〈   Contrats, SLA et audits
Évaluation et gestion des risques numériques, et intégration dans les processus

Chapitre 2.2

Comment identifier, évaluer et traiter les risques numériques


Le processus de gestion des risques numériques comporte cinq étapes majeures et successives. En s’appuyant sur ces échelons, il est possible d’atténuer le risque, sa probabilité et ses impacts.

A. Identification

Première étape du processus, l’identification des menaces et des risques qui pèsent sur les activités, les services de l’entreprise et/ou les projets majeurs permet de savoir sur quels aspects focaliser son attention et de mieux définir les moyens alloués à la protection.

B. Évaluation

Une fois les risques identifiés, il convient d’évaluer les probabilités qu’ils surviennent, ainsi que l’impact qu’ils pourraient avoir sur les activités de l’entreprise. Cette évaluation doit être chiffrée et étayée afin que la direction dispose d’un maximum d’éléments afin de prendre les mesures adéquates.

C. Traitement

Il existe plusieurs catégories de traitement du risque. La première consiste à éviter ou à supprimer le risque en abandonnant le projet ou l’activité à risque. C’est une option rarement choisie, car cela représente des impacts majeurs sur la stratégie de l’entreprise. 

La deuxième stratégie consiste à atténuer le risque en réduisant la probabilité, ou en minimisant l’impact qu’il pourrait avoir s’il se matérialise : mise en place de mesures de sécurité, de contrôles qui donneront une certaine assurance que le risque est de moins en moins probable ; et si malgré tout le scénario se produit, des mesures de sécurité qui viendront réduire son impact. 

Une troisième catégorie consiste à transférer le risque : passer par un prestataire de service qui acceptera le risque (même si la chaîne de responsabilités en cas de crise peut partiellement avoir des impacts pour le client), ou transférer le risque en assurance, au moyen des offres de certaines compagnies en termes d’assurance en cybersécurité. 

D. Analyse

La phase suivante de la gestion des risques numériques réside dans une analyse périodique de l’efficacité des contrôles et des mesures implémentés. Ces opérations permettent de déterminer si le risque est effectivement réduit,ou s’il demeure à un niveau préoccupant. Dans ce dernier cas, un plan d’action doit être défini pour faire face à une crise au cas où il surviendrait.

E. Reporting ou suivi

La dernière phase consiste en une compilation des constats réalisés lors des quatre étapes précédentes, afin que la direction puisse prendre connaissance, au moyen d’un rapport détaillé, de l’état des risques, du résultat de l’analyse des contrôles et mesures, mais aussi du plan d’action envisagé dans le cas où des déficiences sont identifiées.

2023 © Trust Valley. Tous droits réservés.