Il est essentiel de documenter les risques résiduels, c'est-à-dire les risques qui subsistent après la mise en œuvre de toutes les mesures du plan de traitement du risque.
Ces risques représentent une vue prospective, car ils ne sont évalués qu'après que les mesures de sécurité aient été appliquées.
L’analyse ne doit donc pas s’arrêter au plan de traitement, mais aller plus loin en expliquant à l’entreprise auditée l’impact concret des mesures mises en place.
Cela permet à l’entreprise de comprendre que, même après l’application des mesures de sécurité du plan de traitement du risque, certains risques résiduels demeurent et doivent être gérés de manière continue. Documenter ces risques renforce la transparence et assure que l’entreprise est pleinement consciente des enjeux de sécurité à long terme.
RR01 – LIBELLÉ DU RISQUE RÉSIDUEL : [ ... ] | ||
Description et analyse du risque résiduel :
| ||
Événements redoutés concernés :
| ||
Mesures de traitement du risque existantes et complémentaires :
| ||
Évaluation du risque résiduel : | ||
Gravité initiale : | Vraisemblance initiale : | Niveau de risque initial : |
Gravité résiduelle : | Vraisemblance résiduelle : | Niveau de risque résiduel : |
Gestion du risque résiduel :
|
Ce tableau sert à illustrer le chemin parcouru dans l'analyse des risques. Il montre à la fois l’état initial des risques et l’impact des mesures de sécurité mises en place. Cela permet de visualiser clairement comment ces mesures réduisent le niveau de risque au fil du temps, et de démontrer concrètement les progrès réalisés si les mesures sont mises en place. Ce suivi est essentiel pour évaluer l’efficacité des actions et pour aider l’entreprise à mieux comprendre les bénéfices concrets des mesures de sécurité adoptées.
Pour finir, faites une cartographie des risques résiduels suite à l’application de votre plan de traitement :
Votre analyse de risque est maintenant terminée, mais il est crucial de rappeler que cette démarche est cyclique. Il est important de signaler la nécessité de créer un comité de pilotage pour assurer le suivi du plan de traitement. Ce comité permettra de mettre à jour régulièrement l'étude des risques en fonction des cycles stratégiques et opérationnels prévus. N'hésitez pas à ajuster les délais et les mesures si des événements importants surviennent, garantissant ainsi que l'analyse reste pertinente et efficace au fil du temps.
Appréhendez la méthode EBIOS avec l’approche “Flash”
L’approche "Flash" est une adaptation d’EBIOS RM qui vise à réaliser une analyse préliminaire des risques en un temps réduit, typiquement en 9 à 10 heures.
Organisation des ateliers en mode "Flash"
L'approche "Flash" condense les cinq ateliers d'EBIOS RM en une seule séance de travail de 2 à 3 heures. Cette séance permet de mener une réflexion collective sur les besoins de sécurité, les dangers liés à l'absence de bonnes pratiques, les menaces issues de l'écosystème, les risques spécifiques à l'objet d'étude et l'identification des axes d'amélioration de la sécurité.
Déroulement de l'atelier "Flash"
La séance de travail est divisée en deux parties principales :
1. Focus sur la vue métier (1 heure) :
Identification des valeurs métiers, des principales parties prenantes et des sources de risques/objectifs visés.
Identification des scénarios stratégiques du point de vue du métier, avec leurs chemins d'attaque, et validation/réévaluation leur gravité.
Identification des mesures pour limiter la menace représentée par les parties prenantes.
2. Focus sur les aspects technico-fonctionnels (1h30) :
Identification des biens supports et de leur niveau de conformité au socle de sécurité.
Description des scénarios opérationnels en tenant compte des vulnérabilités des biens supports et en estimant leur vraisemblance.
Identification des mesures de sécurité pour chaque scénario opérationnel.
L'approche "Flash" d'EBIOS RM permet de réaliser une analyse de risques préliminaire efficace en un temps réduit. Elle est particulièrement adaptée aux situations où il est nécessaire d'obtenir rapidement une vision globale des risques et de définir des axes d'amélioration prioritaires.
En résumé
Synthèse des scénarios de risques : Présentez une vue d'ensemble claire des risques avec un graphique de dispersion pour prioriser les actions.
Types de mesures de sécurité : Classez les mesures en gouvernance, protection, défense et résilience en fonction des scénarios.
Suivi des mesures : Documentez le plan de traitement avec des responsables, délais, coûts et priorités.
Documenter les risques résiduels : Assurez la transparence en expliquant les risques qui subsistent après la mise en place des mesures.
Démarche cyclique : Mettez en place un comité de pilotage pour un suivi continu et ajustez le plan selon les évolutions.
Félicitations, vous avez terminé votre analyse de risque ! Je vous laisse finaliser le cours avec le dernier quiz et vous souhaite plein de réussite dans vos futures analyses de risques !
