Le référentiel de gestion des risques IT de l’ISACA

L’association ISACA est un acteur reconnu dans le domaine de la gouvernance IT. Créée en 1969 par un groupe d’auditeurs, l’ISACA est présente mondialement. Cette association est à l’origine du référentiel COBIT et propose plusieurs certifications professionnelles comme CISA en audit ou CRISC pour les risques. Le référentiel de gestion des risques IT de l’ISACA a été mis à jour récemment. Il traite l’ensemble des risques IT auxquels une entreprise est confrontée. Le référentiel comprend trois documents principaux : une description du cadre, un guide de mise en œuvre et des exemples de scénarios de risques.

 

Principes

Le référentiel distingue :

  • Appétence au risque c’est-à-dire le niveau de risque qu'une entité est prête à accepter dans la poursuite de sa mission.
  • Tolérance au risque correspondant à la fourchette acceptable par rapport à la réalisation d'un objectif. Par exemple, une tolérance de dépassement de 10% d’un budget ou de 20% en termes de délai d’un plan d’actions.

Le cycle d’analyse et de traitement des risques est similaire à celui proposé dans d’autres référentiels comme l’ISO 27005 ou EBIOS RM pour la cybersécurité.

 

 ISACA Risk OT

 

Les scénarios de risque peuvent être construits suivant deux mécanismes :

  • Approche descendante - La stratégie de la mission et les objectifs opérationnels servent de base à l'identification et à l'analyse des risques.
  • Approche ascendante - En commençant par les actifs, systèmes et applications jugés critiques pour l’entité, une liste de menaces ou de scénarios génériques est définie. La liste est utilisée pour définir des scénarios concrets. L'approche ascendante est couramment utilisée dans les évaluations des cybermenaces et des vulnérabilités.

Scénarios de risques

Le référentiel comprend une partie détaillée (environ 300 pages) de scénarios de risques IT. Un scénario de risques est la description d'un événement possible qui, s'il se produit, aura un impact incertain, positif ou négatif sur la réalisation des objectifs de l'entreprise. Cette définition est compatible avec le cadre général de gestion de risques de l’ISO 31000.

Le référentiel fournit des exemples de scénarios de risques.

Par exemple dans le domaine des risques liés à la sous-traitance (voir aussi la norme ISO 27036 et SCRM) :

  • Description du scénario retenu.
  • Composants : menace, source, biens et durée.
  • Types de risques et de réponses.
  • Mitigations possibles reprenant les processus présents dans COBIT.
  • Exemples de KRI possibles (Key Risk Indicators).

Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :

Risques, COBIT, ISACA