Gestion des risques dans ISO 31000
ISO 31000 fournit des bonnes pratiques pour la gestion des risques, quelque soit leur forme et quelque soit le secteur professionnel. C’est donc un cadre plus général que des méthodes qui se concentrent sur les risques cyber comme EBIOS Risk Manager, FAIR, ISO 27005 le référentiel de l’ISACA ou encore le RMF du NIST. ISO 31000 définit un risque comme l’effet de l’incertitude sur les objectifs. Cet effet peut être positif ou négatif. Il peut entrainer des opportunités ou des menaces. La finalité de la gestion des risques au sens de l’ISO 31000 est de créer et préserver de la valeur pour l’entité.
Principes
ISO 31000 présente les principes suivants :
- Intégration à toutes les activités de l’organisme.
- Approche globale et adaptée à l’entité.
- Prise en compte de toutes les parties prenantes.
- Evolution de la posture en fonction des changements et des évolutions.
- Qualité des informations sur lesquelles les analyses sont fondées.
- Prise en compte du facteur humain.
- Amélioration continue.
Cadre organisationnel
Le référentiel recommande un cadre organisationnel mis en valeur par les caractéristiques suivantes :
- Engagement de la Direction.
- Intégration à tous les départements.
- Connaissance fine des processus métiers et supports ainsi que de la chaine de sous-traitance.
- Définition des rôles et responsabilités.
- Gestion et affectation des ressources (humaines, système d’information, documentation).
- Communication assurant la circulation fluide de l’information.
- Planning précis de mise en œuvre des actions et des ressources.
- Mesure régulière des performances des analyses.
- Recherche d’amélioration continue.
Processus de gestion du risque
L’approche retenue dans ISO 31000 est classique mais prend en compte le volet des opportunités d’un risque.
- Définition du domaine d’application : contexte externe et interne et critères.
- Identification (sources, causes, menaces et opportunités, vulnérabilités et capacités, risques émergents, biais éventuels …), analyse (plus ou moins détaillée en fonction des objectifs afin de comprendre la nature du risque, la vraisemblance des événements et l’efficacité des moyens de maitrise existants) et évaluation (pouvant entrainer des décisions comme le réexamen des objectifs) du risque :
- Traitement du risque (refus, prise ou augmentation pour saisir une opportunité, élimination de la source, modification de la vraisemblance ou des conséquences).
- Présentation des résultats.
- Communication.
- Revue.
Source : ISO 31000
Le document ISO 31010 aborde les techniques d’évaluation des risques.
Pour en savoir plus sur les 20 meilleures formations sur la sécurité des systèmes d’information, téléchargez gratuitement notre livre blanc ci-dessous :