Après l’appréciation des risques vient logiquement leur traitement... N’hésitez pas à revoir les concepts clés de l’identification des risques de la partie 2 avant d’attaquer votre lecture. En effet, l’appréciation des risques constitue une étape charnière devant être répétée de manière itérative jusqu’à l’obtention du niveau d’informations nécessaire au traitement.
Le traitement du risque se définit comme la sélection et l’application de mesures visant à modifier (ou non…) le risque à traiter.
Identifiez les options de traitement des risques
Il existe 4 traitements possibles. Il est important de toujours s’assurer que les traitements suggérés respectent les principes de sécurité de l’entreprise définis dans la Politique de sécurité des systèmes d’information (PSSI). Pour en savoir plus sur sur la PSSI, accédez au cours Définissez la politique de sécurité SI de votre entreprise. Chaque option de traitement du risque est décrite et illustrée ci-dessous.
Prenons le cas où notre assureur “Mistral”, spécialisé en bateaux, est soumis au risque de vol d’informations confidentielles, telles que les modèles de tarification des contrats.
La réduction du risque
Ces mesures peuvent être de tout ordre. Citons au minimum la correction, la prévention, la détection et la sensibilisation. Les mesures sélectionnées doivent être priorisées et partagées à l’ensemble des parties prenantes de l’analyse.
Exemple de l'assureur Mistral : un traitement par réduction consiste en la mise en place de mesures pour sécuriser les serveurs hébergeant les contrats (chiffrement, gestion des autorisations) ou encore la vérification des nouvelles recrues pour éviter l’espionnage industriel (prise de références, signature d’un engagement de confidentialité).
La norme ISO 27002 fournit une liste de mesures de sécurité pouvant servir de lignes directrices pour réduire un risque SI.
Le maintien du risque
La raison sous-jacente réside souvent en un rapport bénéfices/coûts déséquilibré d’un point de vue financier. Dans ce cas, la direction doit décrire le seuil à partir duquel le risque ne sera plus acceptable et devra être soumis à un autre traitement.
Exemple de l'assureur Mistral : un traitement par maintien vise à accepter (par la direction) en l’état le risque de vol d’informations confidentielles, car le rapport bénéfices/coûts n’est pas suffisant au regard de la santé financière de l’entreprise. Toutefois, le risque devra être traité autrement dans le cas où les dommages engendrés par le vol d’information atteindrait 5 % du chiffre d’affaires.
Le refus du risque
Ce traitement est plutôt radical et n’est donc pas toujours applicable. Il touche principalement les risques majeurs qui peuvent être supprimés sans impacter de façon significative l’activité de l’organisme.
Exemple de l'assureur Mistral : un traitement par refus vise à cesser l’activité de tarification des contrats, ce qui n’est pas envisageable pour notre assureur “Mistral”, qui devrait alors interrompre le cœur de son activité.
Le partage du risque
Deux possibilités sont alors envisageables :
Confier l’actif touché par le risque à un tiers spécialisé possédant les ressources et les compétences nécessaires pour porter la responsabilité de sa protection. Attention, dans ce cas précis, ce traitement devra être encadré par un contrat qui vous permettra d'exiger un certain nombre de mesures de sécurité à mettre en place par le tiers, et d'obtenir le droit de le faire auditer pour vérifier.
Souscrire à une assurance couvrant l’actif sur le risque en question.
Exemple de l'assureur Mistral : enfin, un traitement par partage vise à externaliser l’activité de tarification des contrats chez une partie externe spécialisée dans le domaine. Mistral peut alors continuer son activité sans porter la responsabilité du risque.
Vous comprendrez aisément que les 4 solutions de traitement ne sont pas toujours applicables à un même risque.
Mettez en place votre plan de traitement
Pour ne pas tomber dans le “y’a qu’à, faut qu’on”, abordons désormais la mise en œuvre effective du traitement du risque au travers d’un plan de traitement.
Le plan de traitement peut prendre la forme d’un tableau. Reprenons l’exemple de la réduction du risque de vol d’informations confidentielles (exemple : modèles de tarification des contrats) de notre assureur “Mistral” :
Action | Priorité | Deadline | Ressources | Rôles |
Chiffrer les disques hébergeant les modèles de tarification | Haute | Court terme (d’ici 3 mois) | * Logiciel de chiffrement | * Administrateur IT : sélection et mise en place du logiciel de chiffrement * DSI : validation du logiciel choisi |
Définir, documenter et communiquer un processus de gestion des droits d’accès aux modèles de tarification | Moyenne | Moyen terme (d’ici 6 mois) | * Outil de gestion des droits d’accès | * Administrateur IT : sélection, mise en place et documentation du processus de gestion des droits d’accès *DSI : validation du processus |
Vérification du passé professionnel des nouvelles recrues | Basse | Long terme (d’ici 12 mois) | * NA | * Recruteurs: définition d’actions de vérification des passés professionnels des personnes recrutées |
Identifiez les risques résiduels
Un risque traité se transforme en risque résiduel (on comprend bien la notion de résidu sous-entendue dans son appellation, c’est-à-dire “qui reste”). Ce risque doit alors être estimé, documenté et accepté par la direction.
Passons désormais un peu plus de temps sur le sujet sensible de l’acceptation des risques. Lorsque vous acceptez un risque, vous engagez votre expertise et prenez “un pari” pour l’entreprise. L’idée est que la cote de ce pari soit à votre avantage.
La direction, souvent sponsor des projets d’analyse des risques SI, a un rôle majeur dans l’acceptation des risques résiduels et du plan de traitement. Étant porteuse des ambitions et de la stratégie de l’entreprise, elle a un droit de regard prépondérant et est plus à même d’en assumer les responsabilités.
En résumé :
le traitement d’un risque s’appuie sur les résultats de sa qualification et le rapport bénéfices/coûts engendrés ;
il existe 4 traitements possibles (réduction, maintien, refus et partage) qui ne sont pas toujours tous applicables à un même risque ;
un plan de traitement répond aux "Quoi ?" "Dans quel ordre ?" "Quand ?" "Avec quels moyens ?" "Et par qui ?" ;
les risques résiduels (lire comme “risques persistant après traitement”) et le plan de traitement doivent être acceptés et documentés ;
la direction joue un rôle majeur dans l’acceptation des risques de par sa légitimité et sa capacité à assumer.