MINISTÈRE DES TRANSPORTS, DE L’AVIATION CIVILE RÉPUBLIQUE DU CONGO

Unité * Travail * Progrès

ET DE LA MARINE MARCHANDE

GUICHET UNIQUE DES OPÉRATIONS

TRANSFRONTALIÈRES
DIRECTION GENERALE
------------------------------
DIRECTION
----------------------------------------------------------------------------------
SERVICE
----------------------------------------------------------------------------

PROCEDURE DE GESTION DES RISQUES LIE A LA SECURITE DE

L’INFORMATION
AU
GUICHET UNIQUE DES OPERATIONS TRANSFRONTALIERES

« La Digitalisation c’est nous, l’Usage c’est vous »

NIU : M2014110000720079 – RCCM : RCCMCG/PNR/14B742
ADRESSE : Rue Kouanga MAKOSSO, CQ 101 Centre-Ville A. TEL. : 06 665 19 04
B.P : 1153 - Pointe-Noire R. du Congo
Email: contact@guot.org ; contact.guot@gmail.com | Web: www.guot.org
MINISTÈRE DES TRANSPORTS, DE L’AVIATION CIVILE RÉPUBLIQUE DU CONGO
Unité * Travail * Progrès
ET DE LA MARINE MARCHANDE

GUICHET UNIQUE DES OPÉRATIONS

TRANSFRONTALIÈRES

2
MINISTÈRE DES TRANSPORTS, DE L’AVIATION CIVILE RÉPUBLIQUE DU CONGO
Unité * Travail * Progrès
ET DE LA MARINE MARCHANDE

GUICHET UNIQUE DES OPÉRATIONS

TRANSFRONTALIÈRES
Table des matières
I. Introduction..........................................................................................................................................3

II. Définitions du risque et de la gestion des risques................................................................3

II.1 Le risque............................................................................................................................................. 3

II.2 La gestion des risques...................................................................................................................3

III. Objectifs.............................................................................................................................................3

IV. Principes............................................................................................................................................ 4

V. Processus général.............................................................................................................................. 4

V.1 Logigramme.....................................................................................................................................5

V.2 Description des étapes.................................................................................................................6

a. Etablir un cadre de gestion des risques...............................................................................6

b. Identifier les risques....................................................................................................................6

c. Analyse des risques......................................................................................................................6

d. Evaluer les risques........................................................................................................................7

e. Signification de l’impact.............................................................................................................8

f. Traitement des risques................................................................................................................8

g. Surveillance et examen...............................................................................................................9

Tableau 1 : Probabilité du risque..........................................................................................................7

Tableau 2 : Signification de l'impact...................................................................................................8

3
MINISTÈRE DES TRANSPORTS, DE L’AVIATION CIVILE RÉPUBLIQUE DU CONGO
Unité * Travail * Progrès
ET DE LA MARINE MARCHANDE

GUICHET UNIQUE DES OPÉRATIONS

TRANSFRONTALIÈRES
I. Introduction
Le présent document décrit les spécifications de la procédure de gestion des risques pour
le GUOT. Cette procédure a pour rôle de fournir un cadre pour la gestion des risques liés à
la sécurité de l’information au sein du GUOT, conformément aux exigences de la norme
ISO 27001.

II. Définitions du risque et de la gestion des risques

II.1 Le risque
Un risque est une contingence (quelque chose d’éventuel, qui peut arriver ou non)
indésirable, appréhendée, relativement anodine et peu probable.

II.2 La gestion des risques

La gestion des risques est un processus systématique et continu qui vise à identifier,
évaluer et traiter les risques liés à la sécurité de l’information dans une organisation. Cette
norme internationale de sécurité de l’information établit des exigences pour la mise en
place, la mise en œuvre, la maintenance et l’amélioration du système de gestion de la
sécurité de l’information (SMSI) d’une organisation.

III. Objectif de la procédure de gestion des risques

La politique de gestion des risques a pour but principal de permettre à l’organisation de
remplir ses objectifs financiers et sociaux, à travers la bonne marche de ses activités.
La gestion des risques se concentre sur l’identification des risques et sur les moyens d’y
faire face, avec pour objectif de développer ses activités de manière efficace et durable.
Une bonne gestion des risques permet de réduire la survenance d’obstacles à la bonne
marche de l’organisation, et l’incertitude concernant la continuité de ses activités.

Cette procédure couvre tous les systèmes, équipements de communications, applications

et logiciels, dispositifs réseau et de sécurité. Elle inclue également les équipements de
sécurité physique et environnementale.

Tous les événements liés à la sécurité de l’information doivent être signalés, dans les
meilleurs délais, par les voies hiérarchiques appropriées.

Tous les rapports de failles de sécurité ou évènements relatifs aux biens informationnels de
du GUOT sont concernés par la présente procédure. En plus, les faiblesses et les anomalies
détectées au niveau des systèmes d’informations doivent être traitées conformément à la
présente procédure.

La gestion des risques doit être présente et durable, et faire partie intégrante de la
stratégie et de la mise en œuvre de cette stratégie.

4
MINISTÈRE DES TRANSPORTS, DE L’AVIATION CIVILE RÉPUBLIQUE DU CONGO
Unité * Travail * Progrès
ET DE LA MARINE MARCHANDE

GUICHET UNIQUE DES OPÉRATIONS

TRANSFRONTALIÈRES

IV. Principes de la procédure de gestion des risques

Les grands principes de gestion des risques de l’Organisation sont :

 Une gestion saine et efficace des risques est le fondement d’une activité pérenne ;
 Une gestion des risques intégrée, coordonnée et globale ;
 La gestion des risques est menée grâce à des politiques clairement définies, qui sont
communiqués à l’ensemble des salariés de l’organisation ;
 La gestion des risques est une responsabilité partagée, et l’organisation a pour
objectif de construire une vision partagée de gestion des risques, résultat d’un
consensus au sein de l’organisation ;
 L’organisation de la gouvernance est clairement définie ;
 La séparation des tâches est clairement définie entre les fonctions opérationnelles et
celles de gestion des risques ;
 Toutes les décisions opérationnelles prennent en considération les problèmes qui
pourraient en découler ;
 L’identification des risques est communiquée de manière complète et transparente
aux niveaux appropriés.

V. Processus général
Le processus de gestion des risques selon ISO 27001 implique une série d’activités,
notamment la définition du cadre de gestion des risques, l’identification des risques,
l’analyse des risques, l’évaluation des risques, le traitement des risques, la surveillance et
l’examen, ainsi que l’amélioration continue.

V.1 Logigramme
Opérateur Etape Règle

5
MINISTÈRE DES TRANSPORTS, DE L’AVIATION CIVILE RÉPUBLIQUE DU CONGO
Unité * Travail * Progrès
ET DE LA MARINE MARCHANDE

Débu
t

GUICHET UNIQUE DES OPÉRATIONS

TRANSFRONTALIÈRES Etablir un cadre de gestion
des risques

Identification des risques

Analyse des risques

Evaluation des risques

Traitement des risques

Surveillance et examen

Amélioration continue

Fin

V.2 Description des étapes

a. Etablir un cadre de gestion des risques

Il s’agit des règles gouvernant la façon dont vous souhaitez identifier les risques, les
personnes auxquelles vous souhaitez attribuer la responsabilité des risques, l’impact des
risques sur la confidentialité, l’intégrité et la disponibilité de l’informations et les méthodes
de calcul de l’impact estimé et la probabilité que le risque survienne. Une méthodologie
formelle d’évaluation des risques doit aborder quatre problématiques et doit être validée
par les cadres supérieurs :

6
MINISTÈRE DES TRANSPORTS, DE L’AVIATION CIVILE RÉPUBLIQUE DU CONGO
Unité * Travail * Progrès
ET DE LA MARINE MARCHANDE

GUICHET UNIQUE DES OPÉRATIONS

TRANSFRONTALIÈRES
 Critères de sécurité
 Echelle de risque
 Goût du risque
 Evaluation des risques basés sur le scénario - ou sur les actifs

b. Identifier les risques

L’identification des risques pouvant affecter la confidentialité, l’intégrité et la disponibilité

des informations est la tâche la plus longue du process d’évaluation des risques. Il est
préférable d’opter pour un processus d’évaluation des risques basée sur les actifs.
Développer une liste des actifs informationnels est un bon point de départ. Il sera plus
simple de partir d’une liste existante comprenant les copies papier des informations, les
fichiers électroniques, les médias amovibles, les appareils mobiles et les intangibles tels
que la propriété intellectuelle.

Ils peuvent être négatifs ou positifs. Les risques négatifs sont potentiellement nocifs pour
le projet de l’entreprise, et seront évités en règle générale, tandis que les risques positifs
sont ceux qui sont initiés parce qu’ils peuvent offrir une opportunité, bien qu’ayant le
potentiel d’échouer. Tout risque pouvant toucher le projet de manière négative ou positive
doit être identifié puis idéalement être classé dans différentes catégories en vue de le
classer.

c. Analyse des risques

Identifier les menaces et les faiblesses de chaque actif. Par exemple, la menace peut être
« vol d’un appareil mobile », et la faiblesse associée « pas de politique mise en place
concernant l’utilisation d’appareils mobiles ». Attribuez une valeur d’impact et de
probabilité selon vos critères de risques.

d. Evaluer les risques

L’évaluation des risques consiste à déterminer la probabilité que les risques se produisent,
à estimer leur impact potentiel et classer les risques par ordre de priorité.

Une fois les risques identifiés et analysés, l’étape suivant consiste à les quantifier en :

 Classant les risques par ordre de priorité en fonction de leur probabilité et de

leur impact
 Identifiant la tolérance au risque, quels risques sont acceptables et quels
risques doivent être gérés.

7
MINISTÈRE DES TRANSPORTS, DE L’AVIATION CIVILE RÉPUBLIQUE DU CONGO
Unité * Travail * Progrès
ET DE LA MARINE MARCHANDE

GUICHET UNIQUE DES OPÉRATIONS

TRANSFRONTALIÈRES
Probabilité du risque

Niveau Probabilité que le risque Définition

se produise

3 Haute On s’attend à ce qu’il se produise à plus de

50% de chance

2 Moyenne Tout à fait possible qu’il se produise à 50%

de chance

1 Basse Très inattendu et peu probable

Tableau 1 : Probabilité du risque

e. Signification de l’impact

Niveau Probabilité que le risque Définition

se produise

3 Haute L’impact peut apporter une différence de

taille

2 Moyenne L’impact peut faire la différence

1 Basse Il peut y avoir un impact, mais il reste

gérable

Tableau 2 : Signification de l'impact

8
MINISTÈRE DES TRANSPORTS, DE L’AVIATION CIVILE RÉPUBLIQUE DU CONGO
Unité * Travail * Progrès
ET DE LA MARINE MARCHANDE

GUICHET UNIQUE DES OPÉRATIONS

TRANSFRONTALIÈRES
f. Traitement des risques

Le traitement des risques consiste à déterminer quelles actions sont nécessaires pour
réduire ou supprimer la menace de risque, notamment pour ceux ayant une
probabilité et un impact élevés.

Si un risque est identifié au-delà de la ligne de tolérance, un traitement ou une

stratégie est nécessaire pour y faire face. L’une des options suivantes peut être utiliser
pour répondre au risque ;

Mettre un terme/Éviter – Ne pas gérer le risque, par ex. si la zone du projet est
dangereuse, vous pouvez choisir de ne pas effectuer le projet dans cette zone.

Transférer – Partager le risque en impliquant une partie prenante ou une autre

partie, par ex. en souscrivant à une assurance pour transférer le risque à une
compagnie d’assurance.

Traitement/Atténuation – Agir pour réduire la probabilité et/ou l’impact d’un risque

potentiel, par ex. régler ou modifier certaines activités.

Tolérer/Accepter – Si le risque se situe en dessous du niveau de tolérance défini,

vous pouvez choisir de ne pas entreprendre d’action.

g. Surveillance et examen

Il s’agit de répondre aux risques lorsqu’ils se présentent et garantir que des procédures
appropriées de gestion des risques sont suivies, ainsi que l’identification continue des
nouveaux risques.

L’examen réguliers des risques doit être entrepris régulièrement afin d’identifier tout
nouveau risque à l’encontre des bonnes pratiques, et aussi pour garantir que les risques
précédemment identifiés sont gérés et corrigés de manière appropriée. Il vaut mieux avoir
un système qui empêche que les risques se reproduisent. En ce sens, le registre des risques
est un bon outil, lequel développé au début du projet peut être utilisé tout du long.

9
MINISTÈRE DES TRANSPORTS, DE L’AVIATION CIVILE RÉPUBLIQUE DU CONGO
Unité * Travail * Progrès
ET DE LA MARINE MARCHANDE

GUICHET UNIQUE DES OPÉRATIONS

TRANSFRONTALIÈRES

10