Editions ENI Livres | Vidéos | e-Formations
Programme de gestion du risque
Introduction
La mise en place d’un programme de gestion du risque n’est pas une exigence formelle de la norme ISO/IEC 27005:2022, mais elle s’inscrit naturellement dans la continuité des principes de ISO 31000, que nous avons déjà abordés dans le chapitre sur les normes et cadres réglementaires. Bien qu’elle ne soit pas obligatoire, sa mise en œuvre est fortement recommandée pour renforcer la sécurité de l’information et assurer la pérennité du système.
Cette nouvelle version d’ISO 27005 propose une approche plus souple que celle de 2018. Elle ne prescrit plus un modèle unique, mais laisse à chaque organisation la possibilité de choisir la méthode, la structure et le niveau de formalisme les plus adaptés à son contexte, à sa maturité et à ses objectifs.
C’est dans ce cadre que nous allons définir ce que peut être un programme structuré de gestion des risques dans une organisation, en s’appuyant sur les bonnes pratiques issues des normes ISO, mais aussi sur une certaine liberté d’approche désormais encouragée.
Nous commencerons ce chapitre en revenant sur quelques grandes méthodologies de gestion du risque, dont la méthode PDCA, toujours pertinente bien qu’optionnelle dans cette version. Nous détaillerons ensuite...
Principes et approches de la gestion des risques
La norme ISO/IEC 27005:2022 s’écarte des versions précédentes en ne prescrivant plus de méthode unique pour gérer les risques. Elle propose au contraire une approche souple et adaptable, laissant à chaque organisation le soin de choisir le cadre méthodologique le plus pertinent en fonction de son contexte, de sa culture, de ses contraintes et de ses objectifs.
Dans cette logique, plusieurs approches peuvent être mobilisées pour structurer un programme de gestion des risques efficace, chacune offrant ses propres avantages selon les environnements dans lesquels elles sont appliquées.
1. Méthode PDCA
En 1950, popularisée par W. Edwards Deming, la méthode PDCA pour « Plan/Do/Check/Act » (Planifier/Déployer/Contrôler/Ajuster) voit le jour. Celle-ci se base sur un principe de répétition sous la forme d’un cercle vertueux que l’on peut aussi nommer « roue de Deming ». Elle est le fruit de travaux développés depuis le début du siècle, visant à améliorer les performances d’une entreprise/organisation. Malgré le fait que W. Edwards Deming popularise cette méthode, c’est le scientifique américain Walter Shewhart qui est à l’origine de celle-ci. Passionné d’analyses statistiques et d’amélioration de la qualité, il met en place sa méthode dans bon nombre de ses publications.
La méthode PDCA est une méthode dite répétitive, qui permet l’amélioration continue de produits, de services et des organisations. William E. Deming disait « le cycle de Shewhart est un diagramme de flux qui sert à apprendre quelque chose, à améliorer un produit ou un processus »....
Programme de gestion des risques
La mise en œuvre d’un programme de gestion des risques est essentielle à la bonne réalisation d’un projet d’analyse de risque. Un programme de gestion des risques permet de cadrer les actions, de clarifier les rôles et responsabilités, et d’éviter les oublis ou redondances dans les analyses. Il contribue aussi à optimiser le temps et les ressources, en posant dès le départ les bases du pilotage, de la méthode et des objectifs à atteindre. En pratique, il devient un outil de cohérence, une boussole qui oriente l’ensemble des parties prenantes dans une direction commune. Voici quelques activités qui peuvent composer un programme de gestion des risques :
-
Obtenir l’engagement de la direction.
-
Définir les responsabilités et les rôles clés dans la démarche.
-
Établir une politique de gestion des risques.
-
Implémenter un processus de gestion des risques.
-
Choisir une approche de gestion des risques.
-
Choisir une méthode d’appréciation des risques.
-
Fournir les ressources.
Toutes ces étapes seront présentées de manière concrète, avec une attention particulière à leur cohérence avec la norme, mais aussi à leur applicabilité dans des contextes variés.
1. Engagement de la direction
ISO 31000, clause 4.2 :
La direction de l’organisation doit s’assurer que la gestion du risque fait partie intégrante des activités et doit faire preuve d’engagement en :
- mettant en œuvre et adaptant les composants du cadre réglementaire ;
- rédigeant une politique qui établit une approche de la gestion des risques ;
- s’assurant que la culture de l’organisation et la politique de gestion des risques sont alignées ;
- déterminant des indicateurs de performances de gestion des risques ;
- alignant les objectifs de la gestion des risques sur les objectifs et les stratégies de l’organisation ;
- s’assurant que les ressources nécessaires sont allouées à la gestion des risques ;
- assurant la conformité légale et réglementaire ;
- attribuant les différents rôles et responsabilités...
Conclusion
La gestion des risques est un processus d’amélioration continue qui s’inscrit dans la durée. L’implication et le soutien de la direction de l’organisation dans la démarche d’analyse de risque sont primordiaux. C’est en effet elle qui devra désigner un gestionnaire des risques, trancher sur les décisions difficiles de traitement des risques et allouer le budget nécessaire à la mise en place de mesures de sécurité.
Le modèle proposé par ISO/IEC 27005:2022 permet une plus grande souplesse qu’auparavant, mais n’enlève rien à l’exigence de rigueur. Il ne s’agit pas de cocher des cases, mais de construire un cadre de gestion du risque réellement utile à la prise de décision, à la protection des actifs et à la résilience globale de l’organisation.
Dans les chapitres suivants, nous allons détailler chaque étape du processus de gestion des risques, tel qu’il est défini par la norme : de l’établissement du contexte à l’évaluation, en passant par le traitement, le suivi, la communication. Ce sont ces mécanismes concrets qui permettront, in fine, de transformer les orientations vues ici en actions efficaces sur le terrain.