La gestion des risques
Introduction
La prise en compte des risques poursuit un objectif principal qu’est le renforcement de la sécurité du contexte étudié. Ceci est conditionné par une bonne gouvernance de ces risques, propice à une prise de décisions éclairée. Des décisions adaptées nécessitent l’implication de l’ensemble des acteurs et permettent l’atteinte des résultats escomptés, au terme déterminé, tout en assurant l’anticipation des possibles évolutions.
La gestion des risques est donc une composante essentielle à la sécurité. À ce titre, cette gestion nécessite d’être bien pensée et d’être bien menée, tant en termes d’identification qu’en termes de traitement des risques.
C’est pourquoi, sur la base des risques identifiés, nous allons présenter les conditions et les modes de leur traitement. Ainsi, nous allons voir comment se conçoit une bonne gouvernance des risques, quels sont les options et les modes de traitement de ces risques et comment est assuré le suivi des risques dans le temps.
Gouvernance du risque
La notion de gouvernance abordée préalablement dans un sens général est ici précisée sur une portée plus restreinte, celle des risques.
La démarche reste identique puisqu’il s’agit de définir justement ce qui est à traiter, de le traiter conformément aux besoins et dans le sens des bonnes pratiques, d’en contrôler les résultats au regard des attentes formulées et de prendre en compte les évolutions et les écarts toujours en vigueur.
Adaptée aux risques, cette gouvernance se comprend au travers de quatre étapes, à savoir :
-
l’identification des risques,
-
le traitement des risques,
-
le contrôle des résultats en matière de risques,
-
l’ajustement des risques aux changements.
Bien que le premier point ait fait l’objet d’un chapitre entier, nous allons extraire l’essentiel pour assurer la bonne compréhension de la suite et en compléter certains aspects.
1. Identification des risques à traiter
Lors d’une première phase d’analyse, une liste des risques à retenir a été produite. Ces risques se définissent par un libellé, une valorisation et un propriétaire.
Cette liste est le résultat de l’analyse qui a été menée et repose donc sur l’étude de la menace qui pèse sur le contexte étudié. Cette étude, qui s’appuie largement sur les événements redoutés ou rencontrés, cible les axes à explorer pour contenir leurs effets négatifs ou pour en limiter...
Traitement des risques
Le traitement des risques s’entend comme étant la manière de considérer le risque pour en retirer des décisions conduisant à des actions.
1. Interprétation des éléments de l’analyse
a. Couverture des risques
Le traitement d’un risque est à comprendre comme les options prises pour le gérer. Il existe plusieurs options dont l’une est la réduction du risque.
Cela implique la définition de mesures qui, indépendamment et collectivement, participent à la couverture d’un ou de plusieurs risques. Cette couverture peut être totale ou partielle. Son estimation émane de l’appréciation de l’efficacité de chacune des mesures en place et de celle de leur interaction.
Le choix des mesures relève du niveau de couverture retenu et notamment exprimé au travers des enjeux. Ce choix s’appuie sur les bonnes pratiques et sur les besoins de sécurité exprimés.
Le niveau de couverture doit répondre aux objectifs de sécurité fixés.
b. Seuil et critères d’acceptation du risque
Le seuil d’acceptation du risque permet de déterminer le point à partir duquel l’entité se refuse d’assumer les conséquences d’un risque et donc d’engager sa responsabilité. Le seuil s’entend comme un niveau.
Les critères d’acceptation du risque permettent de définir les conditions sous lesquelles l’entité assume les conséquences d’un risque et engage donc sa responsabilité. Les critères peuvent être exprimés...
Amélioration de la gestion des risques
Le principe d’amélioration continue tel qu’il existe au sein de la norme ISO 27001 concerne également les risques et leur gestion.
L’amélioration continue revêt un caractère essentiel concernant les risques, car elle garantit le contrôle de l’efficacité de leur gestion et le renforcement de la sécurité.
Cette amélioration ne peut s’appréhender qu’à l’aune de l’état courant, de la projection vers une cible et de la confrontation de ces deux aspects.
1. Appréciation du niveau courant de risques
Pour apprécier justement le niveau courant de sécurité, il convient de s’attacher à évaluer, au préalable, celui des risques.
Éléments d’appréciation
Les risques ont été appréciés lors de la phase d’identification et d’analyse. L’évaluation qui en a été dégagée laisse apparaître le niveau courant et le niveau cible de chacun de ces risques.
En complément, le plan de traitement qui a été défini en précise le niveau couvert et en a fait ressortir le risque résiduel.
Sources complémentaires
La prise en compte des événements de sécurité, la veille sur l’état de menace, les évolutions de toutes sortes qui peuvent influer sur le périmètre étudié et tout écart constaté constituent des sources à prendre en compte pour apprécier un risque.
Par ailleurs, les situations qui s’éloignent...
Rappel des points clés
Les risques figurent l’état de menace mais également celui de la protection du périmètre considéré. Leur identification, leur analyse, leur traitement et leur réévaluation sont les étapes principales de leur gestion.
Cette gestion, pour être efficace, doit tendre à considérer le risque au plus près de l’opérationnel, dans l’espace et dans le temps. Une vue obsolète ou générique déconnectée de la réalité quotidienne ne présente pas un intérêt suffisant pour faire de ces risques un composant structurant d’une gestion efficace de la sécurité de l’information.
Le système de management de la sécurité de l’information préserve la confidentialité, l’intégrité et la disponibilité de l’information en appliquant un processus de gestion des risques et donne aux parties intéressées l’assurance que les risques sont gérés de manière adéquate.
La gestion des risques comprend celle des risques dits « résiduels ». Ils représentent l’axe central pour l’identification des vulnérabilités et des menaces associées. Ces risques sont mouvants et très marqués par l’opérationnel, car ils en sont l’émanation et la résultante.
Les finalités de la gestion des risques peuvent se résumer ainsi :
-
Savoir où porter les efforts grâce à l’identification de l’environnement de menaces et...
Cas pratique
Sur la base du cas pratique présenté au chapitre précédent vous sont proposées ci-après des questions supplémentaires, suivies d’une réponse possible.
1. Énoncé du cas
La société MARS21 vend des bonbons au chocolat, fabriqués dans une petite usine située dans l’alpage suisse. La société MARS21 ne dispose pas de magasin et toutes les ventes se font exclusivement en ligne. Les commandes sont directement expédiées depuis l’usine. Pour ce faire, un employé de la société est détaché au sein de l’usine pour gérer les expéditions et leur suivi (commandes auprès de l’usine, vérification du colis, prise en compte du colis, expédition du colis, prise en charge des retours).
Au sein de son siège situé en région parisienne, l’équipe est composée de trois personnes : un dirigeant, un commercial spécialisé en marketing digital et une personne administrative qui assure les tâches administratives et comptables courantes.
La société MARS21 ne possède en propre que quatre tablettes électroniques et quatre smartphones, destinés à chaque membre de l’équipe. Toutes les données de l’entreprise sont stockées sur un espace cloud, inclus dans l’offre SaaS souscrite. Cette offre s’entend en termes de site institutionnel et commercial, proposant une description de l’entreprise, des conditions de vente, des produits vendus. À cette offre SaaS est également associée...