Programme de gestion du risque
Introduction
La notion de programme de gestion du risque n’existe pas dans la norme ISO 27005 mais est issue de la norme ISO 31000 que nous avons explorée lors du chapitre Normes et cadres réglementaires. Nous débuterons donc ce chapitre en détaillant la méthode PDCA qui est au cœur de la gestion du risque selon ISO 31000. Nous détaillerons ensuite les activités du programme de la gestion du risque.
Méthode PDCA
En 1950, popularisée par William E. Deming, la méthode PDCA pour « Plan/Do/Check/Act » (Planifier/Déployer/Contrôler/Ajuster) voit le jour. Celle-ci se base sur un principe de répétition sous la forme d’un cercle vertueux que l’on peut aussi nommer « roue de Deming ». Elle est le fruit de travaux développés depuis le début du siècle, visant à améliorer les performances d’une entreprise/organisation. Malgré le fait que William E. Deming popularise cette méthode, c’est le scientifique américain Walter Shewhart qui est à l’origine de celle-ci. Passionné d’analyses statistiques et d’amélioration de la qualité, il met en place sa méthode dans bon nombre de ses publications.
La méthode PDCA est une méthode dite répétitive, qui permet l’amélioration continue de produits, de services et des organisations. William E. Deming disait « le cycle de Shewhart est un diagramme de flux qui sert à apprendre quelque chose, à améliorer un produit ou un processus ».
-
PLANIFIER
-
Le stade de la planification consiste à lister toutes les tâches. Malgré le fait que cette partie soit fastidieuse et demande beaucoup de temps au personnel, elle reste indispensable pour lancer le projet. Toute cette étape permettra d’établir un plan avec le moins de risque d’échec possible. On peut articuler cette phase en trois étapes : déterminer le problème que l’on veut résoudre, effectuer une recherche des causes profondes de celui-ci puis établir un planning basé sur un cahier des charges défini.
-
DÉPLOYER
-
L’action de faire, ici, est l’application, étape...
Programme de gestion des risques
La mise en œuvre d’un programme de gestion des risques est essentielle à la bonne réalisation d’un projet d’analyse de risque. Il permet en effet un gain de temps considérable en cadrant les activités et les objectifs, limitant ainsi à la fois le coût du projet, mais également des négligences dans l’évaluation des risques et des prises de décisions qui en découlent. Voici quelques activités qui peuvent composer un programme de gestion des risques :
-
Obtenir l’engagement de la direction.
-
Définir les responsabilités.
-
Établir une politique de gestion des risques.
-
Implémenter un processus de gestion des risques.
-
Choisir une approche de gestion des risques.
-
Choisir une méthode d’appréciation des risques.
-
Fournir les ressources.
Nous détaillerons chacune de ces activités dans les sections suivantes.
1. Engagement de la direction
ISO 31000, clause 4.2 :
La direction de l’organisation doit s’assurer que la gestion du risque fait partie intégrante des activités et doit faire preuve d’engagement en :
- mettant en œuvre et adaptant les composants du cadre réglementaire ;
- rédigeant une politique qui établit une approche de la gestion des risques ;
- s’assurant que la culture de l’organisation et la politique de gestion des risques sont alignées ;
- déterminant des indicateurs de performances de gestion des risques ;
- alignant les objectifs de la gestion des risques sur les objectifs et les stratégies de l’organisation ;
- s’assurant que les ressources nécessaires sont allouées à la gestion des risques ;
- assurant la conformité légale et réglementaire ;...
Conclusion
La gestion des risques est un processus d’amélioration continue qui s’inscrit dans la durée. L’implication et le soutien de la direction de l’organisation dans la démarche d’analyse de risque sont primordiaux. C’est en effet elle qui devra désigner un gestionnaire des risques, trancher sur les décisions difficiles de traitement des risques et allouer le budget nécessaire à la mise en place de mesures de sécurité.
Les chapitres suivants détailleront tout le processus de gestion des risques tels que décrits dans la norme ISO 27005.