HAUT

L’évolution de la gestion des risques

Cela fait environ cinq années que la gestion des risques en sécurité de l’information prend son essor. Dans ce domaine, ce phénomène est dû principalement à l’adoption, tant attendue, de la norme ISO 27001 (norme de gestion de la sécurité de l’information) par de plus en plus d’entreprises. Elle exige une gestion des risques en sécurité de l’information. Le terme « information » est essentiel : contrairement à ce que l’on croit les risques ne doivent pas être liés uniquement aux matériels (routeurs, pare-feux, serveurs…) mais à toutes les informations de l’entreprise. 

La gestion des risques en sécurité de l’information telle que l’exige la norme prend alors toute sa dimension : la sécurité, avant uniquement informatique, s’attaque à l’information pour devenir la sécurité de l’information. Le RSSI doit donc travailler de concert avec les autres services qui visent également à protéger l’information stratégique de l’entreprise. Cette vocation est naturellement partagée entre toutes les entités d’un organisme. La publication de nouveaux référentiels tels que l’ISO 26000 (norme liée au développement durable) et la multiplication des systèmes de management (ISO 9001, ISO 14001, etc.) favorisent la mutualisation des systèmes d’information. Chacune de ces démarches demandant une gestion des risques, les organismes mutualisent parfois leurs systèmes de management des risques. Si toutefois les organismes n’alignent pas les méthodes, les acteurs le font par eux-mêmes. Ils ont compris rapidement l’importance de cette alignement car l’ensemble des risques ((risques humaines, risques opérationnels, risques juridiques, risques en sécurité de l’information…) sont inhérents à une même activité ou projet. Ainsi, les acteurs réalisent l’identification des risques de manière globale en se rapprochant des services concernés pour anticiper les actions à mener. Ainsi, ils optimisent leur temps de travail et la cohérence entre leurs activités. Pour gérer les risques, les acteurs ont recourt aux méthodes disponibles sur le marché. Jusqu’à la publication de la norme ISO 27005, les utilisateurs avaient accès à plusieurs démarches dont Ebios et Mehari (les plus connues en France). Ces démarches présentent des avantages mais ne sont pas aussi flexibles et adaptables aux organismes que la norme ISO 27005. Cette dernière est un véritable guide pour la mise en œuvre d’une démarche de gestion des risques en sécurité de l’information. Sa publication, en 2008, suivie de celle de la norme ISO 31000 en 2009 (gestion des risques) marquent un véritable tournant dans la gestion des risques en général. Contrairement à la majorité des méthodes en gestion des risques, les démarches et les résultats produits par la norme ISO 27005 sont viables dans le temps, ils s’inscrivent dans un modèle d’amélioration continue. Ainsi, les gestionnaires des risques, les chefs de projets et plus largement toutes personnes devant gérer des risques intègrent la gestion des risques dans leur quotidien. Les risques identifiés correspondent parfaitement à la réalité et sont revus à chaque fois que nécessaire. Le temps consacré à la gestion des risques est mieux répartis, les résultats mieux communiqués et les actions mieux suivies. Bien que ce soit guide lié à la sécurité de l’information, les principes dictés par la norme ISO 27005 peuvent être utilisés pour tous types de risques. En renfort, la norme ISO 31000 dicte des principes d’organisation autour de la gestion des risques. En France, ces évolutions associées aux transformations stratégiques qui consistent à axer les démarches autour du risque ont joué et jouerons un rôle majeur dans la prise d’ampleur de la gestion des risques en sécurité de l’information comme en général. De plus en plus, les responsables mesurent les risques qui pèsent sur leur métier avant de prendre des décisions et se servent de leurs résultats d’analyse pour communiquer avec leur hiérarchie et leur équipe. Dans le futur, il est probable que les méthodes de chacun deviennent de plus en plus matures et aboutissent à des outils partageables par tous.

Be Sociable, Share!

Ecrire un commentaire

Votre email ne sera jamais publié ou partagé.

Vous pouvez utiliser ces tags et attributs HTML :<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>