> Tech > L’AFAI publie un référentiel du risque informatique

L’AFAI publie un référentiel du risque informatique

Tech - Par Guillaume Rameaux - Publié le 27 avril 2011
email

L’AFAI (Association Française de l’Audit et du Conseil Informatiques) publie la version française de l’ouvrage Risk IT, rédigé par une centaine d’experts de l’ISACA (Information System Audit and Control Association).

Jean-Louis Bleicher, administrateur de l’AFAI, nous en dit plus sur la parution de ce référentiel et sur le fonctionnement de l’association.

L’AFAI publie un référentiel du risque informatique

iTPro.fr : Quels sont les liens entre l’AFAI et l’ISACA ?

Jean-Louis Bleicher : L’AFAI est en quelque sorte la filiale de l’ISACA, mais nous utilisons plutôt le terme chapitre. L’ISACA est une entité créée au début des années 70 pour rassembler les auditeurs informatiques. Elle est présente aujourd’hui dans 160 pays et regroupe 95 000 membres. L’AFAI est sa représentation française et compte 800 adhérents.

Quelle est l’objectif de l’AFAI ?

L’AFAI travaille à la maîtrise des systèmes d’informations, soit à travers l’audit, soit à travers le conseil. Elle dispose de groupes de recherche, d’une activité assez forte de formation, publie des travaux et organise des manifestations. Le but est aussi de promouvoir en France les travaux réalisés au niveau international par l’ISACA et ses chapitres. C’est à ce titre que nous publions, avec la participation des chapitres canadien et belge, la version française de l’ouvrage Risk IT.

Que contient ce livre ?

L’ISACA définit un modèle de gouvernance qui s’appuie sur cinq grands domaines : l’alignement stratégique de l’informatique sur la politique de l’entreprise, l’apport de valeur par l’informatique, la maîtrise des risques, la gestion des ressources et la mesure des performances. Elle a rédigé, il y a quinze ans, un référentiel sur cette base, le COBIT. Celui-ci est traduit en une quarantaine de langues et a connu deux enrichissements majeurs. Le premier, Val IT, concerne l’apport de valeur. Le second, Risk IT, aborde l’axe de la maîtrise des risques.
L’objectif est d’aider à la maîtrise du risque informatique, non pas comme risque technique mais comme risque métier. Une défaillance informatique a une influence sur les affaires de l’entreprise. Risk IT apporte donc une aide au management de ces risques.

De quoi est composée cette aide ?

C’est un modèle de gestion qui s’appuie sur des normes internationales comme l’ISO 31 000, COSO ERM ou ISO 27 000 par exemple, et qui définit un certain nombre de principes de management du risque. Trois grands domaines se découpent en processus et bonnes pratiques pour aider les entreprises : gouvernance, évaluation et traitement. Comment mettre en place une gouvernance des risques, comment mettre en place une bonne évaluation du risque ou comment bien traiter les risques sont les questions auxquelles l’ouvrage tente de répondre.

Risk IT est-il un livre accessible ?

Il s’agit d’un ouvrage pédagogique qui permet à une personne qui n’est pas experte de comprendre de quoi il s’agit. Les techniciens et experts vont peut-être trouver que cela ne va pas assez loin mais il s’agit de donner le socle de base du Risk Management. Pour allez plus loin dans la technique, il existe des méthodes plus spécifiques.

Pour découvrir Risk IT et les autres publications de l’AFAI, rendez-vous sur le site de l’association.

Téléchargez cette ressource

Comment lutter contre le Phishing ?

Comment lutter contre le Phishing ?

Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Une réalité complexe qui exige des mesures de sécurité avancées et repensées au-delà de l’authentification multifacteur. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.

Tech - Par Guillaume Rameaux - Publié le 27 avril 2011