Surveillance et revue des risques
Introduction
Entrées |
Actions |
Sorties |
Toutes les informations sur les risques obtenues à partir des activités de gestion des risques. |
Les risques et leurs facteurs (c’est-à-dire la valeur des actifs, les impacts, les menaces, les vulnérabilités, la probabilité d’occurrence) doivent être surveillés et examinés pour identifier tout changement dans le contexte de l’organisation à un stade précoce et pour maintenir une vue d’ensemble de l’image complète des risques. |
Alignement continu de la gestion des risques sur les objectifs commerciaux de l’organisation et sur les critères d’acceptation des risques. |
La surveillance et la revue des risques sont, tout comme la communication sur les risques, un processus transverse et continu. C’est pourquoi il convient de surveiller et d’examiner régulièrement les risques pour s’assurer que les hypothèses les concernant et sur lesquelles repose l’évaluation du risque sont toujours valides. Il s’agira également de s’assurer que les résultats attendus sont atteignables et sont en bonne voie, que les techniques d’évaluation des risques sont correctement appliquées et que les traitements sont efficaces.
Processus de surveillance et revue des risques
Le processus de surveillance et revue des risques est composé de cinq actions :
-
Le suivi des risques identifiés.
-
La surveillance des risques résiduels.
-
L’identification de nouveaux risques.
-
La garantie de l’exécution des plans d’actions.
-
L’évaluation de l’efficacité des plans d’actions.
Il s’agit d’un processus continu car les risques sont susceptibles d’évoluer au fur et à mesure que le projet mûrit, que de nouveaux risques apparaissent ou disparaissent. Il est donc nécessaire d’établir et de correctement définir la responsabilité de cette surveillance et de la revue des risques. Si un changement significatif se produit, il conviendra d’identifier la gravité de l’incident et de déterminer si son traitement doit suivre le processus et attendre la prochaine itération de l’analyse de risques, ou si une intervention doit avoir lieu immédiatement. Il est parfois possible d’effectuer une analyse localisée et modifier juste un traitement pour pallier le nouveau risque, sans pour autant changer tout le plan d’actions.
Les objectifs de ce processus sont les suivants :
-
S’assurer que les contrôles sont efficaces, qu’ils fonctionnent et qu’ils sont conçus correctement.
-
Obtenir sans cesse de nouvelles informations afin d’améliorer l’évaluation des risques.
-
Analyser et apprendre des incidents, des évènements, des changements, des tendances, des succès et des échecs.
-
Détecter si le contexte change ou évolue, qu’il soit interne ou externe. Détecter également si les critères de risque doivent être modifiés, s’il est nécessaire de redéfinir et réviser...
Surveillance et revue des facteurs de risques
ISO 27005 : 2011, clause 12.1 : Monitoring and review of risk factors
Les organisations doivent s’assurer que les éléments suivants sont surveillés en permanence :
- Nouveaux actifs entrés dans le périmètre de gestion des risques
- Modification nécessaire des valeurs des actifs, par ex. en raison de l’évolution des besoins de l’entreprise
- Nouvelles menaces qui pourraient être actives à la fois à l’extérieur et à l’intérieur de l’organisation et qui n’ont pas été évaluées
- Possibilité que des vulnérabilités nouvelles ou accrues permettent à des menaces de les exploiter
- Vulnérabilités identifiées pour déterminer celles qui sont exposées à des menaces nouvelles ou ré-émergentes.
Il ne faut pas considérer l’évaluation des risques comme quelque chose de statique. Un risque précédemment évalué comme faible peut évoluer via de nouvelles menaces, de nouvelles vulnérabilités, une probabilité plus élevée ou plus faible, ou encore une modification des conséquences qui y sont liées. La revue des risques acceptés, qu’ils soient faibles ou forts, est primordiale. Il convient d’évaluer leurs impacts cumulés, et s’ils ne rentrent plus dans les critères d’acceptabilité, il faudra alors revoir le plan d’actions et les traiter à nouveau. D’autres changements sont également à surveiller, tels qu’un changement de direction, une évolution au niveau juridique ou réglementaire (comme le Règlement général sur la protection des données...
Surveillance et revue de la gestion des risques
Le processus de la gestion des risques de sécurité de l’information doit être continuellement surveillé, révisé, amélioré et approprié afin de s’assurer que le contexte, les résultats de l’évaluation des risques, les plans d’actions restent pertinents et adaptés. Les mesures mises en place doivent être surveillées afin de s’assurer qu’elles sont toujours pertinentes et qu’elles répondent bien au besoin.
Pour rappel, les mesures peuvent être préventives, détectives ou correctives. En voici quelques exemples :
Mesures préventives |
Mesures détectives |
Mesures correctives |
Sensibilisation du personnel à la sécurité de l’information |
Caméras de surveillance |
Installation d’extincteurs |
Utilisation de matériaux ignifugés dans les bureaux |
Détecteur de fumée |
Mise en place d’une équipe de gestion des incidents |
Utilisation d’une authentification forte |
Système de détection d’intrusion (IDS) |
Rachat d’une nouvelle machine |
Chiffrement des données |
Supervision du parc informatique |
|
Pour ce faire, l’organisation doit s’assurer que les ressources d’évaluation et de traitement du risque sont disponibles en permanence, à savoir tous les documents produits lors de la gestion du risque, mais aussi les acteurs associés.
Il est également nécessaire de vérifier régulièrement que les critères utilisés pour mesurer les risques sont toujours valables et cohérents. Nous parlons ici de cohérence avec les objectifs, les stratégies et les politiques de l’organisation. La surveillance et la revue doivent aborder a minima les points suivants :...
Amélioration continue
Le processus de gestion des risques s’inscrit dans une démarche d’amélioration continue et doit être revu régulièrement, d’autant plus lors de changements majeurs au sein de l’organisation. La mise en œuvre d’un tel processus peut être fastidieuse, et il est préférable de commencer par un périmètre limité que l’on étendra au fil des itérations. Les normes ISO n’imposent jamais une façon de faire. De ce fait, l’organisation est libre d’utiliser la méthode de son choix, ou d’inventer la sienne, du moment que les exigences des normes sont respectées.
Les normes ISO 27005, ISO 27001 et ISO 31000 font référence à la méthode PDCA (Plan, Do, Check, Act) que nous avons déjà détaillée dans le chapitre Programme de gestion du risque. Nous citerons ci-dessous d’autres méthodes d’amélioration continue que nous serons libres d’adopter, ou non.
1. Démarche Kaizen
Cette démarche japonaise a vu le jour dans les années 50 dans l’entreprise Toyota. Elle prône le changement au sein d’une organisation au travers de petites améliorations répétées. Le mot « Kaizen » est la contraction des mots « Kai » et « Zen » signifiants respectivement « Changement » et « Meilleur ». Cette démarche repose sur plusieurs principes :
-
La remise en question, en considérant que le travail n’est jamais terminé et qu’il peut toujours être optimisé.
-
La recherche de la durabilité, en gardant la même méthode de travail que l’on améliorera...
Conclusion
Les données traitées dans le processus de gestion des risques ne sont pas figées dans le temps mais évoluent au quotidien. C’est pourquoi il est vital de surveiller et revoir ce processus en continu, notamment lors de changements majeurs opérés au sein de l’organisation. Ceci s’inscrit dans la démarche d’amélioration continue et permet ainsi de détecter des besoins et d’y apporter les traitements suffisamment tôt pour ne pas réduire le niveau de qualité.