potentiels impacts sur la production des valeurs métier, qualifiés sur les échelles d'enjeux

  • Des mesures qui sont les contre-mesures aux menaces.

💡 Avant de lancer votre analyse de risque, nous vous conseillons de vérifier les différentes échelles des enjeux métier. Lisez donc cet article pour en savoir plus.

Créer un registre

Afin de lancer une analyse de risque, il faut créer un registre de risque.

Pour cela, allez dans Risques > Analyse > Ajouter un registre

🔎 C'est la première fois que vous utilisez l'analyse de risque, mais vous n'avez plus accès au didacticiel ?

Vous pouvez le réactiver de nouveau : cliquez sur votre nouveau registre > cliquez sur les 3 points > Activer le didacticiel

Ajouter des valeurs métier

Une fois sur votre registre, il faut ajouter des valeurs métier. Cliquez donc sur Créer une valeur métier

L'ajout d'une valeur métier peut se faire à partir d'un gabarit (c'est-à-dire un objet proposé dans le catalogue de Tenacy) ou alors, vous pouvez créer votre propre valeur métier en remplissant les champs nécessaires :

  • Nom de la valeur métier

  • Registre d'analyse de risque (par défaut, c'est le registre dans lequel vous créez la valeur qui apparait)

  • Niveaux d'impact (Opportunité, Réglementaire, Réputation, Revenus)

À noter que lorsque vous sélectionnez une valeur métier depuis un gabarit, vous devez renseigner les différents niveaux d'impact vous-mêmes selon votre organisation.

Ajouter des actifs support

Une fois que vous avez ajouté vos valeurs métiers, cliquez sur l'une d'entre elles pour ajouter les actifs support.

Tenacy vous propose des actifs support déjà modélisés dans la solution.

🔎 Si vous souhaitez créer vos propres actifs support, lisez cet article.

Dans Catalogue, vous pouvez donc dériver et lier plusieurs actifs support à votre valeur métier en cliquant sur ce bouton :

Associer des menaces aux actifs support

En cliquant sur un actif support, vous pouvez donc ajouter vos menaces.

Par défaut, les actifs support du catalogue ont des menaces associées :

Vous pouvez aussi ajouter des menaces directement depuis la liste qui apparait à gauche :

🔎 Vous pouvez aussi créer vos propres menaces sur Tenacy. Lisez cet article pour en savoir plus.

L'ajout des menaces à votre analyse propose automatiquement des mesures comme contre-mesures :

Modifier les probabilités

Avant de synchroniser votre analyse de risque, vous pouvez modifier les probabilités de vos menaces. Ce sont les ronds de couleur entre vos actifs support et vos menaces :

En cliquant dessus, vous pouvez changer la probabilité :

Sur les mesures, vous pouvez aussi ajuster la réduction de l'impact et de la probabilité :

Synchronisation

Quand vos paramétrages vous semblent corrects, vous pouvez synchroniser votre analyse afin de créer les risques correspondants.

🔎 Tout paramétrage dans votre analyse peut être modifié après. Ce n'est donc pas figé.

Pour cela, il suffit de revenir sur la liste des registres et de cliquer sur Synchroniser :

Vous devrez choisir un registre de risques et vous pouvez sélectionner les niveaux de risque (initial) à inclure. Par défaut, tous les niveaux sont sélectionnés :

La synchronisation aura pour effet de :

  • Créer les risques qui n'existaient pas encore

  • Mettre à jour les risques existants

  • Fermer les risques qui existaient, mais ne sont plus générés par l'analyse.

Liste de vos risques

Pour retrouver les risques créés par l'analyse, revenez dans l'onglet Traitement et retrouvez le nom de votre registre dans la liste.

Vous avez dorénavant accès aux risques créés par le biais de votre analyse.

Chacun des risques reprend la liste des mesures proposées lors de l'analyse. Si des mesures sont déjà implémentées ou en cours d'implémentation sur votre socle de sécurité, vous les voyez apparaître dans le plan de traitement de vos risques.

Si, à l'inverse, les mesures n'ont pas encore été instanciés, vous les avez dans l'onglet Suggestions pour les ajouter à votre plan de traitement.

💡Pour le traitement de vos risques, rendez-vous sur cet article.

Articles connexes
Créer un risque
Créer une menace
Comprendre le taux de traitement d'un risque
Modifier le niveau de probabilité et d'impact initial d'un risque créé par l'analyse de risque
Intégrer une analyse Ebios RM dans Tenacy
Avez-vous trouvé la réponse à votre question ?