La Gestion des risques selon ISO 27005.pdf

Gestion des risques selon
ISO 27005:2022
Sécurité de l'information, cybersécurité et protection
de la vie privée — Préconisations pour la gestion des
risques liés à la sécurité de l'information
BIT- AXIANS-Juillet 2024 1

Historique de ISO 27005
• L'ISO 27005 est fondée sur les lignes directrices énoncées dans l'ISO/CEI
27001 et l'ISO/CEI 27002.
• Initialement publiée en juin 2008 sous l'acronyme ISO/CEI 27005:2008,
elle a été rééditée en 2011, puis en 2018.
• L’organisation ISO a publié en octobre 2022 une version révisée (Edition 4)
de la norme ISO/CEI 27005

ISO 27005: 2022
• Sécurité de l'information, cybersécurité et protection de la vie privée —
Préconisations pour la gestion des risques liés à la sécurité de l'information
• Le présent document fournit des recommandations pour aider les organismes à:
— satisfaire aux exigences de l'ISO/IEC 27001 concernant les actions visant à traiter
les risques liés à la sécurité de l'information;
— réaliser des activités de gestion des risques liés à la sécurité de l'information, en
particulier l'appréciation et le traitement de ces risques.
Le présent document est applicable à tous les organismes, quels que soient leur
type, leur taille ou leur secteur

Les principales modifications entre 27005:2018 et
27005:2022
• toutes les recommandations ont été alignées sur l'ISO/IEC 27001:2022 et sur l'ISO
31000:2018;
• la terminologie a été alignée sur celle de l'ISO 31000:2018;
• la structure des articles et paragraphes a été ajustée selon la mise en page de l'ISO/IEC
27001:2022;
• Le concept de scénario de risque a été ajouté et a remplacé le concept de scénario
d’incident
• une distinction est faite entre l'approche basée sur les événements et l'approche basée
sur les biens en matière d'identification des risques;
• le contenu des annexes a été révisé et réorganisé au sein d'une seule annexe.
• L’ajout de la notion de déclencheur au niveau des articles de 7 à 10 - Déclencheur:
Propose des recommandations quant au moment auquel l'activité doit débuter, par
exemple en raison d'un changement au sein de l'organisme ou conformément à un
plan, ou en raison d'un changement dans le contexte externe de l'organisme.

TOP 3 des changements normatifs ISO 27005 : 2022
• Alignement avec la norme ISO/IEC 27001 :2022
• Même titre: Sécurité de l'information, cybersécurité et protection de la vie privée
• L’ISO 27005 : 2022 déploie un paragraphe entier « 10. Exploiter les processus SMSI connexes »
dédié aux recommandations de mise en œuvre de la gestion des risques dans le cadre d’un
SMSI. Le paragraphe « 10.4 Informations documentées » met l’accent sur la conservation des
informations documentées relatives au processus d’appréciation et de traitement du risque et
ses résultats conformément aux attentes d’un SMSI selon l’ISO 27001 : 2022.
• Ce développement de la norme vers les exigences relevant d’un SMSI indique que le risk
manager de toute organisation se doit d’être plus exigeant en termes de respect du processus
de gestion de risques, de circuit de validation et de traçabilité.
• La norme ISO 27001 spécifie que des propriétaires de risques doivent être désignés, la 27005 :
2022 ancre le rôle de ces propriétaires.
• La nouvelle version de la 27005 est aussi l’occasion d’indiquer au risk manager d’être vigilant sur
les « mesures de sécurité» sélectionnées pour traiter les risques, de s’appuyer sur l’annexe A de
la 27001 et la 27002 pour les formuler et de faire de leur efficacité sur la réduction du risque un
levier d’arbitrage pour les maintenir ou non au plan de traitement des risques.

• Evolution du processus de gestion des risques en sécurité de l’information
Processus de gestion des risques selon l’ISO 27005 : 2018 Processus de gestion des risques selon l’ISO 27005 : 2022
BIT- AXIANS-Juillet 2024
7

• Evolution du processus de gestion des risques en sécurité de l’information
• Ces évolutions du processus de gestion des risques ne changent pas fondamentalement les
tâches du risk manager
• Cependant à l’étape traitement du risque, il conviendra d’avoir élaboré un plan de traitement
des risques priorisés et de le faire approuver par les propriétaires de risques. Les risques
résiduels seront challengés et acceptés ou pas par les propriétaires de risques par rapport aux
critères d’acceptation du risque définis.
• La brique « Informations documentées » permet de mettre en exergue la nécessité de
documenter le processus et les résultats de l’appréciation du risque. Il est recommandé au risk
manager de pouvoir présenter :
✓ sa méthodologie d’analyse de risques, ses échelles, les risques identifiés, les niveaux de risques, les
propriétaires de risques, les mesures de traitement du risque et leur priorisation, ainsi que toute
justification des décisions relatives aux risques.
✓ L’insistance sur l’information documentée rejoint les exigences 27001 et pallie un défaut de
documentation souvent observé dans les organisations.
• La terminologie des options de traitement du risque a bougé mais sur le fond, rien ne change:
✓ le maintien du risque devient la prise de risque et
✓ la réduction du risque devient la modification du risque.

• Rapprochement avec la méthodologie d'analyse de risques EBIOS Risk Manager
• Le changement le plus significatif de la norme ISO 27005 est l’insertion de la méthodologie EBIOS
Risk Manager dans le corps même de la norme et ses annexes. Ce qui devrait pousser à
l’international cette méthodologie inscrite dans le paysage francophone. Ceci n’est pas
explicitement mentionnée dans la norme ISO 27005 : 2022 mais son empreinte est lisible pour tout
risk manager connaisseur de cette méthode.
• Cette insertion se matérialise tout d’abord dans la terminologie de la norme :
• Les menaces ou scénarios d’incident ( ver 2018) deviennent des scénarios de risques (Ateliers 3
et 4 EBIOS RM).
• L’identification des menaces ( vers 2018) devient l’identification des risques liés à la sécurité de
l’information (Ateliers 3 et 4 EBIOS RM).
• Les risques de sécurité de l’information se déclinent en scénarios stratégiques (approche basée
sur les événements) et en scénarios opérationnels (approche basée sur les biens) (Ateliers 3 et 4
EBIOS RM).
• Dans l’approche basée sur les événements, il est fait état d’un concept sous-jacent d’évaluation
d’événements et de leurs conséquences lors de la phase d’établissement du contexte
correspondant aux événements redoutés de l’atelier 1 EBIOS RM.

• Au sein de l’annexe A.2.2. les biens essentiels sont associés aux valeurs métiers (Atelier 1 EBIOS RM).
• Le paragraphe 6.2. Identification des exigences de base des parties intéressées fait écho au socle de sécurité
de l’atelier 1 EBIOS RM.
• En résumé, on passe :
• d’une menace qui peut exploiter des vulnérabilités pour atteindre les biens supports de l’organisme dans
l’ISO 27005 : 2018 à
• une source de risque qui peut exploiter des vulnérabilités pour atteindre les biens supports supportant
les processus et informations clés de l’organisme et conduire à la réalisation des événements redoutés
par le métier dans l’ISO 27005 : 2022.
• La norme indique qu’un risk manager doit s’assurer que la méthode qu’il choisit permette d’adopter une
approche basée sur des événements de sécurité craints par les métiers et d’être en capacité de descendre
d’un cran pour identifier les vulnérabilités des logiciels, serveurs, … avec les opérationnels IT qui
permettraient la concrétisation de ces événements
• Le tournant bas niveau, plus opérationnel s’exprime aussi dans les annexes de la norme
(A.2.5.3 et A.2.7) relatives à l’appréciation des vulnérabilités techniques et la surveillance
des scénarios de risques par des capacité de détection (type SOC/SIEM). La norme conseille
ainsi de lier les activités du risk manager aux activités de surveillance de l’organisme.
10

Perception du risque
La perception du risque désigne toutes les représentations mentales et
les façons dont les humains appréhendent, comprennent et évaluent un
risque, et ce, à partir de leur propre perspective et de leurs propres
expériences. Les facteurs qui modulent les perceptions sont très variés. Ils
peuvent être :
• liés à l’individu : expérience personnelle et connaissance du risque, âge, niveau
de scolarité, caractéristiques ou bénéfices personnels, etc.;
• socioculturels : valeurs collectives, lois et normes sociales, communication par
les médias, par les groupes en présence, mobilisation sociale, etc.;
• externes : nature et importance du risque, lieu, écosystèmes, impacts
économiques, etc.
Ainsi, la perception d’un même risque peut grandement varier d’un
individu à un autre ou entre les groupes d’individus. De plus, les
perceptions évolueront dans le temps. Or, celles-ci influencent
significativement le comportement des individus Il est donc important de
les comprendre et de les prendre en compte pour favoriser l’implication
des parties prenantes. BIT- AXIANS-Juillet 2024 11

La gestion des risques/ le cadre
• Le management des risques est une composante de la stratégie d’entreprise qui
vise à réduire la probabilité d’échec ou d’incertitude de tous les facteurs. Certes,
le risque zéro n’existe pas, mais la raison d’être d’une gestion des risques, c’est
surtout d’anticiper, de prévoir et de pérenniser l’entreprise. Le management des
risques contribue de façon tangible à l'atteinte des objectifs et à l'amélioration
des performances de l’entreprise par la réduction des risques aussi bien internes
qu’externes. Il crée donc de la valeur.
• Il s’agit de poser des critères d’entreprise, et de fixer des règles relatives aux
risques rencontrés par l’organisation.
• Avec une telle façon de faire , certains pourraient être surpris en réalisant que les
risques qu’ils considèrent comme énormes sont en réalité moindres… mais c’est
ce qui permettra à toutes les équipes de s’aligner.

La gestion des risques pour créer de la
valeur / pour innover
• Pour les profanes, la gestion des risques ne sert qu’à éviter
les aléas majeurs secouant la vie d’une entreprise… et ne crée
pas intrinsèquement de valeur. Pourtant, la gestion des
risques peut améliorer la fidélisation des clients, accroître la
résilience opérationnelle, ou encore identifier et exploiter de
nouvelles opportunités commerciales. Et ainsi, améliorer la
rentabilité globale.
• la gestion des risques n’est plus considérée comme un
simple processus… mais comme la culture et les capacités
qui peuvent aider une organisation à survivre et à prospérer.

La gestion des risques pour créer de
la valeur / pour innover
• La gestion des risques permet aux entreprises de prendre de meilleures
décisions. En intégrant le risque dans leurs projets et leur valorisation, les
entreprises peuvent sélectionner et structurer les meilleurs
investissements. Et en ajustant la performance en fonction du risque, on
met en évidence la véritable valeur créée par différents projets.
• le management estime que la gestion des risques permettra d’améliorer la
fidélisation des clients (34%), d’améliorer la rentabilité (28%), d’assurer la
réussite des fusions (26%), de trouver de nouvelles opportunités
commerciales (25%) et d’exploiter la puissance des nouvelles
technologies (24%)
• la mise en œuvre d’un programme de gestion des risques cohérent et
globale peut augmenter la valeur créée par les entreprises de 20 à 30%

La gestion des risques pour créer de
la valeur / pour innover
• L'entreprise doit ainsi gérer les risques tout au long du
processus d'innovation afin de multiplier les chances de
réussite du projet. Ce travail consiste dans l'identification
préliminaire des risques à différents niveaux :
stratégique (impact sur l'entreprise souhaitant
développer un produit nouveau), projet (impact sur
l'organisation en charge du projet d'innovation) et
produit (impact sur le processus de conception).

Objectifs de la gestion des risques
Les objectifs d’un système de contrôle interne et de gestion des risques et les
principaux effets escomptés au sein de l’organisation sont :
• Identifier les événements potentiels susceptibles d’affecter la réalisation
des objectifs de l’organisation (positivement s’il s’agit d’opportunités,
négativement s’il s’agit de risques).
• Maîtriser les risques en fonction du niveau de risque que l’organisation est
prête à accepter et que le conseil d’administration a défini pour accroître sa
valeur.
• Fournir une assurance raisonnable quant à la réalisation des objectifs de
l’organisation.
• Alerter le Directoire sur la survenance possible de risques majeurs et
de risques jugés inacceptables.
• Proposer et coordonner la mise en place des plans d'actions pour réduire
et / ou changer le profil de ces risques.
• Aider à diffuser les meilleures pratiques et la culture de gestion des risques

Le management des risques relève de la direction et est un acte fort de management. Il est
intégré aux processus de l’entreprise. Sa mise en œuvre nécessite une démarche
organisée en 5 étapes :

QU’EST-CE QU’UN RISQUE ?
• La norme ISO 31000 définit un risque comme l’effet de l’incertitude sur l’atteinte
des objectifs. C’est pourquoi le management des risques vise à réduire et
contrôler la probabilité des évènements redoutés, et leur impact éventuel.
• Le risque est l’association de 4 facteurs :
• Un danger.
• Une probabilité d’occurrence : à quelle fréquence il est probable de subir le dommage.
• Sa gravité (son impact) : ampleur des dommages potentiels.
• Son acceptabilité.
• La criticité d’un risque résulte de la combinaison de la probabilité d’un risque et de son impact
(ou gravité).
• Il ne faut pas confondre la cause du risque (un danger) et les conséquences du
risque (son impact). Par exemple, la grève est un risque dont les causes sont le
mécontentement social. Les conséquences sont l’arrêt du travail.

Plusieurs définitions du risque
On définit le risque comme :
— «la fréquence probable et l’ampleur probable de la perte future »3 selon l’
OpenGroup4,
— «l’effet de l’incertitude sur l’atteinte des objectifs », selon l’ISO Guide 73 :20095
— «Risk is a function of the likelihood of a given threat-source’s exercising a
particular potential vulnerability, and the resulting impact of that adverse event on
the organization » selon le NIST SP 800-30.
— «The level of impact on organizational operations (including mission, functions,
image, or reputation), organizational assets, or individuals resulting from the
operation of an information system given the potential impact of a threat and the
likelihood of that threat occurring. » selon le NIST FIPS 200.
— «un évènement non souhaité qui peut ou pas arriver» «... an unwanted event
which may or may not occur » selon la Stanford Encyclopedia of Philosophy Archive

Risque potentiel ou risque avéré
• Risque potentiel « Risque associé à un danger hypothétique (par
opposition à un risque avéré), mais jugé plausible.
• Risque avéré « Risque connu et éprouvé, associé à un danger établi
dont l’existence est certaine et reconnue comme étant authentique »
• Une évaluation fondée sur de nouvelles données pourrait permettre
de déclarer un risque potentiel comme étant avéré ou comme étant
nul dans l’éventualité où l’hypothèse de base serait rejetée.

Il y a deux grandes catégories de
risques internes:
1.Les risques stratégiques : ce sont ceux qui affectent la stratégie et
les objectifs stratégiques de l’entreprise. Ils peuvent être liés à
la gouvernance, aux aspects financiers, juridiques, légaux,
fiscaux, sociaux, environnementaux, ou concerner les clients.
2.Les risques opérationnels : ils résultent de carences ou
défaillances internes sur les procédures, des systèmes internes
ou des personnels. Ils concernent le cycle de vie du produit et
des fonctions supports : santé et sécurité des biens et des
personnes, fournisseurs, système d’information.

Risques opérationnels
•Risques découlant d’événements catastrophiques
(par exemple, ouragans)
•Piratage informatique ou cyberattaques
•Fraude interne et externe
•Non-respect des politiques internes

Les défis liés à l'implémentation de la gestion des
risques d'entreprise
• Bien que la gestion des risques d'entreprise soit bénéfique, elle comporte
également certains défis. Il est possible de surmonter les difficultés qui y
sont liées, notamment :
• Résistance culturelle : surmonter les difficultés d'intégration et garantir la
conformité réglementaire grâce à une formation continue, démontrant
ainsi la valeur de la gestion des risques d'entreprise.
• Implication interservices précoce des parties prenantes : garantir
l'alignement sur les initiatives stratégiques.
• Surveillance proactive des risques juridiques et réglementaires gérés :
garantir le respect des attentes en matière de processus de gestion des
risques d'entreprise.

Avantages de la gestion des risques d'entreprise
• Amélioration de la prise de décision
• Performances métier améliorées
• Allocation stratégique des ressources
• Confiance accrue des parties prenantes

Quels sont les différents frameworks de gestion
des risques d'entreprise ?
1.Le framework COSO ERM est un modèle complet de gestion des risques
qui utilise une approche structurée.
2.La norme ISO 31000 fournit des principes et des directives en matière de
gestion des risques applicables à différents secteurs. La norme sur la
gestion des risques ISO 31000 fournit un cadre d’évaluation des
risques au sein d'une organisation.
3.Le cycle de vie des services ITIL gère les services informatiques,
contribuant ainsi à la gestion des risques dans le secteur informatique.
4.Le framework de gestion des risques NIST met l'accent sur l'intégration de
la sécurité et de la confidentialité dans le cycle de vie de
développement du système.

Facteurs
Externes
et
Internes

Gestion des risques selon PDCA
• planifier (Plan) : il s’agit de l’étude de contexte, de l’analyse des risques et de la
détermination du plan de traitement des risques
• faire (Do) : mise en place des actions correctives, ou mise en place du plan de
traitement des risques. Il s’agit de la phase pratique : on arrête la théorie et on
met en place de manière effective ;
• Vérifier (Check) : maintenant on vérifie si les mesures ont été efficaces. À travers
les différents instruments de mesure que l’on a mis en place et en fonction des
méthodes choisies, on évalue la performance des mesures ;
• Valider (Act) : une analyse de risques réussie ne vaut que si elle est validée et
admise par la direction. Il convient donc de procéder à une revue de direction
après avoir mis en place les mesures correctives, les avoir analysées ainsi que
mesuré leurs performances. La validation de chaque étape par le manager
(responsable global de l’analyse de risques) et la direction est déterminante.
• Cette roue vaut pour UNE itération de votre analyse de risques. Si l’organisation
souhaite être performante et pérenniser ses efforts dans le temps, elle devrait
reproduire cette roue “indéfiniment”. Chaque cycle de la roue représente
généralement un exercice d’exploitation, soit un an.

Gestion des Risques stratégiques
• Stratégie concerne la gestion des risques d'entreprises (ERM) qui
offre aux organisations la perspective nécessaire pour équilibrer les
risques et les opportunités afin d'améliorer les performances de
l'entreprise et d'atteindre leurs objectifs stratégiques d'un point de
vue économique.
• Exemple de risques stratégiques
• Violation des données d'informations sensibles
• Perte de l'un des meilleurs collaborateurs
• Occurrence d'événements catastrophiques

Gestion des risques opérationnels
• La gestion des risques opérationnels (ORM) offre aux organisations
l'assurance nécessaire que les contrôles en place sont conçus et
fonctionnent efficacement, et que l'atténuation du risque s'effectue
de manière appropriée.
• Exemple de risques opérationnels
• Aucune technologie n'est en place pour détecter et protéger le réseau
d'outils d'évaluation de vulnérabilité non autorisés.
• Les responsabilités de l'employé en ce qui concerne la réponse aux
problèmes ne sont pas claires ni documentées.
• L'équipement qui stocke les données sensibles ou les informations sur
l'entreprise n'est pas sécurisé de manière appropriée.

Avantages de la gestion des risques
opérationnels
Il est essentiel de comprendre les avantages de la gestion des risques opérationnels avant
sa mise en œuvre.
•Prévenir et minimiser les coûts financiers des pertes opérationnelles
•Améliorer la fiabilité des opérations business
•Renforcer le processus de prise de décision lorsque des risques sont impliqués
•Réduire les pertes causées par des risques mal identifiés
•Améliorer l’efficacité des opérations de gestion des risques
•Réduire les coûts de conformité
•Identifier rapidement les activités illégales
•Réduire les dommages potentiels liés aux risques futurs

Préconisations
A la lumière des évolutions de la norme ISO 27005 : 2022, il est conseillé aux risk
managers :
• D’adopter une méthodologie EBIOS Risk Manager ou une méthode qui s’en rapprocherait
articulant des scénarios de risques de haut niveau et de bas niveau ;
• De désigner des propriétaires des risques, de les sensibiliser, mobiliser et fédérer autour de
l’exercice d’analyse de risques ;
• De nourrir le plan de traitement des risques à partir des standards de sécurité et notamment
l’annexe A de la 27001 et la 27002 et de challenger les mesures par rapport à leur apport
sécurité ;
• De déployer une méthode d’appréciation de l’efficacité des mesures de traitement du risque
sur le risque permettant de légitimer les mesures et de fiabiliser les risques résiduels ;
• De documenter leur processus de gestion des risques et les résultats de chaque itération
d’analyse de risques ;
• De créer des ponts entre Risques, Cyber Threat Intelligence pour identifier les sources de
risques, Détection SOC/CERT pour orienter la détection par les risques craints et Tests
d’intrusion pour éprouver la vraisemblance des risques.
• Cette nouvelle version de l’ISO 27005 n’est pas un basculement dans l’univers des risques, elle
vient confirmer une tendance de fond, l’analyse de risques n’est plus un exercice ponctuel sur
un coin de table mais un pilier de l’amélioration continue de la sécurité auditable.
33

Terminologie et définitions
• Risk Manager : toute personne qui est responsable du pilotage du processus d’appréciation et de traitement
des risques en sécurité de l’information.
• Risque résiduel : le risque qui demeure après la mise en œuvre des mesures de traitement du risque.
• Moyens de maîtrise : mesures de sécurité qui permettent de maîtriser le risque et notamment de le réduire
à un niveau acceptable.
• Méthodologie EBIOS Risk Manager : approche d’appréciation et de traitement du risque numérique publiée
par l’ANSSI avec le soutien du Club EBIOS en 2018.
• Evénement : préjudice lié à l’atteinte de l’une des activités métier étudiée de l’organisme en question. Notion
se rapprochant de l’événement redouté au sens EBIOS Risk Manager : événement qui porte atteinte à un
critère ou un besoin de sécurité d’une valeur métier (exemple : fuite d’informations de R&D, interruption de
la production d’un produit…)
• Biens : biens au sens de biens essentiels/valeurs métiers (informations ou processus ayant une valeur pour
un organisme tels que les informations de R&D d’une organisation, ses informations clients, son processus de
fabrication et distribution de produits) et biens supports (composants du système d’information sur lesquels
reposent une ou plusieurs valeurs métier tels que les équipes, serveurs, PC, datacenters, dossiers papier…).
• Source de Risque : élément, personne, groupe de personnes ou organisation susceptible d’engendrer un
risque (exemples : services étatiques, concurrents, cybercriminels…).
• Objectif visé : finalité visée par une source de risque selon ses motivations (exemples : voler des informations
à des fin lucratives ou d’espionnage industriel, diffuser un message idéologique…).
• Socle de sécurité : référentiels de sécurité applicables au périmètre, leur état d’application, l’identification et
la justification des écarts de conformité.
• Vulnérabilité : faille dans un actif ou une mesure de sécurité existante. BIT- AXIANS-Juillet 2024 34

Evènement/ Vraisemblance /
Conséquence/menace/incident/vulnérabilité/Risque
• Événement : occurrence ou changement d'un ensemble particulier de circonstances
• Vraisemblance: Possibilité que quelque chose se produise / Probabilité / Fréquence
• Conséquence : effet d'un événement affectant les objectifs
• Menace : cause potentielle d'un incident lié à la sécurité de l'information qui peut
entraîner des dommages pour un système ou porter préjudice à un organisme
• incident lié à la sécurité de l'information : un ou plusieurs événements liés à la sécurité
de l'information, indésirables ou inattendus, présentant une probabilité forte de
compromettre les opérations liées à l'activité de l'organisme et de menacer la sécurité de
l'information
• Vulnérabilité : faille dans un bien ou dans un moyen de maîtrise qui peut être exploitée
de sorte qu'un événement ayant une conséquence négative se produise
• Risque : effet de l’incertitude sur l’atteinte d’un objectif

Pourquoi une norme telle que ISO31000
• Il existe de nombreuses normes sectorielles ou documents métier
concernant le Management des risques et sa déclinaison dans des domaines
tels que la sécurité.
• De plus, elles concernent souvent des points de vue limités comme des
étapes particulières du développement de projets(par exemple la
conception).
• D’autres documents existent et traitent de risques affectant des technologies
spécifiques (par exemple le logiciel ou l’électronique).
• D’autres répondent à des sources de dangers ciblées(par exemple, les
explosions ou les rayonnements électromagnétiques).
• Même si chaque domaine a développé des terminologies et des techniques
d’usage partiel et spécifique, il existe des problématiques qui requièrent une
approche globale et générique ce qui a nécessité d’aborder la question des
risques d’un point de vue global.

Pourquoi une norme telle que ISO31000
• La nouvelle norme ISO31000 a tiré profit des différents travaux et échanges
entre des experts internationaux issus d’organismes très variés (industriels,
administrations, ONG, etc.) relevant de multiples secteurs d’activités. De
plus, La gestion des risques doit faire partie des choix politiques des
organisations , ISO31000 favorise la prise en compte des risques par
l’ensemble de l’organisme et fournit aux parties prenantes l’assurance d’une
meilleure maîtrise de ces risques.
• L’ISO31000 est une «norme chapeau» permettant d’établir un dialogue entre
les secteurs d’activité en leur proposant un vocabulaire et un cadre commun.
• ISO31000 propose une approche générique du Management des risques
mais ne préconise pas de moyens opérationnels de mise en œuvre.
• ISO 31000 concerne tout type d’organisme, de tous secteurs et de toutes
tailles(entreprise, gouvernement, ONG, individu, etc.).
• Son but est d’harmoniser les démarches en termes de principes et de
processus BIT- AXIANS-Juillet 2024 37

Gestion des risques selon ISO31000
•L'ISO 31000 définit donc le risque comme « l'effet de
l'incertitude sur l'atteinte des objectifs ».
•L'application de cette norme donne la possibilité aux
organismes d'atteindre de manière significative leurs
objectifs, de saisir de nouvelles opportunités et de faire face
aux éventuelles menaces.
•Le processus de Management des risques qu’elle propose,
complète ceux éventuellement existants en y intégrant la
prise en compte explicite du contexte dans lequel le risque
est étudié

• La norme introduit un second processus appelé Cadre
organisationnel structurant les activités des organismes pour mettre
en place et améliorer continûment le processus de Management des
risques.
• C’est un référentiel qui gère les conflits et qui permet d’intégrer les
activités de Management du risque dans celles de l’organisme.
• C’est un cycle PDCA qui regroupe des activités permettant de mettre
en place une approche proactive du Management des risques et
d’intégrer les pratiques du Management du risque dans les Systèmes
de Managements existants
• La norme base l’ensemble de ses activités sur des principes généraux
qui doivent régir la structure des processus et leur mise en œuvre.

Quelques principes de 31000
• «le Management des risques doit créer de la valeur». Ceci veut dire que l’ensemble des
activités de gestion des risques mises en place doivent contribuer efficacement à l’atteinte
des objectifs de l’organisme afin de maîtriser les effets de l’incertitude.
• «le Management du risque doit intégrer les facteurs humains et culturels»: pris en compte
dans la tâche «Leadership et engagement» du Cadre organisationnel. En effet, la norme
requiert de s’assurer de la disponibilité des ressources humaines adéquates.
• Le management du risque est intégré à toutes les activités de l’entreprise.
• Le management du risque se doit d’être inclusif : l’implication des différents acteurs est
décisive pour conduire des actions pertinentes et efficaces
• Les risques n’étant pas figés une fois identifiés et traités, la conduite de la gestion des
risques doit rester dynamique pour permettre à l’entreprise d’anticiper, de détecter, et de
réagir au mieux à tout changement.
• le management du risque suit évidemment un cycle d’amélioration continue.
L’apprentissage et l’expérience viennent enrichir le dispositif de management du risque.

• Enfin , la norme reprend les activités/processus classiques d’appréciation des risques (identification, analyse,
évaluation) et de leur traitement et les complète par 4 autres activités
• L’Établissement du contexte oblige à définir en amont de ces 4 activités, les paramètres fondamentaux
caractérisant l’environnement dans lequel s’effectue le Management du risque et les valeurs de ces
paramètres.
• La Communication et concertation et son couplage avec l’ensemble des autres tâches du processus. Ces
échanges concernent aussi bien les parties prenantes externes que celles internes à l’organisme qui gère
le risque. La norme mentionne en particulier que cette tâche facilite la compréhension du contexte et
l’intégration de ses changements par les activités de Management des risques.
• La Surveillance et revue ayant pour but de ré-évaluer le déroulement des activités de Management des
risques. Cette tâche peut ainsi mesurer l’efficacité de l’emploi des moyens mis en œuvre afin d’améliorer
leurs utilisations futures.
• Enregistrement et élaboration des rapports : consiste à documenter et enregistrer les résultats - Générer
des rapports sur l'état des risques et les activités de gestion des risques afin d'informer les parties
prenantes. Communiquer de manière claire et efficace les résultats du processus de gestion des risques et
tout changement pertinent aux parties prenantes.

Parties prenantes et objectifs conflictuels
• Le pirate informatique est un exemple de cas de partie intéressée dont les
intérêts sont opposés aux objectifs de l'organisme. Il souhaite que le niveau
de sécurité de l'organisme soit faible. L'organisme tient compte de l'intérêt de
cette partie en mettant en place le contraire (un niveau de sécurité élevé),
c'est-à-dire qu'il envisage d'éventuels conflits avec les objectifs du SMSI.
L'organisme s'assure, par le biais de mesures efficaces de sécurité de
l'information, que ces intérêts ne soient pas satisfaits.

Appétence aux risques/Tolérance aux risques
• Appétence : Appelée aussi « appétit au risque » (Risk Appetite)
• C’est le niveau de risque global qu’une entreprise est prête à assumer pour
atteindre ses objectifs stratégiques
• Elle est complexe parce qu’elle dépend de chaque organisation
• Elle est influencée par de nombreux facteurs : l’organisation, les objectifs, les
valeurs, la culture… ou encore les résultats attendus.
• Elle peut même varier selon les collaborateurs et les situations rencontrées.
• La prendre en compte est indispensable, car elle peut impacter les décisions
stratégiques de votre entreprise, sa croissance et son évolution.
• Aucune norme ni définition ne vient cadrer l’appétence aux risques. C’est à chaque
entreprise de trouver sa limite d’acceptabilité
• Figer un cadre définissant l’appétence aux risques reviendrait à restreindre la
liberté d’entreprendre.
• La tolérance est le niveau maximum acceptable de variation de l'appétence

Pourquoi il n’y a pas de certification en gestion
des risques ?
• C’est à vous et à votre entreprise de savoir ce qu’elle juge acceptable
ou non en termes de risques. Il convient de bien les identifier, de les
prévenir et de prendre les meilleures décisions pour que votre
organisation puisse atteindre ses objectifs… mais aucune norme ni
aucune certification ne pourra le faire pour vous
• C’est l’une des raisons pour lesquelles la norme ISO 31000, qui porte
sur le management du risque, ne peut faire l’objet d’une certification
– elle donne des orientations, vous permet d’évaluer vos pratiques au
regard d’un référentiel connu au niveau international, mais sans vous
certifier. Elle utilise des méthodes qui vous accompagnent dans vos
bonnes pratiques mais elle laisse entre vos mains la responsabilité de
définir votre appétence aux risques.

Stratégies de traitement du risque
• un refus du risque en décidant de ne pas démarrer ou poursuivre l'activité
porteuse du risque;
• la prise ou l'augmentation d'un risque afin de saisir une opportunité (positif)
• l'élimination de la source de risque (prévenir le risque)
• une modification de la vraisemblance
• une modification des conséquences
• un partage du risque avec une ou plusieurs autres parties (incluant des
contrats et un financement du risque); et
• une prise de risque fondée sur une décision argumentée (accepter)
Remarques:
• Le traitement du risque lié à la sécurité de l'information n'inclut pas la «prise
ou l'augmentation d'un risque afin de saisir une opportunité», mais l'organisme
peut avoir cette possibilité dans le cadre général de la gestion des risques
• Les traitements du risque portant sur les conséquences négatives sont parfois
appelés «atténuation du risque», «élimination du risque», «prévention du
risque» et «réduction du risque»
• Les risques acceptés font l'objet d'une surveillance et d'une revue.

Mesures de sécurité / de protection
• Mesures réductrices ( dissuasives) visant à réduire la menace
• Mesures préventives visant à prévenir les incidents (Déconnecter internet,
mettre les infos sensibles dans un coffre.)
• Mesures détectives visant à détecter les incidents (une caméra de surveillance
avec un sticker informant que la zone est surveillée)
• Mesures répressives visant à stopper/minimiser les conséquences d’un incident (
faire des backups)
• Mesures correctives visant à récupérer des dommages causés par un incident
• Mesure curative: action souvent immédiate qui agit sur l'effet du
dysfonctionnement. Il peut s'agir d'une opération de reprise, de tri, de mise en
rebut.
• Assurance :des méthodes pour alléger les conséquences. Ceci s’appelle la
mitigation. Les assurances incendie nous protègent contre les conséquences
financières d’un incendie. Placer quotidiennement, par exemple une copie des
informations importantes dans une location hors de l’entreprise permet de les
garantir BIT- AXIANS-Juillet 2024 47

Rôle du Manager du Risque
• Qui s'occupe de la gestion des risques dans une entreprise ? : Le risk manager est
un professionnel du risque. Son rôle au sein de l'entreprise est :
• d'identifier, évaluer et gérer les risques auxquels elle est exposée.
• d’analyser les éventuels risques et examiner les principaux facteurs de risque.
• d’anticiper les problèmes qui peuvent survenir dans une entreprise.
• d’évaluer les conséquences et les pertes si les incidents se concrétisent.
• Le Risk Manager a pour responsabilité de s’assurer que la méthodologie définie est
bien appliquée dans la pratique, notamment grâce aux indicateurs (KRI) et au
reporting. Véritable chef d’orchestre, il a accès à l’ensemble des informations
concernant les risques et notamment :
• les travaux d’identification, de mesure et d’évolution des risques. Il les synthétise et présente
à la Direction.
• les incidents, qui sont des matérialisations de risques. Il a aussi la mission d’identifier de
nouveaux risques.
• Le Risk Manager doit réaliser une veille technique et un benchmark de la méthodologie, tout
en garantissant la communication et l’animation autour de celle-ci.
• Il assure enfin une collaboration étroite avec d’autres fonctions de l’organisation comme par
exemple l’audit.

MISSIONS D’UN RISK MANAGER/ Responsable de la gestion
des risques
• Premièrement, le risk manager réalise des enquêtes périodiques dont le but est de recueillir des
données, permettant l’identification des risques internes et externes auxquels une société est
confrontée.
• À partir des informations collectées, le titulaire de ce poste examine les principaux indicateurs de
risque (KRI). Par la même occasion, il évalue les conséquences des menaces encourues si elles
devaient se concrétiser. Dans son analyse, le risk manager ne doit omettre aucun détail : perte
financière, attaque informatique, gain manqué… Il doit préparer sa société à toutes sortes de
risques.
• Une fois que les risques encourus sont identifiés en amont, le risk manager doit procéder à
l’évaluation des mesures déjà mises en place pour leur gestion. À ces procédures et stratégies, il doit
proposer des actions d’amélioration afin de les rendre plus efficientes. C’est à lui qu’incombe
également la mise en place de nouvelles approches permettant de mieux prévenir les risques
auxquels son entreprise peut se retrouver confrontée.
• Par exemple, pour éviter qu’une interruption d’activité ne nuise à la société, il implémente un plan
de continuité opérationnelle (business continuity plan).
• Parfois, les risques identifiés sont inévitables. Le risk manager s’occupe alors de la définition du
niveau de chaque risque, afin que la société soit mieux préparée à y faire face. Dans le cas échéant,
son travail consiste à faire en sorte que le risque encouru ne dépasse pas un seuil de sécurité donné.
• Enfin, sachez qu’un risk manager est tenu d’identifier de manière précise les changements
économiques, sociaux ou juridiques qui peuvent impacter l’activité de la société.

Propriétaire du risque
• Le terme « propriétaire du risque » renvoie à la personne ayant la
responsabilité du risque et ayant autorité pour le gérer
• La communauté des Propriétaires de Risques constitue le deuxième volet
de la gouvernance.
• Les Propriétaires de Risques ont en charge de piloter, sur le portefeuille qui
leur est attribué, la gestion de chaque risque.
• Pour cela, ils doivent appliquer la stratégie de réponse préalablement
définie et suivre l’avancée des plans d’actions.
• La plupart du temps, ils sont également Pilotes du Processus auxquels sont
rattachés leurs risques. Ceci leur permet, notamment :
• d’être en capacité d’engager les ressources nécessaires,
• d’être informés des incidents ou failles des dispositifs de maîtrise,
• de communiquer sur le terrain sur l’apport de la démarche
50

Exemple de la composition d’un groupe de travail multidisciplinaire
pour un projet de mise en place de la gestion des risques
• Un représentant de la haute direction ( président, vice-président, directeur général)
• Une personne spécialisée dans la gestion des risques
• Le répondant en éthique/conformité de l’organisation
• Un membre provenant de chaque direction de l’organisation, en particulier :
❑une personne de la Direction des communications ;
❑une personne de la Direction des ressources humaines ;
❑une personne de la Direction des affaires juridiques ;
❑une personne du Secrétariat général ;
❑une personne de la Direction de l’administration ;
❑une ou des personnes des directions opérationnelles ;
❑une personne des services de la sécurité de l’information ;
❑une personne de la Direction de la vérification ou de l’audit interne ;
❑le responsable de l’observation des règles contractuelles, etc.

Autre organisation pour gérer les risques
• le responsable de la sécurité des systèmes d'information
(RSSI) : chef d'orchestre de la sécurité informatique, il
supervise les mesures mises en oeuvre et maintient en alerte
les systèmes dans toute l'organisation, il est l'interlocuteur
unique de la direction
• le propriétaire du risque (risk owner) ou gestionnaire du
risque : c'est à lui que revient la charge d'identifier le risque et
de le gérer de manière complète dans son périmètre
d'activité.
• le comité risques : il supervise la mise en oeuvre de la
stratégie risques de l'organisation
• le responsable des risques : il est en charge de la mise en
place et du pilotage du dispositif global de gestion des risques

Programme/stratégie de gestion des risques
• Programme : Ce que une organisation fera pour analyser les risques
et mettre en œuvre, surveiller et évaluer les stratégies de traitement
des risques.
• Registre des risques : Un document qui décrit les risques identifiés et
évalués, les mesures actuelles de traitement des risques, les mesures
additionnelles possibles de traitement des risques et les efforts de
communication. Le registre est mis à jour régulièrement
• Politique de gestion du risque : Un énoncé de l’engagement à gérer
les risques.

Quels sont les différents risques rencontrés
lors d’un projet ?
• Afin d’identifier les risques inhérents à un projet, il faut se poser la question
« Quels sont les points faibles de mon projet » ? Globalement, il est possible
d’identifier cinq grandes familles de risques :
• Les risques propres à la gestion du projet: une mauvaise organisation (les rôles ne sont pas clairement identifiés,
plusieurs personnes sont affectées à la même tâche, implication insuffisante de l’équipe et/ou du client) ou encore d’un mauvais
choix de personne (un chef de projet inexpérimenté pour un projet important ou à risque par exemple).
• Les risques juridiques: concernent tous les intervenants auxquels vous êtes liés contractuellement. Typiquement, il peut
s’agir d’un fournisseur qui n’est pas capable de tenir ses engagements en termes de livraison de matériel ou de logiciels ou d’un
cotraitant ou sous-traitant qui ne peut finalement pas fournir les ressources humaines convenues.
• Les risques concernant le respect du planning: sont souvent liés à une mauvaise estimation de la durée
d’exécution des tâches en amont. Les dérapages sur le déroulement du planning peuvent d’ailleurs être liés à d’autres risques
(techniques, humains…).
• Les risques humains: tout ce qui touche la gestion des ressources humaines du projet. Ils prennent notamment en
compte les maladies, voire les décès, de certains intervenants clés du projet, la réaffectation de ressources à d’autres projets (et
donc la diminution de la capacité de réalisation de l’équipe courante) ou encore le manque de compétences de l’équipe
nécessitant éventuellement des formations.
• Les risques techniques: sont liés aux langages de programmation, technologies et logiciels choisis pour le
projet, mais qui ne sont pas encore maîtrisés par l’ensemble de l’équipe. Les risques concernent aussi bien la
lenteur de réalisation des tâches que les erreurs en termes d’architecture pouvant être commises à cause d’une
connaissance insuffisante du domaine concerné.

Le risque vu par EBIOS

Sources des risques
• La CNIL définit les sources de risques comme étant
: Personne, interne ou externe à l'organisme, agissant de
manière accidentelle ou délibérée (ex : administrateur
informatique, utilisateur, attaquant externe, concurrent), ou
source non humaine (ex : eau, matériaux dangereux, virus
informatique non ciblé) qui peut être à l’origine d’un risque.
• Source humaine interne
• d'un employé, malintentionné, utilisant sa proximité du système, ses
compétences, ses privilèges et un temps disponible potentiellement
élevés ou commettant une négligence due à un possible manque
de formation et de sensibilisation.
• d'un utilisateur ou de son entourage, négligent ou malintentionné,
ayant accès au service.
Ses motivations peuvent être multiples : maladresse, erreur,
négligence, vengeance, volonté d’alerter, malveillance, appât du gain,
espionnage

Sources des risques
• Source humaine externe
• un tiers malintentionné ou ignorant utilisant sa proximité physique
pour accéder frauduleusement au service
• un attaquant ciblant un utilisateur en utilisant sa connaissance de
l’utilisateur et de certaines des informations le concernant
• un attaquant ciblant une des sociétés en charge du traitement
utilisant sa connaissance des sociétés pouvant permettre d’attenter
à leur image
• un organisme tiers autorisé utilisant ses accès privilégiés pour
accéder illégitimement à des informations. Les motivations peuvent
être multiples : jeu, nuisance, malveillance, vengeance, espionnage,
appât du gain, acquisition de données en vue de les exploiter
• Source non humaine
• Il peut s'agir d'un incident ou sinistre chez un des organismes
en charge du traitement (coupure de courant, incendie,
inondation, etc.)

Evènement redouté
• événement redouté représente une atteinte à un besoin de
sécurité (confidentialité, intégrité, disponibilité) d’une valeur
métier.
• Exemples :
• Vol des données personnel des salariés
• Altération du procédé industriel
• perte irréversible des données de facturation
• Le danger étant un événement redouté (par lui-même et par ses
conséquences), le « risque » ne se confond donc pas avec le danger, mais
résulte de ce que ce danger a une certaine probabilité de se manifester et
entraînerait des conséquences d'une certaine gravité.

Evènement redouté
Dans EBIOS RM, les
évènements redoutés sont associés aux valeurs
métiers et traduisent une atteinte préjudiciable pour
l’organisation.
Pour trouver les ER, pour chaque valeur métier
recensée, on va mener des recherches sur les effets
néfastes consécutifs par exemple à une atteinte :
■■ à la disponibilite de la valeur métier (exemple :
information inaccessible, interruption totale ou partielle
de service, impossibilité de réaliser une phase d’un
processus) ;
■■ à son intégrité (exemple : falsification ou modification
d’une information, détournement d’usage d’un service,
altération d’un processus) ;
■■ à sa confidentialité (exemple : divulgation
d’information, accès non autorise à un service,
compromission d’un secret) ;
■■ à la traçabilité (exemple : perte de traçabilité d’une
action ou d’une modification d’information,
impossibilité de tracer l’enchainement d’un processus) ;

Sources de risques et objectifs visés
• EBIOS RM pose deux
questions:
• quelles sont les
sources de risque
susceptibles de
porter atteinte aux
missions de
l’organisation ou à
des intérêts
supérieurs
(sectoriels, étatiques,
etc.) ?
• quels peuvent être
les objectifs visés par
chaque source de
risque en termes
d’effets recherchés ?

Nouvelles approches d’identification des
risques selon ISO27005:2022
• Deux approches sont couramment utilisées :
• l'approche basée sur les événements (identifier les scénarios stratégiques en
tenant compte des sources de risques) et
• l'approche basée sur les biens (identifier les scénarios opérationnels
détaillées en termes de biens, menaces et vulnérabilités).

Nouvelles approches d’identification des
risques selon ISO27005:2022
• Analyse Fondée sur les actifs : Se concentre sur les actifs, c’est-à-dire le
risque pour les informations.
• Analyse Fondée sur des scénarios : Se concentre sur les circonstances
qui peuvent entraîner une violation des données.
• Dans une analyse de risques basée sur des scénarios, les utilisateurs sont
plus enclins à identifier les situations à risque, ce qui accélère souvent le
processus d’identification des risques. Cependant, l’inconvénient est que
les utilisateurs passent souvent à côté de certains éléments qui peuvent
créer un risque. Par conséquent, l’identification des risques est
incomplète et aboutit à un faux sentiment de sécurité, qui peut être
dangereux.
• Avec l’approche basée sur les actifs, l’identification des risques pertinents
prend généralement plus de temps. Cependant, elle permet d’obtenir
une vue plus complète de l’état des risques, c’est pourquoi il serait bien
d’envisager cette méthode

Cotation de la gravité / impact

Exemples de scénarios stratégiques

Scénarios opérationnels correspondants au scénario stratégique

Correspondance ISO 27005 et EBIOS RM

EBIOS RM
• EBIOS RM propose une démarche construite autour de 5 ateliers (réflexions), dont l’importance
va varier en fonction de l’objectif fixé pour l’analyse de risques et la maturité du périmètre
concerné. Les ateliers proposés sont les suivants:
• Le point de vue du défenseur : Qu’est ce qui doit être protégé, et pourquoi ? L'atelier 1 est un
atelier centré sur le périmètre de l'analyse. L'analyste cherche à y définir précisément les
frontières (où commence et où se termine l'analyse), ce que les métiers craignent, et l’état
d’application du cadre légal, normatif ou réglementaire (le socle de sécurité) sur le périmètre à
analyser.
• Qui est l’agresseur et pourquoi passe-t-il à l’acte ? L'atelier 2 est un atelier centré sur l'attaquant,
qu'on va chercher à évaluer en termes de ressource & de motivation.
• Par où l’attaquant va-t-il agir ? L'atelier 3 s'intéresse à l'écosystème (tout ce qui interagit avec le
périmètre sans en faire partie) et à l'usage possible de cet écosystème par un attaquant pour
atteindre son objectif.
• Comment l’attaquant va-t-il agir ? L'atelier 4 cherche à évaluer la vraisemblance des attaques, en
creusant les modes opératoires mis en œuvre par un attaquant et en appréciant leur probabilité
de réussite.
• Quelle stratégie de sécurité au regard des risques identifiés ? L'atelier 5 est une activité classique
de remédiation : maintenant que les risques sont identifiés, comment réussir à les réduire ? Doit-
on les traiter, les transférer, peut-on les accepter ?

Approche basée sur les évènements: scénarios stratégiques et
opérationnels

Sources de risques / Objectifs visés
Le niveau de pertinence d’un couple SR/OV peut être évalué à partir du niveau de motivation, des ressources et de
l’activité

Objectifs de la gestion des risques basée sur
EBIOS RM

Analyse qualitative/quantitative

Liens vers lecture sur sujets en relation avec
la gestion des risques
• https://pyx4.com/blog/comment-construire-echelles-de-cotation-
des-risques/
• https://pyx4.com/blog/risque-opportunite-difference-entreprise/
• https://pyx4.com/blog/definition-appetence-aux-risques/
• https://pyx4.com/blog/comprendre-son-contexte-pour-mieux-
comprendre-ses-risques/
• https://pyx4.com/blog/comment-modliser-un-processus/
• https://pyx4.com/blog/pyx4-quest-ce-quun-risque-dentreprise/

Echelle de cotation des impacts

Exemples de Cotation de la probabilité / impact

Critères d’acceptation des risques
• L'acceptation d'un risque par une société est donc définie par le degré de
tolérance que la société peut avoir vis-à-vis de la réalisation de ce risque. Elle
est modulée par les enjeux socio-économiques et la perception du risque par
les différents acteurs
• Quelques exemples de risques acceptés:
i) risque contre lequel je ne puis rien (notamment les risques naturels) ; mais si
l’on ne peut rien sur l’aléa naturel, on peut agir sur les mesures de réduction des
effets (cas du renforcement de structures dans le cas d’un séisme) ;
ii) risque qui n’est pas prohibé par la loi et les règlements ; mais la
réglementation bien souvent n’existe pas pour les produits innovants ;
iii) risque que l’opinion publique tolère ou tolérera ; mais l’opinion publique est
versatile, influençable, incohérente, imprévisible ; on ne peut donc pas définir
un risque acceptable ;
iv) risque dont on a pu établir avec confiance qu’il a une probabilité de se
matérialiser inférieure à une certaine valeur ; il faut que cette valeur fasse
l’objet d’un consensus .

Matrice de décision

Niveau du risque
Le risque peut être qualifié par son niveau (faible, moyen ou élevé) qui traduit son importance. Ce niveau est
estimé en combinant les estimés qualitatifs ou quantitatifs respectifs des deux dimensions suivantes :
• l’importance des conséquences;
• la probabilité d’observer ces conséquences.

Matrice de criticité des risques

Que couvre le processus d'approvisionnement ?
• Les étapes les plus importantes du processus d'approvisionnement sont la
demande d'achat et son approbation, la sélection des fournisseurs et
l'obtention des devis, le processus de commande, l'inspection des
marchandises entrantes et, enfin, le traitement des paiements.
• L’exécution du processus d’approvisionnement prend du temps.
• Lors de la planification des appréciations régulières du risque, il convient que
les organismes tiennent compte de tout calendrier s'appliquant à leurs
processus métier généraux et aux cycles budgétaires associés-- l’appréciation
des risques doit se faire avant la préparation des budgets pour soumettre le
budget pour le traitement des risques

Fréquence de l’appréciation des risques
Pour ce qui est de la fréquence, il convient de revoir les
risques à chaque fois que :
• Toute action de traitement des risques est achevée;
• Des changements sont apportés aux actifs ou aux
processus de l’organisation;
• De nouveaux risques sont identifiés;
• L’expérience ou de nouvelles informations indiquent
que la probabilité et les conséquences d’un risque
identifié ont changé.

Un plan de communication et de concertation
efficace
• Le succès de la démarche de gestion des risques est largement tributaire de l’efficacité de
la communication et de la concertation entre les différentes parties prenantes.
• Le processus de gestion des risques est basé sur le dialogue et la concertation de
l’organisation avec les parties prenantes. Il est recommandé d’élaborer un plan
établissant les moyens à utiliser et les meilleurs moments de diffusion afin de s’assurer
que l’ensemble des parties prenantes reçoit l’information nécessaire.
• La communication en gestion des risques vise avant tout les objectifs suivants : Informer,
consulter et faire participer les parties prenantes au processus de gestion des risques.
• Un plan de communication interne et externe doit permettre de définir le contexte des
risques de manière appropriée, d’assurer la bonne compréhension et la prise en compte
des intérêts des parties prenantes, y compris ceux des membres du personnel, ainsi que
de rassembler différentes expertises permettant d’identifier, d’analyser et d’évaluer
adéquatement les risques et leurs conséquences
• La concertation sera le processus de communication argumentée sur la gestion des
risques avant de prendre des décisions ou déterminer une orientation. La concertation
est un processus dont l’effet sur une décision s’exerce par l’influence plutôt que par le
pouvoir. La concertation est également une contribution à la prise de décision, et non
une décision conjointe.

Communication vs concertation
• La communication est un respect citoyen de l’autre par
l’information.
• La concertation propose un stade supplémentaire à la
simple information : une participation interactive.
• La communication en gestion des risques vise avant tout les objectifs suivants :
• Informer, consulter et faire participer les parties prenantes au processus de gestion des
risques
• Assurer la sécurité et le bien-être du personnel et de la population, protéger l’environnement
et les infrastructures publiques ou privées
• Divulguer les risques et les mesures de traitement prévues
• Préserver la santé économique de l’entreprise
• Faciliter les opérations en situation d’urgence ou de crise

Les avantages d’un plan de communication interne et
externe efficace dans le cadre de la gestion des risques
• faciliter la transmission et l’échange d’information à tous les échelons de
l’organisation ainsi qu’avec les fournisseurs, clients et partenaires externes;
• aider à définir le contexte organisationnel et le contexte propre à la gestion des
risques à l’intégrité;
• identifier des parties prenantes qui ne l’auraient pas été autrement;
• favoriser la consultation des diverses parties prenantes, tant à l’interne qu’à
l’externe;
• mieux comprendre et prendre en compte les intérêts et les points de vue des
parties prenantes;
• contribuer à l’étape de l’identification des risques;
• inclure la préoccupation au niveau des communications dans toutes les étapes du
projet;
• améliorer les chances de réussite et diminuer les résistances au changement.

Communication et concertation

Contenu suggéré d’un plan de communication en gestion des risques
• Contexte de la communication : Brève description de l’historique du projet et des dates charnières,
ainsi que des décisions et des éléments significatifs qui ont conduit à l’élaboration et à la mise en
oeuvre du plan de communication. Cette description sert à expliquer la raison de la mise en place de
ce processus.
• Enjeux : Quels sont les éléments pouvant avoir des répercussions sur les personnes ou les processus
de l’organisation qui devront être pris en compte dans la mise en place du processus de gestion des
risques à l’intégrité? Cette partie vise donc à identifier les résistances ou oppositions qui pourraient se
matérialiser en cours de route, mais également les éléments qui seront favorables au projet.
• Objectifs :Quel est l’objectif visé exactement par le plan de communication? Quelle est la situation
souhaitée (accroître, informer, rassurer, etc.)? Les objectifs répondent généralement aux questions «
Qui? Quoi? Quand? Où? ». Un objectif doit être suffisamment précis pour qu’il puisse être évalué et, si
possible, quantifié.
• Un objectif principal peut avoir plusieurs objectifs secondaires.
• Exemple :
• Objectif principal : Informer les employés de la mise en place d’une approche de gestion des risques à
l’intégrité dans l’organisation.
• Objectif secondaire 1 : Rassurer les employés sur leur lien d’emploi.
• Objectif secondaire 2 : Favoriser leur adhésion et leur collaboration.

Contenu suggéré d’un plan de communication en gestion des
risques (suite)
• Clientèle cible : Il est important de bien déterminer à qui ce plan de communication s’adresse
exactement. La mise en place d’un processus de gestion des risques à l’intégrité touchera, de plus ou
moins près, un grand nombre de personnes dans l’organisation. Il aura aussi des répercussions sur
d’autres personnes et organisations externes telles que des fournisseurs ou des partenaires. Pour
accroître l’appui au projet, il faut donc penser à toutes les parties prenantes qui seront concernées
de près ou de loin et déterminer l’information dont chacune aura besoin.
• Axe de communication : L’axe de communication est le message directeur à partir duquel les
messages et les moyens de communication seront déclinés. Que voulez-vous dire à vos clientèles
cibles? Que souhaitez-vous qu’elles retiennent? Qu’est-ce qui les motivera à adhérer?
• Pour les organisations publiques, la motivation première pourrait être la mise en place de pratiques
rigoureuses et la volonté d’agir en amont afin d’éviter que des situations problématiques ne se
concrétisent. Les axes de communication seraient alors Rigueur et Prévenir plutôt que guérir.
• Stratégie de communication : Maintenant que l’on sait ce que l’on veut dire et à qui, comment va-t-
on le dire? C’est dans le cadre de l’établissement de la stratégie que l’on déterminera comment
informer et influencer les clientèles cibles. Dans cette partie, vous devez expliquer brièvement
comment vous allez communiquer avec elles et décrire les raisons de vos choix ainsi que les
moments forts de la démarche : « Quand enclencherez-vous chaque étape? Quelles seront les
durées de chacune de celles-ci?, etc. » La stratégie répond à la question « Comment? ».

Contenu suggéré d’un plan de communication en
gestion des risques (suite)
• Une attention particulière doit être portée à la communication interne. Les
employés de l’organisation constituent votre premier public. S’ils sont bien
informés, ils deviendront vos ambassadeurs ; dans le cas contraire, vous laisserez
place à la rumeur, qui favorisera les oppositions au projet.
• Messages-clés : Les messages-clés constituent un aperçu des principaux messages
à transmettre pour atteindre les objectifs fixés. Ils doivent s’adresser aux
différentes clientèles déjà identifiées. Ces messages visent à les informer d’abord,
mais également à les convaincre.
• Exemple de messages-clés :
• Les techniques de gestion des risques ont démontré leur efficacité afin d’éviter
que des événements indésirables ne se produisent.
• La gestion des risques à l’intégrité est une pratique exemplaire qui nous
permettra d’améliorer la robustesse de nos processus et de nos décisions.

Contenu suggéré d’un plan de communication en gestion
des risques (suite)
• Échéanciers : Quelles seront les échéances du plan de communication? Quelles seront les
dates de début et de fin prévues pour chaque étape de la mise en place? Quels moyens
seront utilisés pour mettre en oeuvre la stratégie définie (utilisation de l’intranet et
d’Internet, conférences-midi, communiqués de presse, matériel graphique, etc.)?
• Budget : À cette étape, on doit définir quelles seront les ressources nécessaires à la mise en
oeuvre de la stratégie et en évaluer les coûts. Il faut tenter d’être aussi précis que possible et
mettre en parallèle les dépenses et les échéanciers. Une bonne planification évitera les
dépassements imprévus.
• Evaluation: Comment évaluerez-vous l’atteinte des objectifs fixés? Il faut définir les
indicateurs et la façon dont vous allez obtenir les données. Certains indicateurs seront plus
qualitatifs, tels que le degré d’attention des messages par les diverses clientèles. Il faudra
alors prévoir un sondage auprès d’un échantillon de clients et le traitement des données
ainsi obtenues. D’autres seront quantitatifs et plus faciles à interpréter ; il faudra cependant
être en mesure de les comparer aux objectifs fixés.

Communication interne
Support Acteur Objectif
Timing
Cible
J J+1 J+2 J+3 J+4 J+5
Téléphone / SMS
/ Mail / Numéro
vert
DG / Groupe d’Action
Communication
Informer de la situation au moment du
sinistre
x
Conseil d’administration
Réseau
Instance syndicale
Groupe d’Action
Communication →
Relais
Informer du sinistre et donner les
instructions aux collaborateurs
x x x x x x
Personnel siège
Réseau
Groupe d’Action
Communication
Informer de l’avancement de la situation x x x
Réseau
Instance syndicale
Informer de la clôture de la crise x
Réseau
Instance syndicale
Personnel siège

Communication externe
Médias classiques
Timing
Cible
J J+1 J+2 J+3 J+4 J+5
Communiqué de
presse
Groupe d’Action
communication
Informer du sinistre et présenter ses
excuses par rapport à l’interruption de
l’activité au moment du sinistre
x Presse écrite
Rassurer sur le bon déroulé du PCA
(donner quelques statistiques de reprise)
à mi-chemin
x x Presse écrite
Confirmer le succès de la reprise
progressive à la fin de la journée
x x x x Presse écrite
Conférence de
presse
Président Directeur
Général
Informer la presse d’éventuels dégâts
humains
x Télé / Radio
Faire un point sur la situation et annoncer
la clôture de la crise
x Télé / Radio
Interview
Groupe d’action
communication /
Président Directeur
Général
Informer et rassurer x Télé / Radio
Valoriser et remercier clients, partenaires
et collaborateurs
x Télé / Radio

Internet – Réseaux sociaux
Timing
Cible
J J+1 J+2 J+3 J+4 J+5
Site Web
Groupe d’action
communication
Informer du sinistre et présenter ses excuses
par rapport à l’interruption de l’activité au
moment du sinistre
x
Clients
Grand public
Rassurer sur le bon déroulé du PCA x
Clients
Grand public
Confirmer le succès de la reprise progressive
à la fin de la journée
x x x x
Clients
Grand public
Réseaux sociaux
Groupe d’action
communication
Informer du sinistre et présenter ses excuses x
Clients
Grand public
Rassurer sur le bon déroulé du PCA (deux
fois par jour)
x x x x
Clients
Grand public
Suivi et veille pour contrer les rumeurs,
répondre aux questions et supprimer les
commentaires qui portent atteinte à l’image
de la Sonibank ou les commentaires
diffamatoires
x x x x x x
Clients
Grand public

Autorités
Timing
Cible
J J+1 J+2 J+3 J+4 J+5
Téléphone SPOC sécurité
Alerter les autorités concernées dès la
détection d’un incident majeur
x
Police / Autorités
publiques de santé
Courrier /Mail/
Téléphone
Directeur Général
Informer du sinistre et demander leur
soutien
x
BCEAO
Ministère des finances
Rassurer sur le bon déroulement du PCA
(donner quelques statistiques de reprise) à
mi-chemin
x x x
BCEAO
Confirmer le succès de la reprise totale x
BCEAO

Partenaires – Fournisseurs
Timing
Cible
J J+1 J+2 J+3 J+4 J+5
Courrier / Mail /
Téléphone
Groupe d’action
communication
→ Responsables
métiers
excuses (s’ils sont affectés par la crise les
inciter à ne pas communiquer ou que leur
communication soit en cohérence avec
celle de la Sonibank)
x Partenaires / Fournisseurs
Rassurer sur le bon déroulement du PCA
(donner quelques statistiques de reprise) à
mi-chemin
x x x x Partenaires / Fournisseurs
Confirmer le succès de la reprise totale x Partenaires / Fournisseurs

Clients
Timing
Cible
J J+1 J+2 J+3 J+4 J+5
SMS / Mail /
Téléphone
Groupe d’action
communication
excuses
x Clients
Rassurer sur l’activation de la reprise
progressive
x Clients
Rassurer sur le bon déroulé du PCA (donner
quelques statistiques de reprise)
x Clients
Confirmer le succès de la reprise totale x Clients

Vraisemblance d’un scénario operationnel

Vraisemblance d’un scénario opérationnel

ROSI et ALE
• ROSI : Retour sur Investissement en Sécurité
• ALE : Estimation de perte annuelle
• SLE: Estimation de perte unique
• AV= valeur du bien (actif)
• EF: facteur d’exposition
• ARO: taux d’occurrence annuel
• SLE = AV * EF
• ALE = SLE * ARO ( le cout de réalisation du risque)
• Il faut que ALE >>>> cout annuel des mesures et des contrôles pour réduire
le risque

Les différentes zones de risque
• Les risques ayant une occurrence et un impact faible sont négligeables.
• Les risques ayant une forte occurrence et un impact important ne doivent
pas exister, autrement une remise en cause des activités de l’entreprise est
nécessaire.
• Les risques ayant une occurrence forte et un impact faible sont acceptés, leur
coût est généralement inclus dans les coûts opérationnels de l’organisation.
• Les risques ayant une occurrence faible et un impact lourd sont à transférer.
Ils peuvent être couverts par une assurance ou un tiers.
• Les autres risques, en général majoritaires, sont traités au cas par cas et sont
au centre du processus de gestion des risques ; l’objectif, étant de diminuer
les risques en les rapprochant au maximum de l’origine de l’axe (mitigation
du risque à l’aide de contrôles).

Informations documentées de gestion des risques
• Rapport: Le rapport de l’analyse de risque documente le processus suivi et il comprend ou
se réfère au plan d’analyse de risque. La présentation des informations techniques qu’il
contient est une partie critique du processus d’analyse de risque. Les résultats des analyses
de risques doivent y être exprimés en termes compréhensibles. Les points forts, les limites
des différentes mesures de risques et les incertitudes qui entourent les estimations du
risque doivent aussi y être expliqués en langage compréhensible compte tenu de
personnes auxquelles le rapport s’adresse.
• Matrice : La matrice des risques est un graphique permettant de visualiser et de
cartographier un risque en fonction de son impact et de sa probabilité de survenance.
• Registre : Le registre des risques est un tableau ou une liste répertoriant et détaillant la
totalité des risques inhérents à un projet ou à une situation.
• Fiche : La fiche de risque décrit les risques méritant une attention particulière, et les
affecte à un responsable unique. Elle enregistre les caractéristiques du risque, dès son
identification, et tout au long de son évolution dans le projet, jusqu'à sa disparition.

Rapport d’appréciation / traitement des risques
• La portée du rapport varie selon les objectifs et le domaine de l’analyse. Sauf pour des analyses très simples, la
documentation comporte habituellement les sections suivantes :
• Le résumé, incluant les conclusions.
• Les objectifs et le domaine d’application.
• Les limites, les hypothèses et la justification des hypothèses.
• La description des parties pertinentes du système.
• La méthodologie d’analyse.
• Les personnes ayant participé à l’analyse ainsi que leurs fonctions respectives.
• Les résultats d’identification des dangers.
• Les modèles utilisés, y compris les hypothèses et la validation.
• Les données et leurs sources.
• Les résultats d’estimation du risque.
• L’analyse de sensibilité et d’incertitude.
• La discussion des résultats (y compris une discussion des difficultés analytiques).
• Les conclusions.
• Les références.

Registre des risques
Les registres des risques documentent les risques d'une entreprise, les notes (scores ou niveaux de
risque), les dirigeants responsables et les domaines concernés, et résument les mesures prises par
l'entreprise pour faire face au risque.
En substance, un registre de risques est un tableau répertoriant les risques d’un projet, qui vous permet
de suivre chaque risque identifié et toute information essentielle le concernant.
Les colonnes standard incluses dans un registre de risques sont :
• Numéro d'identification (pour rapidement identifier chaque risque et s'y référer)
• Nom et brève description du risque
• Catégorie de risque (interne ou externe, lié à l'équipement ou au personnel, etc.)
• Probabilité (les chances que le risque se concrétise)
• Impact (s'il se concrétise, les répercussions qu'il aura sur votre projet)
• Note d'évaluation (où se trouve le risque dans votre liste de priorités)
Approche (allez-vous suivre le risque, essayer de le nuancer, l'éviter, etc.)
• Mesures à prendre (si vous prévoyez d'atténuer le risque ou de l'éviter, quelles sont les étapes
impliquées et à quel moment les mettre en œuvre)
• Personne responsable de la supervision ou de l'atténuation du risque

Registre des risques du projet "soirée barbecue"

Indicateurs et métriques de gestion des risques
❑Les Indicateurs et métriques utilisés dans la gestion des risques d'entreprise comprennent:
❑Identification précoce des tendances et des problèmes
❑Une source d'informations critiques pour les contrôles
❑Un moyen de reconnaître les améliorations ou les signes d'aggravation des
situations.
❑ Les indicateurs et métriques permettent de réduire les risques de choix erronés,
d’engager les actions correctrices et de mettre en place des axes d’amélioration. Ils ont
pour finalité d’ajuster les actions en fonction des problèmes rencontrés.
❑Les professionnels du risque devraient se poser les questions suivantes:
1- Est-ce que je constate des améliorations dans l'entreprise?
2- Les priorités commerciales sont-elles alignées sur les risques changeants ou
émergents?
3- Les risques sont-ils atténués et les pertes évitées? »

Les spécialistes du risque envisagent souvent trois
types d'indicateurs principaux:
• Indicateurs clés de risque (KRI) - ce sont généralement des indicateurs prédictifs, fournissant un
signal d'alarme indiquant qu'un événement indésirable devient plus probable ou que son impact
potentiel augmente. Après l'événement, ils peuvent également indiquer que des risques sont
survenus et révéler l'ampleur de leur impact. Les KRI doivent faire l’objet d’une revue périodique
notamment en termes de nombre et de formulation afin de tenir compte des évolutions des activités,
des procédures internes et des normes réglementaires.
• Indicateurs clés de performance (KPI) - ces mesures sont liées à des facteurs internes par
opposition aux circonstances du marché externe, et indiquent un succès ou des progrès
démontrables vers l'atteinte du résultat souhaité.
• Ils peuvent être utilisés de manière affirmative pour démontrer l'atteinte des objectifs mais aussi
pour signaler l'évolution précoce des événements à risque.
• Indicateurs de contrôle clés (KCI) - également appelés indicateurs d'efficacité du contrôle, ces
paramètres révèlent la mesure dans laquelle un contrôle travaille pour atteindre ses objectifs, par
exemple pour éviter les pertes, à tout moment. Si les contrôles ne fonctionnent pas comme
prévu, la probabilité ou l'impact du risque peut changer. En tant que tels, les KCI sont souvent
prédictifs, bien qu'ils puissent également fournir une détection précoce des risques qui
commencent à se manifester.
• Les 3 types d’indicateurs sont connectés.
• L’articulation entre KRI, KPI et KCI est indispensable pour permettre d’assurer un meilleur contrôle de la
performance de l’entreprise et fournir ainsi une plus grande garantie dans l’atteinte des objectifs et le
respect de la stratégie de l’entreprise.

KRIs vs KPIs
1- Pour un E-commerce par exemple, le nombre de paniers validés est un KPI alors qu’un retour de
commande est un KRI.
2- Le suivi des indicateurs de performance uniquement ne garantit pas la pérennité de la performance !!
• Un des risques principaux auquel le directeur du site de production sera confronté est celui du non-
respect des délais de livraison par un fournisseur, risque dont la survenance entrainera surement
l’altération de la performance.
• Situation : Grâce aux ERP, il est aujourd’hui effectivement possible de suivre comme indicateur de
risque l’évolution des ∆t entre le jour et l’heure de la passation d’une commande à un fournisseur et
sa réception. Tout en restant dans les objectifs de délais fixés, la variabilité de ce ∆t (aléatoire ou
continue) pourra être significative d’un processus de livraison mal maîtrisé chez le prestataire, qui
peut se traduire à terme par des retards effectifs de livraison, cet indicateur devient donc un
indicateur de risque (KRIs) anticipant potentiellement une baisse de la performance (diminution de la
capacité de production par rupture de l’approvisionnement). Cet indicateur de risque est issu des
résultats de mesure du dispositif de contrôle interne en place (mesure et suivi des ∆t).
• On voit donc ainsi qu’il est possible que les indicateurs de performance de production soient
satisfaisants mais ne montrent pas qu’un fournisseur présente un risque de non-livraison à court/
moyen terme.
• Ce constat est uniquement identifiable par le suivi des indicateurs de risque qui dans ce cas sont donc
les valeurs non satisfaisantes des indicateurs de contrôle interne.

Qu’est ce qu’un KRI ?
• En plus de la cartographie des risques ,les indicateurs de risque constituent aussi
un outil de gestion et de pilotage du risque opérationnel.
• Les indicateurs de risque sont des paramètres quantitatifs susceptibles
d’augmenter la probabilité de réalisation d’un risque.
• Ils permettent d’évaluer le niveau de risque sur une activité ou les sources de
non-performance d’une entité ou d’un processus en termes de risque.
• Ils donnent des indices de perte ou de danger à venir - Ils permettent de détecter
les risques en mesurant les incidents.
• Ce sont des indicateurs mesurables qui ont pour objectif de suivre l’évolution d’un
risque. Il n’existe pas de liste standard de KRI. Ils se rattachent au risque et pour
qu’ils soient efficaces, ils doivent être associés à un plan d’action qui permet de
suivre leur évolution avec des décisions opérationnelles
• Exemples : 1. Nombre de reportings obligatoires au régulateur local non déclarés
ou déclarés avec retard ; 2. Nombre d’intrusions externes dans les systèmes
d’information 3. Nombre de non-respect des règles en matière de congés du
personnel. BIT- AXIANS-Juillet 2024 127

Surveillance et examen continus
• La gestion des risques n’est pas une activité ponctuelle, mais un processus
continu.
• Les organisations doivent surveiller et revoir en permanence leurs stratégies de
gestion des risques afin de s’adapter à l’évolution des menaces et des
environnements commerciaux.
• Des évaluations régulières des risques, des évaluations des performances et
des boucles de retour d’information permettent aux entreprises d’identifier les
risques émergents, de mesurer l’efficacité des contrôles des risques existants et
d’affiner leur approche de la gestion des risques en conséquence.
• En adoptant une culture d’amélioration continue, les organisations peuvent
rester à l’affût des risques potentiels et tirer parti de nouvelles opportunités.

Surveillance des risques et reporting
• Une surveillance et un reporting continus garantissent l'efficacité des
stratégies de risque et la mise à jour du profil de risque. La
surveillance continue permet de suivre au quotidien les risques
identifiés, l'avancement en matière d'atténuation et les nouveaux
risques. Un reporting efficace apporte de la transparence grâce à une
visibilité claire sur l'exposition aux risques et l'efficacité des réponses.
• Les KRI sont des métriques quantifiables qui indiquent une exposition
croissante aux risques. Ces indicateurs correspondent aux facteurs
critiques de réussite et à la propension au risque de l'entreprise, ce
qui les rend pertinents et exploitables pour préserver la stabilité de
l'organisation et la confiance des parties prenantes.

OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation / OCTAVE-S
• Les concepteurs d'OCTAVE sont issus de
Carnegie Mellon, université américaine très
réputée dans la sécurité des systèmes
d'information et à l'origine du premier CERT,
centre de veille et d'assistance spécialisé contre
les intrusions informatiques.
• La Méthode OCTAVE a été développée en
premier (1999) et s'applique aux grandes
organisations hiérarchiques et est composée de
3 phases :
• Vision organisationnelle
- Actifs
- Menaces
- Vulnérabilités organisationnelles
- Exigences de sécurité
- Règles existantes
• Vision technologique
- Composants techniques clés
- Vulnérabilités techniques
• Planification des mesures et réduction des
risques
- Evaluation des risques
- Pondération des risques
- Stratégie de protection
- Plan de réduction des risques
L’approche OCTAVE utilise une évaluation
des risques fondée sur les actifs
informationnels.
Le risque est examiné sur la base des
vulnérabilités organisationnelles et
technologiques qui menacent un groupe
d’actifs critiques à la mission de
l’organisation.
Elle aborde les questions suivantes:
• Quels sont les actifs ayant besoin d’une
protection ?
• Quel est le niveau de protection
nécessaire ?
• Comment l’actif pourrait être compromis ?
• Quel est l’impact si la protection échoue ?

OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation / OCTAVE-S
• OCTAVE-S a été développée pour répondre aux besoins des organisations plus
petites et moins hiérarchiques.
• OCTAVE-S est une variante de l'approche adaptée aux moyens limités et aux
contraintes uniques que l'on retrouve généralement dans les petites et moyennes
organisations (moins de 100 personnes).
• OCTAVE et OCTAVE-S sont des méthodes de gestion des risques basées sur les actifs
informationnels
• Octave/Octave-S est autogéré: Une petite équipe d’analyse interdisciplinaire de
trois à cinq personnes dirige OCTAVE-S. Collectivement, les membres de l’équipe
d’analyse doivent avoir une connaissance approfondie des processus commerciaux
et de sécurité de l’organisation, suffisante pour mener toutes les activités
d’OCTAVE-S. Pour cette raison, OCTAVE-S ne nécessite pas d’ateliers formels de
collecte de données pour lancer l’évaluation.

Octave et Octave-S

Octave - Allegro
• La méthode OCTAVE Allegro (2007) est une méthode d'évaluation des risques axée sur les
actifs informationnels, contrairement à OCTAVE qui est une évaluation des risques axée sur
les actifs technologiques. La méthode Allegro est également plus simple que les
deux méthodes précédentes, et de fait la plus utilisée à ce jour.
• Elle se compose de huit étapes regroupées en quatre grands domaines d'activités :
– Établir des déterminants : l'entreprise définit des critères de mesure du risque (étape 1).
– Profiler l'actif : l'entreprise identifie les actifs à évaluer ainsi que leurs conteneurs (étapes 2
et 3).
– Identifier les menaces : l'entreprise identifie les domaines de préoccupation et les
scénarios de menaces (étapes 4 et 5).
– Identifier et atténuer les risques : l'entreprise identifie et analyse les risques et choisit une
méthode de traitement de ces derniers (étapes 6, 7 et 8).

Octave –Allegro : Etape 1
• Des feuilles de travail sont mises à disposition par la méthode OCTAVE Allegro
permettant de réaliser cette évaluation. Il est ainsi possible de traiter pour chacun des
domaines l'impact potentiel du risque identifié. La feuille de travail se présente sous
forme d'un tableau qui nous permet de déterminer l'incidence en choisissant entre «
faible », « modéré » ou « haut ».
• Le dernier document de travail de l'étape 1 ( worksheet 1-7) consiste tout simplement à
classer les différents domaines par ordre d'importance.
Exemple Zone d'impact Notation
• Finance 4
• Réputation 3
• Sécurité et santé 2
• Productivité 2
• Amendes/juridique 1

Octave –Allegro : Etapes 2 -4
• Etape 2:Élaborer des profils d'actifs informationnels
Une feuille de travail existe afin de consigner ce profilage qui sera utile par la suite pour identifier les
menaces et les risques. (Worksheet 2-8) - Ce profilage permet de s'assurer que l'actif est bien défini, de
manière claire et sans ambiguïté aussi bien sur ses limites que sur ses exigences en matière de sécurité.
• Étape 3 - Identifier les conteneurs d'actifs informationnels
Les conteneurs sont les endroits où les ressources informationnelles sont stockées, transportées ou traitées.
Cette troisième étape permet d'identifier tous les conteneurs dans lesquels les données sont stockées,
traitées ou transportées, à l'intérieur ou à l'extérieur de l'organisation.
Une feuille de travail ( Worksheet 3-9.a / 3-9.b / 3-9.c) est fournie par OCTAVE Allegro pour identifier ces
emplacements. Il s'agira donc d'identifier les conteneurs techniques (réseau, hébergeurs, cloud, etc.),
physiques (centres de données, disques durs, etc.) ou encore les personnes ayant accès ou une
connaissance détaillée de ces derniers.
. Étape 4 - Identifier les domaines de préoccupation
Cette étape débute par une réflexion sur les situations possibles qui peuvent menacer les actifs
informationnels de l'organisation. Il ne s'agira pas d'établir une liste exhaustive de toutes les situations
possibles, mais seulement les plus évidentes, les premières qui viennent à l'esprit- Là encore une feuille de
travail fournie par OCTAVE Allegro nous aide à détailler ces sujets de préoccupation ( Worksheet 4-10)

Octave –Allegro : Etapes 5 -7
Étape 5 - Identifier les scénarios de menace
Un scénario de menace est une situation dans laquelle un actif informationnel peut être compromis. Il se
compose généralement d'un acteur, d'un motif, d'un moyen et d'un résultat indésirable. Cette étape reprendra
donc les sujets préoccupants de l'étape précédente et les approfondira en détaillant davantage les propriétés de
la menace (worksheet 10) - Un outil fourni par OCTAVE Allegro, nommé l'arbre des menaces, permet d'aller plus
loin dans l'identification des scénarios, ainsi qu'un formulaire nous aidant à déterminer les probabilités et
impacts de chacun des scénarios identifiés.
Étape 6 - Identifier les risques
Le risque correspond à l'addition de la menace (étapes 4 et 5) et de l'impact (étape 6). Il s'agira donc ici
d'identifier les impacts aux scénarios identifiés précédemment, qui peuvent être multiples (réputation,
productivité, finances, sécurité et santé, amendes et frais juridiques)(worksheet 10)
Étape 7 - Analyser les risques
Lors de cette étape, une mesure
quantitative simple est calculée.

Octave –Allegro : Etape 8
Étape 8 - Sélectionner une approche d'atténuation
Une fois les risques hiérarchisés, des stratégies d'atténuation sont élaborées en tenant compte de la
valeur de l'actif et de ses exigences de sécurité, des conteneurs dans lesquels il se trouve et de
l'environnement opérationnel de l'organisation.

Mehari: Méthode harmonisée d’analyse des risques
Elle est développée et maintenue depuis 1995 par le CLUSIF (Club de la sécurité de l’information français) et
reprend et remplace les méthodes MELISA et MARION. Elle est compatible avec ISO 27005.

La richesse de MÉHARI est basée sur l’utilisation de bases de connaissances.
Les bases de connaissances de chaque version de MÉHARI contiennent :
•Des scénarios de risque standards ;
•Des dispositifs de sécurité matérialisés par des « services de sécurité » ou des « fonctions de sécurité » ;
•Des questionnaires d’évaluation de ces services (Méhari-Expert et Méhari- Standard);
•Des mécanismes d’évaluation de l’ensemble des paramètres caractéristiques des risques ;
•Des mécanismes d’aide à la définition de plans et projets de sécurité aptes à réduire les risques ;
•Des outils de pilotage des risques.
Sur la base de ces éléments et typologies, MÉHARI décrit quatre modes d’action possibles des mesures visant à
réduire des risques :
❑ Des mesures dissuasives pour diminuer la probabilité qu’un acteur décide de mener l’action à l’origine du risque
❑ Des mesures préventives qui rendent plus difficile, donc moins probable, le fait que le déclenchement de
l’événement initial conduise effectivement à la réalisation du risque ;
❑ Des mesures de confinement (peuvent être détectives) qui vont limiter l’étendue des dommages directs possibles
❑ Des mesures palliatives qui limitent l’étendue des conséquences indirectes des dommages.
MÉHARI comprend trois bases de connaissances :
•Méhari-Expert : version destinée aux grandes ou très grandes entreprises et nécessitant une bonne expertise de la
méthode ;
•Méhari-Standard : version, destinée aux entreprises moyennes ou grandes, dotée de plus d’outils de pilotage et
d’accès plus facile ; Méhari 2010 ; 2017; 2022
•Méhari-ManagerBC : version destinée aux analyses ciblées d’activités ou de projets.

MEHARI: Mesures de réduction de la
probabilité et de l’impact

MEHARI: Contrôles préventifs vs dissuasifs
• Le contrôle dissuasif et le contrôle préventif sont deux approches différentes pour
gérer les risques et prévenir les événements indésirables au sein d’une
organisation.
• Le contrôle dissuasif vise à décourager les individus d'adopter un comportement
indésirable en mettant en œuvre des mesures qui rendent le comportement moins
attrayant ou plus risqué. Cela peut inclure l’utilisation de caméras de sécurité, de
panneaux d’avertissement et d’autres moyens de dissuasion visibles.
• Le contrôle préventif se concentre sur la prise de mesures proactives pour
empêcher en premier lieu l’apparition d’événements indésirables. Cela peut
impliquer la mise en œuvre de protocoles de sécurité, de contrôles d’accès et
d’autres mesures conçues pour empêcher tout accès ou action non autorisé.
• En résumé, le contrôle dissuasif vise à dissuader les individus d’adopter un
comportement indésirable, tandis que le contrôle préventif vise à empêcher
complètement que des événements indésirables ne se produisent.

MEHARI: Mesures de réduction de l’impact
• Mesures de confinement : ces mesures ne préviennent pas les incidents,
mais en limitent au moins la portée ( détecteurs , séparation physique des
lieux, Surveiller l'exécution des processus pour limiter les conséquences
d'un incident pouvant entraîner des conséquences plus graves, Fixer des
limites aux variations de paramètres autorisées (par exemple, limites aux
montants transférés avec déclenchement de procédures de contrôle en
cas de dépassement de ces limites).
• Mesures palliatives: ces mesures agissent une fois le dommage survenu,
et permettent, d'une part, de limiter les conséquences au niveau de
l'entreprise et, d'autre part, de remettre les ressources dégradées dans
leur état initial (Reconfiguration des opérations de l'organisation, que cette
reconfiguration soit dynamique, par redondance, ou structurelle ou par la mise en œuvre de plans
d'urgence, Restauration des ressources par réparation, correction ou reconstruction.

EBIOS c’est quoi ?
• EBIOS (Expression des besoins et identification des objectifs de
sécurité) est la méthode d’appréciation et de traitement des risques
publiée par l’ANSSI.
• EBIOS permet d’apprécier et de traiter les risques. Elle fournit
également tous les éléments nécessaires à la communication au sein
de l’organisme et vis-à-vis de ses partenaires, ainsi qu’à la validation
du traitement des risques. Elle constitue ainsi un outil complet de
gestion des risques.
• Il s’agit d’une véritable boîte à outils, dont on choisit les actions à
mettre en œuvre et la manière de les utiliser selon l’objectif de
l’étude.
• Elle permet d’apprécier les risques au travers de scénarios et d’en
déduire une politique cohérente, appuyée sur des mesures concrètes
et évaluables

Pourquoi une nouvelle méthode EBIOS ?
• La méthode EBIOS (dont la dernière version datait de 2010) était très
pertinente dans son contexte. Face aux évolutions du numérique de
ces dernières années, elle s’est modernisée pour prendre en compte
l’environnement actuel (systèmes interconnectés, prolifération des
menaces, état de l’art et règlementation plus mature, connaissance
de la menace), et permettre aux dirigeants d’appréhender
correctement les enjeux majeurs de la sécurité du numérique (de
nature stratégique, financière, juridique, d’image, de ressources
humaines).

À qui s’adresse cette nouvelle méthode EBIOS Risk
Manager ?
• La méthode EBIOS doit offrir une compréhension partagée des
risques cyber entre les décideurs et les opérationnels. L’objectif est
que le risque cyber soit considéré au même niveau que les autres
risques stratégiques (risque financier, juridique, d’image, etc.) par les
dirigeants.
Les publics intéressés par cette méthode sont les RSSI et les risk
managers.

Quel est l’apport essentiel d’EBIOS Risk
Manager par rapport à EBIOS 2010 ?
• Face au bouleversement numérique, il s’est avéré nécessaire de faire évoluer la
méthode EBIOS pour prendre en compte l’environnement numérique actuel
(systèmes interconnectés, prolifération des menaces, état de l’art et
règlementation plus matures, exploitation de la connaissance de la menace).
• La version de 2010 était très pertinente dans son contexte mais proposait une
analyse séquencée, système par système. Il fallait attendre la fin de l’analyse
complète pour pouvoir obtenir des résultats.
• La nouvelle version EBIOS Risk Manager propose une méthode d’analyse plus
agile et collaborative de l’ensemble des systèmes, dans leur environnement
global, avec des résultats visibles étape par étape.
• Elle est ancrée dans la réalité de la menace cyber et prend en compte l’ensemble
de l’écosystème de l’objet de l’étude.
• Ce procédé d’analyse offre un aperçu plus réaliste et actionnable des scénarios de
risque.
• On estime qu’après appropriation, la mise en œuvre de cette démarche permet
de gagner 30% de temps en comparaison avec la version de 2010.

Quelles sont les valeurs de la méthode EBIOS
Risk Manager ?
• La méthode EBIOS Risk Manager a été conçue en s’appuyant sur les
valeurs suivantes :
– Une méthode concrète axée sur la réalité de l’état de la menace ;
– Une méthode efficiente, simple et suffisamment souple pour être
complétée et adaptée rapidement ;
– Une méthode convaincante auprès des dirigeants, où le risque
cyber doit être expliqué avec pédagogie ;
– Une méthode collaborative car les différents ateliers regroupent la
direction, les métiers et les équipes SSI.

EBIOS RM : comment ça marche ?
• En se constituant autour de 5 ateliers complémentaires, la méthode EBIOS
RM offre :
– Une synthèse entre conformité et scénarios : la méthode s’appuie sur un socle de
sécurité solide, construit grâce à une approche par conformité. L’approche par scénarios vient
solliciter ce socle face à des scénarios de risque plus particulièrement ciblés ou sophistiqués ;
– Une valorisation de la connaissance cyber : pour construire des scénarios de risques
du point de vue de l’attaquant, il est indispensable d’avoir une bonne connaissance de ceux-ci.
L’ANSSI propose donc avec la méthode EBIOS une structure permettant d’évaluer les différents
profils d’attaquants et leurs objectifs ainsi que des bases de connaissances ;
– Une prise en compte de l’écosystème : les attaquants ne cherchent plus forcément à
atteindre de manière frontale les organismes mais à passer par des parties prenantes de leur
écosystème, qui peuvent être plus vulnérables, pour parvenir à leurs fins. La prise en compte de
l’écosystème dans l’étude des risques est donc à présent indispensable.

EBIOS RM est-elle adaptée pour démontrer une conformité
réglementaire ?
• La méthode EBIOS RM répond tout à fait à ce besoin. Le premier
atelier permet de faire l’état des lieux de la conformité à une ou
plusieurs règlementations en identifiant les éventuels écarts qui sont
envisagés et les mesures qui sont prévues dans le socle de sécurité
pour compenser ces écarts.
• Puis les phases d’appréciation et de maîtrise des risques (ateliers 2, 3,
4 et 5) permettent de consolider le socle de sécurité pour in fine
attester de la conformité réglementaire, en précisant les écarts
acceptés grâce à l’ensemble des mesures de sécurité qui permettent
de diminuer suffisamment la criticité des risques.

De quelle façon puis-je prendre en compte les risques de nature
non intentionnelle dans EBIOS Risk Manager ?
• L’appréciation des risques dans EBIOS RM est par essence intentionnelle. Nous
considérons que les risques accidentels et environnementaux sont traités a priori dans
l’atelier 1 dans le cadre du socle de sécurité établi et évalué par conformité.
• Toutefois, si vous souhaitez réaliser une appréciation des risques non intentionnels dans
le cadre d’une EBIOS RM, vous pouvez procéder comme suit, mais dans tous les cas la
phase d’appréciation des risques devra se concentrer sur les risques les plus extrêmes.
Sans quoi, l’analyse serait trop lourde et inexploitable pour un décideur. Celui-ci doit en
effet pouvoir poser une décision sur un jeu de scénarios concret et limité, représentatif
des risques les plus critiques.
• Atelier 1 : identifiez les thématiques non intentionnelles relatives aux écarts de
conformité dont vous souhaitez apprécier le risque (par exemple : la sécurité incendie,
l’alimentation en énergie des locaux techniques, les intempéries et phénomènes
climatiques, la protection contre les inondations).

• Atelier 2 : documentez les sources de risque non intentionnelles en précisant le cas
échéant les valeurs métier ou biens supports plus particulièrement concernés (nota :
documenter des objectifs visés n’aura ici pas de sens pour le non intentionnel).
• Atelier 3 : identifiez les parties prenantes associées aux sources de risque non
intentionnelles ci-dessus (par exemple tel fournisseur qui assure la maintenance de vos biens
supports si la source de risque est « erreur de maintenance ») ; vous pouvez aller au-delà en
construisant une cartographie de menace de cet « écosystème non-intentionnel » sur la base
de critères à adapter par rapport à ceux proposés pour l’intentionnel dans la fiche méthode
n°5. Construisez ensuite pour chaque source de risque un scénario stratégique. Ce scénario
illustre la manière selon laquelle la source de risque non intentionnelle peut conduire à des
événements redoutés (de l’atelier 1) au travers d’un enchaînement d’événements non
intentionnels ou de facteurs aggravants qui peuvent être relatifs aux écarts de conformité
et/ou à une faible maîtrise de l’écosystème impliqué.

• Atelier 4 : si besoin, affinez certains scénarios stratégiques au travers de scénarios opérationnels dont
la vocation sera simplement de préciser les modes de défaillance et d’erreur qui pourront également être
liés à des écarts (ex : une absence de procédure). Évaluez la vraisemblance des scénarios de risque selon
la métrique proposée dans la fiche méthode n°8.
• Atelier 5 : incorporez vos risques non intentionnels dans le traitement du risque au même titre que les
risques intentionnels.
Une façon alternative (mais non exclusive de celle présentée ci-dessus) de « valoriser » les problèmes de
nature non intentionnelle est de voir de quelle façon ils peuvent bénéficier aux attaquants dans vos
scénarios de risque intentionnels.
Par exemple, un attaquant peut arriver à atteindre son objectif visé en raison d’un écart de sécurité
environnementale qu’il exploitera volontairement ou opportunément. La vraisemblance d’une attaque
peut être accrue à cause d’un manquement à une règle ISO 27001. Dans cette approche, vos écarts non
intentionnels sont intégrés dans des scénarios de risques intentionnels en tant que facteurs aggravants
qui faciliteront l’attaque. Cette approche peut se révéler très percutante car elle montre de quelle façon
les faiblesses environnementales du socle de sécurité peuvent rendre une attaque intentionnelle bien
plus vraisemblable ou aggraver fortement les conséquences.

Pour une TPE-PME, qui n’a pas de personne dédiée au
management des risques, quelles sont les personnes qui
doivent être autour de la table dans les ateliers ?
• A minima, il est fortement conseiller d’impliquer dans les ateliers un
représentant du métier ou de la direction et un responsable des
systèmes d’information. Néanmoins, la cybersécurité étant un
domaine particulièrement technique, nous conseillons aux PME de se
faire accompagner par un prestataire maîtrisant les enjeux et la
méthode. Pour cela le club EBIOS et le CLUSIF peuvent aider à
prendre en main la méthode et à identifier des prestataires.

J’ai déjà réalisé des analyses de risques avec EBIOS dans sa version
précédente (2010). Comment réintégrer le travail déjà effectué ?
• Les analyses de risques réalisées avec la version précédente sont
évidemment réutilisables dans la version actuelle. Grâce aux analyses
de risques déjà réalisées, vous avez identifié et mis en place un
certain nombre de mesures destinées à traiter les risques. Ces
mesures pourront être directement intégrées au cours de l’atelier 1
de la méthode EBIOS Risk Manager, lors de la définition du socle de
sécurité.
En effet, l’étape de définition du socle de sécurité permet d’identifier
l’ensemble des bonnes pratiques, des mesures règlementaires et
normatives qui s’appliquent à l’objet de l’étude, mais aussi les
mesures spécifiques déjà en place sur votre périmètre

Qu’est-ce que le Label EBIOS Risk Manager ?
• Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite s’appuyer sur des
partenaires externes, éditeurs de logiciel.
• La mise à disposition d’une ou plusieurs solutions logicielles conformes à
l’esprit de la méthode apparaît comme un complément attendu qui
facilitera son adoption par le plus grand nombre.
•
Dans cette logique, l’ANSSI travaille à la création et à l’attribution d’un label
de conformité EBIOS RM, accessible à tout éditeur souhaitant développer
une solution logicielle conforme aux principes et aux concepts de la
méthode EBIOS « Risk Manager ».
• Les éditeurs sont dès à présent invités à se rapprocher de l’ANSSI (contact :
ebios[at]ssi.gouv.fr) pour participer à l’expérimentation de la labellisation
avant son lancement et disposer du cahier des charges dans le cadre d’un
accord de confidentialité.

Outils compatibles avec la nouvelle version d’EBIOS ?
Disposer d’outils logiciels pour réaliser des analyses de risques de bout en
bout et les gérer dans le temps est un complément indispensable de la
méthode EBIOS Risk Manager.
Afin d’outiller cette nouvelle méthode, l’ANSSI souhaite offrir à ces
utilisateurs une identification claire des solutions logicielles disponibles sur
le marché et conformes à la méthode publiée.
Dans cette logique, l’ANSSI a mis en place un label de conformité EBIOS Risk
Manager, accessible à tout éditeur souhaitant développer une solution
logicielle conforme aux principes et aux concepts de la méthode EBIOS Risk
Manager.
La liste des solutions labellisées est disponible sur le site de l’ANSSI:
https://cyber.gouv.fr/label-ebios-risk-manager

A quoi servent les fiches méthodes qui
accompagnent le guide EBIOS RM ?
• En complément du guide EBIOS Risk Manager, des « fiches méthodes
» ont été créées pour vous aider à réaliser chaque atelier décrit dans
le guide. Elles contiennent notamment des bases de connaissances
qui ont vocation à faciliter l’animation des ateliers d’appréciation des
risques et l’identification des scénarios. Conçues comme des outils
d’accompagnement à vocation pédagogique, ces fiches méthodes
seront régulièrement enrichies et mises à jour.

La méthode de référence française EBIOS
• La méthode de référence française EBIOS accompagne les
organisations pour identifier et comprendre les risques numériques
qui leurs sont propres. Elle permet de déterminer les mesures de
sécurité adaptées à la menace et de mettre en place le cadre de suivi
et d’amélioration continue à l’issue d’une analyse de risque partagée
au plus haut niveau.

EBIOS : L’APPROCHE GÉNÉRIQUE
• Ce guide constitue l’approche générique d’EBIOS*. Il fournit une base
commune à toute déclinaison sectorielle. Conçue initialement pour la
sécurité de l’information, EBIOS peut en effet se décliner dans tous
les domaines au moyen de techniques et de bases de connaissances
adaptées.

HISTORIQUE & HÉRITAGE D’EBIOS RM
• La première version de la méthode EBIOS remonte à 1995, soit à peine cinq
ans après l’annonce publique de création du World Wide Web.
• Une première actualisation d’EBIOS a été réalisée en 2004, puis une
évolution significative en 2010.
• L’ANSSI a élaboré la version 2010 de la méthode EBIOS, avec le soutien du
Club EBIOS, pour prendre en compte les retours d’expérience et les
évolutions normatives et réglementaires. Elle introduisait aussi les
concepts de biens essentiels et d’événements redoutés pour apprécier les
risques de sécurité de l’information au niveau des activités de
l’organisation et non plus seulement au niveau technique.
• EBIOS Risk Manager est issue de cet héritage. Fruit d’une collaboration
étroite, elle positionne pleinement la sécurité numérique au niveau des
enjeux stratégiques et opérationnels des organisations. Elle oﬀre ainsi un
véritable cadre en matière de management du risque numérique.

La méthode CRAMM
• C’est le gouvernement britannique qui est à l’origine
de la méthode CRAMM ; elle est apparue en 1987.
Au départ, elle concernait les administrations, puis
elle s’est orientée vers les entreprises du secteur
privé. Elle a subi de nombreuses révisions, sa
dernière version étant la version 5. Le service de
sécurité du gouvernement britannique est
propriétaire de la méthode.
• La méthode CRAMM1 est une méthode d’analyse et
de maîtrise des risques concernant le système
d’information d’une entreprise créée en 1986 par
Siemens en Angleterre. Cette méthode est
entièrement conforme à la norme ISO 27001.
• Avec ses 3 000 points de contrôle, l’exhaustivité de
cette méthode est assez lourde et reste
essentiellement réservée aux grandes entreprises.
• Cette méthode se décompose en 3 principales
étapes :

La méthode CRAMM est composée de trois phases
1.Identification de l'existant
2.Évaluation des menaces et des vulnérabilités
3.Choix des remèdes
• L'identification de l'existant permet de dresser l'inventaire des équipements, des
applications, et des données qui constituent l'infrastructure informatique sur
laquelle repose le SI de l'entreprise. Chacun des éléments de cet inventaire est
évalué en termes de coût et d'impact en cas de compromission (indisponibilité,
altération, destruction…).
• L'évaluation des menaces et des vulnérabilités met en évidence les problèmes
possibles. Pour cela, la base de connaissances de CRAMM fournit une liste
importante des risques possibles dont il faut évaluer le niveau de criticité.
• Le choix des remèdes consiste à sélectionner parmi une base de 3000 contre-
mesures possibles classées en 70 thèmes les remèdes aux risques identifiés plus
haut. Le logiciel fourni avec CRAMM détermine les remèdes à adopter en fonction
des risques, de leur criticité identifiée précédemment et du niveau de sécurité
désiré.

La méthode CRAMM
• GLBA : Gramm-Leach-Bliley Act (GLBA), appelée GLB ou parfois loi de
modernisation des services financiers de 1999, est une loi promulguée par le
Congrès américain pour réguler la manière dont les institutions financières
traitent les informations personnelles sensibles de leurs clients.
• HIPPA : La loi sur la portabilité et la responsabilité des assurances-
maladie (Health Insurance Portability and Accountability Act, HIPAA) de 1996,
c’est une loi fédérale qui fixe les règles régissant quelles personnes peuvent
consulter et recevoir des informations à propos de votre santé.
• Outil CRAMM: Pricing and licensing models
• CRAMM expert : £2950 ( ~3500 euros) per copy plus £875 annual license
• CRAMM express: £1500 per copy plus £250 annual license
• Sectors with free availability or discounted price : UK Government, NATO, UK local
authority, NHS, Academic
• Official web site : http://www.cramm.com

La méthode EMR /TRA : Evaluation des Menaces et des Risques
/ Threat and Risk Assessment
• La méthodologie harmonisée d’évaluation des menaces et des
risques est un ensemble d’outils conçus pour tous les employés,
les biens et les services menacés. On peut aisément les intégrer
aux méthodologies de gestion de projet et aux cycles de vie du
développement de systèmes de manière à répondre aux besoins
de la direction pour des solutions adaptées tant au niveau
stratégique qu’opérationnel.
• C’est la méthodologie la plus utilisée au canada

La Gestion des risques selon ISO 27005.pdf

Contenu connexe

Tendances

Similaire à La Gestion des risques selon ISO 27005.pdf

La Gestion des risques selon ISO 27005.pdf