1. Livres & vidéos
  2. La norme ISO/IEC 27005
  3. Traitement et acceptation des risques
Extrait - La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition)
Extraits du livre
La norme ISO/IEC 27005 Maîtriser la gestion des risques en sécurité de l'information (2e édition) Revenir à la page d'achat du livre

Traitement et acceptation des risques

Introduction

Entrées

Actions

Sorties

Une liste des risques hiérarchisés selon des critères d’évaluation en relation avec les scénarios d’incidents qui conduisent à ces risques.

Des contrôles pour éviter, réduire, transférer, ou accepter les risques doivent être sélectionnés et un plan de traitement des risques doit être défini.

Plan de traitement des risques et risques résiduels soumis à la décision d’acceptation des responsables de l’organisme.

Les risques ayant été évalués, il s’agit désormais de sélectionner des options de traitement dépendant évidemment de l’évaluation des risques, du budget prévu pour la mise en place des mesures de sécurité, des contraintes organisationnelles, mais aussi des avantages attendus.

Dans ce chapitre, nous aborderons le sujet du traitement du risque en proposant des solutions permettant d’éviter, de réduire, de transférer ou d’accepter les risques. Ces quatre options ne sont pas nécessairement indépendantes mais peuvent cohabiter. En effet, une organisation peut faire le choix de réduire les probabilités de certains risques, d’en réduire les conséquences, d’en accepter certains et d’en partager d’autres....

Processus de traitement du risque

1. Hiérarchisation des risques

Comme étudié au chapitre Analyse et évaluation du risque, le niveau du risque peut être déterminé à l’aide de plusieurs méthodes.

La matrice de risque oppose la probabilité d’un incident à ses conséquences. Nous ne reviendrons pas sur ce point dans ce paragraphe, il s’agit simplement ici de classer les risques identifiés en se basant sur la note obtenue grâce à cette matrice. D’autres méthodes se baseront par exemple sur le rapport coûts/bénéfice

Le gestionnaire de risque doit faire preuve d’objectivité lors de la hiérarchisation des risques, tout en tenant compte de certains critères, comme la perception du risque par les parties prenantes, ou les moyens de communiquer avec elles. Il peut toutefois s’appuyer sur des principes de base comme donner la priorité à un risque impactant un processus métier primordial, ou à un risque lié à la confidentialité des données personnelles (données de santé par exemple). Il devra également s’assurer que les risques liés à des obligations réglementaires, légales ou encore contractuelles sont correctement priorisés.

2. Options de traitement du risque

Le schéma ci-dessous explique le processus de traitement du risque. Nous détaillerons chacun des éléments qui le composent dans les sections suivantes.

images/08EP01.png

a. Réduction du risque

La réduction, ou atténuation du risque consiste à mettre en œuvre des moyens, des mesures, des dispositifs qui permettront de diminuer le risque résiduel pour l’entreprise et le rendre ainsi acceptable. La réduction du risque pourra signifier diminuer les conséquences du risque, mais aussi sa probabilité. La sélection de ces contrôles doit tenir compte à la fois des exigences identifiées lors de l’évaluation des risques, mais aussi du coût de mise en œuvre des mesures, du délai et des aspects techniques, environnementaux et culturels. Ces contrôles peuvent être techniques, organisationnels, juridiques ou comportementaux. Les mesures de sécurité...

Processus d’acceptation des risques

Le processus d’acceptation des risques permet de confirmer ou d’infirmer les résultats obtenus précédemment. Il s’agit donc de prendre une décision définitive quant aux choix de traitement des risques et des responsabilités de chacun.

Entrées

Actions

Sorties

Plan de traitement des risques et évaluation des risques résiduels soumis à la décision d’acceptation des responsables de l’organisme.

La décision d’accepter les risques et les responsabilités de la décision doit être prise et formellement enregistrée.

Une liste des risques acceptés avec justification de ceux qui ne répondent pas aux critères normaux d’acceptation des risques de l’organisation.

Lors de cette étape, nous reprendrons donc les documents produits lors de l’étape précédente, à savoir le plan d’actions et l’appréciation des risques résiduels, et les soumettrons à l’approbation de la direction. La validation ne peut être faite que par les responsables disposant de l’autorité appropriée, conformément à la politique de gestion des risques de l’organisation.

Ainsi, une réunion du comité décisionnel se tiendra à cet effet, à l’issue de laquelle l’ensemble des décisions relatives aux traitements des risques sera formalisé et documenté...

Conclusion

C’est à l’issue de cette étape que les ressources seront affectées au traitement des risques. C’est donc une étape cruciale dans le processus de gestion des risques car elle marque le lancement du projet de mise en place des mesures de sécurité. Elle formalise également les décisions prises par la direction et engage l’organisation dans un processus concret de sécurisation.

Il est important de noter qu’il existe deux catégories de traitement des incidents, à savoir le plan de gestion des incidents, qui s’occupera de traiter les évènements non désirés à forte probabilité et faibles conséquences, et le plan de continuité des activités qui, lui, se concentrera sur les évènements à faible probabilité mais à impact élevé (catastrophes naturelles par exemple). Ces deux approches complémentaires font partie intégrante de la stratégie globale de réponse aux incidents.

Cette étape sonne la fin du processus de l’analyse de risques, ou du moins de cette itération. En effet, les deux processus que nous verrons dans les chapitres suivants sont des processus transverses, qui se déroulent tout au long de l’analyse des risques.

Ces processus garantissent le suivi, la cohérence et l’amélioration...