Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Du 22 au 24 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. La norme ISO 27005
  3. Traitement et acceptation des risques
Extrait - La norme ISO 27005 Gestion des risques liés à la sécurité de l'information
Extraits du livre
La norme ISO 27005 Gestion des risques liés à la sécurité de l'information
1 avis
Revenir à la page d'achat du livre

Traitement et acceptation des risques

Introduction

Entrées

Actions

Sorties

Une liste des risques hiérarchisés selon des critères d’évaluation en relation avec les scénarios d’incidents qui conduisent à ces risques.

Des contrôles pour réduire, conserver, éviter ou partager les risques doivent être sélectionnés et un plan de traitement des risques doit être défini.

Plan de traitement des risques et risques résiduels soumis à la décision d’acceptation des responsables de l’organisme.

Les risques ayant été évalués, il s’agit désormais de sélectionner des options de traitement dépendant évidemment de l’évaluation des risques, du budget prévu pour la mise en place des mesures de sécurité mais aussi des avantages attendus. Dans ce chapitre, nous aborderons le sujet du traitement du risque en proposant des solutions dans le but de l’éviter, mais aussi de le réduire, de le transférer ou de l’accepter. Ces quatre options ne sont pas nécessairement indépendantes mais peuvent cohabiter. En effet, une organisation peut faire le choix de réduire les probabilités de certains risques, d’en réduire les conséquences, d’en accepter certains et d’en partager d’autres.

Ces solutions seront étudiées et nous produirons ainsi un plan d’actions détaillé afin de réévaluer conséquemment les risques.

Processus de traitement du risque

1. Hiérarchisation des risques

Comme étudié au chapitre Analyse et évaluation du risque, le niveau du risque peut être déterminé à l’aide de plusieurs méthodes.

La matrice de risque oppose la probabilité d’un incident à ses conséquences. Nous ne reviendrons pas sur ce point dans ce paragraphe, il conviendra tout simplement de classer les risques identifiés en se basant sur la note obtenue grâce à cette matrice. D’autres méthodes se baseront par exemple sur le rapport coûts-avantages.

Le gestionnaire de risque doit faire preuve d’objectivité lors de la hiérarchisation des risques en tenant toutefois compte de certains critères, comme la perception du risque par les parties prenantes, ou les moyens de communiquer avec elles. Il peut toutefois s’appuyer sur des principes de base comme donner la priorité à un risque impactant un processus métier primordial, ou à un risque lié à la confidentialité des données personnelles (données de santé par exemple). Il devra également s’assurer que les risques liés à des obligations réglementaires, légales ou encore contractuelles sont priorisés.

2. Options de traitement du risque

Le schéma ci-dessous explique le processus de traitement du risque. Nous détaillerons chacun des éléments qui le composent dans les sections suivantes.

images/08EP01.png

a. Réduction du risque

La réduction, ou modification, du risque consiste à mettre en œuvre des moyens, des mesures, des dispositifs qui permettront de diminuer le risque résiduel pour l’entreprise et le rendre ainsi acceptable. La réduction du risque pourra signifier diminuer les conséquences...

Processus d’acceptation des risques

Le processus d’acceptation des risques permet de confirmer ou d’infirmer les résultats obtenus précédemment. Il s’agit donc de prendre une décision définitive quant aux choix de traitement des risques et des responsabilités de chacun.

Entrées

Actions

Sorties

Plan de traitement des risques et évaluation des risques résiduels soumis à la décision d’acceptation des responsables de l’organisme.

La décision d’accepter les risques et les responsabilités de la décision doit être prise et formellement enregistrée.

Une liste des risques acceptés avec justification de ceux qui ne répondent pas aux critères normaux d’acceptation des risques de l’organisation.

Lors de cette étape, nous reprendrons donc les documents produits lors de l’étape précédente, à savoir le plan d’actions et l’appréciation des risques résiduels, et les soumettrons à l’approbation de la direction. Ainsi, une réunion du comité décisionnel se tiendra à cet effet, à l’issue de laquelle l’ensemble des décisions relatives aux traitements des risques sera formalisé et documenté afin d’en garder une trace.

1. Facteurs d’acceptation des risques

Plusieurs raisons peuvent mener à l’acceptation ou le refus des risques. En voici certaines :

  • Le profit joue un rôle déterminant dans la gestion du risque. Certains risques peuvent être jugés moindres face aux profits réalisables, autant financier que sur le gain en productivité.

  • Le biais de confirmation est un biais cognitif qui privilégie les informations qui confirment nos idées reçues. Ce biais nous fait donc croire...

Conclusion

C’est à l’issue de cette étape que les ressources seront affectées au traitement des risques. C’est donc une étape cruciale au processus de gestion des risques car elle marque le lancement du projet de mise en place des mesures de sécurité.

Il est important de noter qu’il existe deux catégories de traitement des incidents, à savoir le plan de gestion des incidents, qui s’occupera de traiter les évènements non désirés à forte probabilité et faibles conséquences, et le plan de continuité des activités qui, lui, se concentrera sur les évènements à faible probabilité mais à impact élevé (catastrophes naturelles par exemple).

Cette étape sonne la fin du processus de l’analyse de risques, ou du moins de cette itération. En effet, les deux processus que nous verrons dans les chapitres suivants sont des processus transverses, qui se déroulent tout au long de l’analyse des risques.