Académique Documents
Professionnel Documents
Culture Documents
Imprimé
E x t r a i ts du livre 54 €
1 avis
Introduction
Entrées Actions Sorties
Toutes les informations sur les Les risques et leurs facteurs (c’est- Alignement continu de la gestion des
risques obtenues à partir des à-dire la valeur des actifs, les risques sur les objectifs
activités de gestion des risques. impacts, les menaces, les commerciaux de l’organisation et sur
vulnérabilités, la probabilité les critères d’acceptation des
d’occurrence) doivent être surveillés risques.
et examinés pour identifier tout
changement dans le contexte de
l’organisation à un stade précoce et
pour maintenir une vue d’ensemble
de l’image complète des risques.
La surveillance et la revue des risques sont, tout comme la communication sur les risques, un processus
transverse et continu. C’est pourquoi il convient de surveiller et d’examiner régulièrement les risques
pour s’assurer que les hypothèses les concernant et sur lesquelles repose l’évaluation du risque sont
toujours valides. Il s’agira également de s’assurer que les résultats attendus sont atteignables et sont en
bonne voie, que les techniques d’évaluation des risques sont correctement appliquées et que les
traitements sont efficaces.
Il s’agit d’un processus continu car les risques sont susceptibles d’évoluer au fur et à mesure que le
projet mûrit, que de nouveaux risques apparaissent ou disparaissent. Il est donc nécessaire d’établir et
de correctement définir la responsabilité de cette surveillance et de la revue des risques. Si un
changement significatif se produit, il conviendra d’identifier la gravité de l’incident et de déterminer si son
traitement doit suivre le processus et attendre la prochaine itération de l’analyse de risques, ou si une
intervention doit avoir lieu immédiatement. Il est parfois possible d’effectuer une analyse localisée et
modifier juste un traitement pour pallier le nouveau risque, sans pour autant changer tout le plan
d’actions.
Les objectifs de ce processus sont les suivants :
S’assurer que les contrôles sont efficaces, qu’ils fonctionnent et qu’ils sont conçus correctement.
Obtenir sans cesse de nouvelles informations afin d’améliorer l’évaluation des risques.
Analyser et apprendre des incidents, des évènements, des changements, des tendances, des
succès et des échecs.
Détecter si le contexte change ou évolue, qu’il soit interne ou externe. Détecter également si les
critères de risque doivent être modifiés, s’il est nécessaire de redéfinir et réviser...
ISO 27005 : 2011, clause 12.1 : Monitoring and review of risk factors
Les organisations doivent s’assurer que les éléments suivants sont surveillés en permanence :
- Nouveaux actifs entrés dans le périmètre de gestion des risques
- Modification nécessaire des valeurs des actifs, par ex. en raison de l’évolution des besoins de
l’entreprise
- Nouvelles menaces qui pourraient être actives à la fois à l’extérieur et à l’intérieur de
l’organisation et qui n’ont pas été évaluées
- Possibilité que des vulnérabilités nouvelles ou accrues permettent à des menaces de les
exploiter
- Vulnérabilités identifiées pour déterminer celles qui sont exposées à des menaces nouvelles ou
ré-émergentes.
Il ne faut pas considérer l’évaluation des risques comme quelque chose de statique. Un risque
précédemment évalué comme faible peut évoluer via de nouvelles menaces, de nouvelles vulnérabilités,
une probabilité plus élevée ou plus faible, ou encore une modification des conséquences qui y sont
liées. La revue des risques acceptés, qu’ils soient faibles ou forts, est primordiale. Il convient d’évaluer
leurs impacts cumulés, et s’ils ne rentrent plus dans les critères d’acceptabilité, il faudra alors revoir le
plan d’actions et les traiter à nouveau. D’autres changements sont également à surveiller, tels qu’un
changement de direction, une évolution au niveau juridique ou réglementaire (comme le Règlement
général sur la protection des données...
Utilisation d’une authentification forte Système de détection d’intrusion Rachat d’une nouvelle machine
(IDS)
Amélioration continue
Le processus de gestion des risques s’inscrit dans une démarche d’amélioration continue et doit être
revu régulièrement, d’autant plus lors de changements majeurs au sein de l’organisation. La mise en
œuvre d’un tel processus peut être fastidieuse, et il est préférable de commencer par un périmètre limité
que l’on étendra au fil des itérations. Les normes ISO n’imposent jamais une façon de faire. De ce fait,
l’organisation est libre d’utiliser la méthode de son choix, ou d’inventer la sienne, du moment que les
exigences des normes sont respectées.
Les normes ISO 27005, ISO 27001 et ISO 31000 font référence à la méthode PDCA (Plan, Do, Check,
Act) que nous avons déjà détaillée dans le chapitre Programme de gestion du risque. Nous citerons ci-
dessous d’autres méthodes d’amélioration continue que nous serons libres d’adopter, ou non.
1. Démarche Kaizen
Cette démarche japonaise a vu le jour dans les années 50 dans l’entreprise Toyota. Elle prône le
changement au sein d’une organisation au travers de petites améliorations répétées. Le mot « Kaizen »
est la contraction des mots « Kai » et « Zen » signifiants respectivement « Changement » et « Meilleur ».
Cette démarche repose sur plusieurs principes :
La remise en question, en considérant que le travail n’est jamais terminé et qu’il peut toujours être
optimisé.
La recherche de la durabilité, en gardant la même méthode de travail que l’on améliorera...
Conclusion
Les données traitées dans le processus de gestion des risques ne sont pas figées dans le temps mais
évoluent au quotidien. C’est pourquoi il est vital de surveiller et revoir ce processus en continu,
notamment lors de changements majeurs opérés au sein de l’organisation. Ceci s’inscrit dans la
démarche d’amélioration continue et permet ainsi de détecter des besoins et d’y apporter les traitements
suffisamment tôt pour ne pas réduire le niveau de qualité.