La Norme ISO 27005

Imprimé
E x t r a i ts du livre 54 €
La norme ISO 27005

Ajouter au panier
Gestion des risques liés à la sécurité de l'information
Jean-Charles PONS
Toute reproduction de ces
commerciales, est
Tous droits rese
1 avis
Revenir à la page d'achat du livre
Traitement et acceptation des risques
Introduction
Entrées Actions Sorties
Une liste des risques hiérarchisés Des contrôles pour réduire, Plan de traitement des risques et
selon des critères d’évaluation en conserver, éviter ou partager les risques résiduels soumis à la
relation avec les scénarios risques doivent être sélectionnés et décision d’acceptation des
d’incidents qui conduisent à ces un plan de traitement des risques responsables de l’organisme.
risques. doit être défini.
Les risques ayant été évalués, il s’agit désormais de sélectionner des options de traitement dépendant
évidemment de l’évaluation des risques, du budget prévu pour la mise en place des mesures de sécurité
mais aussi des avantages attendus. Dans ce chapitre, nous aborderons le sujet du traitement du risque
en proposant des solutions dans le but de l’éviter, mais aussi de le réduire, de le transférer ou de
l’accepter. Ces quatre options ne sont pas nécessairement indépendantes mais peuvent cohabiter. En
effet, une organisation peut faire le choix de réduire les probabilités de certains risques, d’en réduire les
conséquences, d’en accepter certains et d’en partager d’autres.
Ces solutions seront étudiées et nous produirons ainsi un plan d’actions détaillé afin de réévaluer
conséquemment les risques.
Processus de traitement du risque
1. Hiérarchisation des risques

Comme étudié au chapitre Analyse et évaluation du risque, le niveau du risque peut être déterminé à
l’aide de plusieurs méthodes.
La matrice de risque oppose la probabilité d’un incident à ses conséquences. Nous ne reviendrons pas
sur ce point dans ce paragraphe, il conviendra tout simplement de classer les risques identifiés en se
basant sur la note obtenue grâce à cette matrice. D’autres méthodes se baseront par exemple sur le
rapport coûts-avantages.
Le gestionnaire de risque doit faire preuve d’objectivité lors de la hiérarchisation des risques en tenant
toutefois compte de certains critères, comme la perception du risque par les parties prenantes, ou les
moyens de communiquer avec elles. Il peut toutefois s’appuyer sur des principes de base comme
donner la priorité à un risque impactant un processus métier primordial, ou à un risque lié à la
confidentialité des données personnelles (données de santé par exemple). Il devra également s’assurer
que les risques liés à des obligations réglementaires, légales ou encore contractuelles sont priorisés.
2. Options de traitement du risque

Le schéma ci-dessous explique le processus de traitement du risque. Nous détaillerons chacun des
éléments qui le composent dans les sections suivantes.
a. Réduction du risque
La réduction, ou modification, du risque consiste à mettre en œuvre des moyens, des mesures, des
dispositifs qui permettront de diminuer le risque résiduel pour l’entreprise et le rendre ainsi acceptable.
La réduction du risque pourra signifier diminuer les conséquences...
Ceci est un extrait du livre.

Acheter le livre Je m'abonne
Pour poursuivre votre lecture...
Processus d’acceptation des risques

Le processus d’acceptation des risques permet de confirmer ou d’infirmer les résultats obtenus
précédemment. Il s’agit donc de prendre une décision définitive quant aux choix de traitement des
risques et des responsabilités de chacun.
Entrées Actions Sorties
Plan de traitement des risques et La décision d’accepter les risques et Une liste des risques acceptés avec
évaluation des risques résiduels les responsabilités de la décision justification de ceux qui ne
soumis à la décision d’acceptation doit être prise et formellement répondent pas aux critères normaux
des responsables de l’organisme. enregistrée. d’acceptation des risques de
l’organisation.
Lors de cette étape, nous reprendrons donc les documents produits lors de l’étape précédente, à savoir
le plan d’actions et l’appréciation des risques résiduels, et les soumettrons à l’approbation de la
direction. Ainsi, une réunion du comité décisionnel se tiendra à cet effet, à l’issue de laquelle l’ensemble
des décisions relatives aux traitements des risques sera formalisé et documenté afin d’en garder une
trace.
1. Facteurs d’acceptation des risques

Plusieurs raisons peuvent mener à l’acceptation ou le refus des risques. En voici certaines :
Le profit joue un rôle déterminant dans la gestion du risque. Certains risques peuvent être jugés
moindres face aux profits réalisables, autant financier que sur le gain en productivité.
Le biais de confirmation est un biais cognitif qui privilégie les informations qui confirment nos idées
reçues. Ce biais nous fait donc croire...
Ceci est un extrait du livre.

Acheter le livre Je m'abonne
Pour poursuivre votre lecture...
Conclusion
C’est à l’issue de cette étape que les ressources seront affectées au traitement des risques. C’est donc
une étape cruciale au processus de gestion des risques car elle marque le lancement du projet de mise
en place des mesures de sécurité.
Il est important de noter qu’il existe deux catégories de traitement des incidents, à savoir le plan de
gestion des incidents, qui s’occupera de traiter les évènements non désirés à forte probabilité et faibles
conséquences, et le plan de continuité des activités qui, lui, se concentrera sur les évènements à faible
probabilité mais à impact élevé (catastrophes naturelles par exemple).
Cette étape sonne la fin du processus de l’analyse de risques, ou du moins de cette itération. En effet,
les deux processus que nous verrons dans les chapitres suivants sont des processus transverses, qui
se déroulent tout au long de l’analyse des risques.

La Norme ISO 27005 - Traitement Et Acceptation Des Risques

Transféré par

Droits d'auteur :

Formats disponibles

La Norme ISO 27005 - Traitement Et Acceptation Des Risques

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

La Norme ISO 27005 - Traitement Et Acceptation Des Risques

Transféré par

Droits d'auteur :

Formats disponibles

Imprimé

Revenir à la page d'achat du livre

Traitement et acceptation des risques

Processus de traitement du risque

1. Hiérarchisation des risques

2. Options de traitement du risque

Ceci est un extrait du livre.

Processus d’acceptation des risques

Entrées Actions Sorties

1. Facteurs d’acceptation des risques

Ceci est un extrait du livre.

Vous aimerez peut-être aussi