Dans une enquête récente, 65 % des hauts responsables financiers conviennent que le volume et la complexité des risques d'entreprise ont changé « principalement » ou « considérablement » au cours des cinq dernières années. Malgré les volumes et les complexités perçus des risques, nombre de ces dirigeants ne pensent pas que leurs processus de gestion des risques soient à la hauteur.
Adopter un registre des risques est un moyen pour les organisations de mieux identifier, évaluer et gérer les risques ainsi que les activités liées aux risques dans le contexte de leur mission et de leurs objectifs commerciaux plus larges.
Ci-dessous, nous expliquerons ce qu'est un registre des risques, quels avantages il offre et comment en créer un. Nous proposerons également un exemple et un modèle pour vous aider à démarrer la création de votre propre registre des risques.
Qu'est-ce qu'un registre des risques ?
Un registre des risques est un référentiel ou un enregistrement central des risques actuels auxquels une organisation est confrontée et des informations connexes telles qu'une description du risque, l'impact si le risque se produisait, la probabilité de son occurrence, les stratégies d'atténuation, les propriétaires de risques et un classement afin d'aider à prioriser les efforts d'atténuation.
Des informations doivent également être incluses sur la manière dont les risques évoluent en termes de probabilité et d'impact en fonction des réponses aux risques déterminées. Le risque résiduel — ou le risque restant après l'application des réponses aux risques — doit également être enregistré dans le registre des risques.
Avantages d'un registre des risques
Avoir un registre des risques offre plusieurs avantages. Les plus notables sont :
- Communication cohérente des informations sur les risques : L'utilisation d'un registre des risques avec des critères et des catégories convenus assure la cohérence de la manière dont vous capturez et communiquez les informations sur les risques tout au long du processus de gestion des risques et à l’échelle de l'entreprise.
- Amélioration des décisions fondées sur les risques : Un registre des risques peut aider les décideurs clés à mettre en œuvre, à surveiller, à évaluer l'efficacité et à ajuster les réponses aux risques pour maintenir le risque global dans la tolérance de l'organisation.
- Suivi des risques au fil du temps et des progrès des processus de gestion : Un registre des risques peut vous aider à surveiller en continu les risques et les réponses aux risques et à fournir des commentaires pour améliorer les processus et ajuster les critères de risque au fil du temps.
- Conformité : La gestion des risques fait partie de la plupart des cadres de sécurité et de conformité. Ainsi, en ayant un registre des risques dans le cadre de votre programme de gestion des risques, vous assurerez la conformité de votre organisation avec plusieurs cadres.
Comment créer un registre des risques
Suivez les étapes ci-dessous pour créer un registre des risques.
1. Identifier et enregistrer les risques
Commencez par identifier tous les risques susceptibles de nuire aux objectifs de votre entreprise. Il s'agit de menaces potentielles qui pourraient compromettre les opérations, les actifs ou les individus de votre organisation. Lors de leur enregistrement dans le registre des risques, vous pouvez attribuer à chaque risque un identifiant tel que « R-1 ».
2. Décrire les risques
Ensuite, expliquez brièvement le scénario de risque pouvant impacter l'organisation. Un format cause à effet peut être utile. Un exemple de description de risque dans ce format est : « [application web] utilise un protocole obsolète et non sécurisé. Si cette vulnérabilité est exploitée, un pirate informatique pourrait déchiffrer le trafic de l'application web. »
3. Catégoriser les risques
L'étape suivante est la catégorisation des risques. L'objectif est d'utiliser une construction d'organisation qui vous permette de consolider plusieurs entrées du registre des risques. Par exemple, vous pouvez utiliser les familles de contrôles du NIST SP 800-53. Voici les catégories :
- Contrôle des accès
- Audit et responsabilité
- Sensibilisation et formation
- Gestion des configurations
- Planification de la contingence
- Évaluation des contrôles
- Autorisation et suivi
- Identification et authentification
- Réponse aux incidents
- Maintenance
- Protection des supports
- Sécurité du personnel
- Protection physique et environnementale
- Planification
- Évaluation des risques
- Acquisition de systèmes et de services
- Intégrité des systèmes et des informations
- Protection des systèmes et des communications
- Gestion de programme
- Traitement et transparence des PII
- Gestion des risques de la chaîne d'approvisionnement
En utilisant ces familles de contrôles, le risque décrit à l'étape 2 serait catégorisé comme Intégrité des systèmes et des informations.
Lecture recommandée
Gestion des risques de la chaîne d'approvisionnement : une décomposition du processus + Modèle de politique
Read More4. Évaluer la probabilité et l'impact de chaque risque
Il est maintenant temps d'analyser les risques. Cela nécessite d'estimer la probabilité que chaque événement de risque identifié se produise (avant l'application d'une réponse au risque) et d'estimer les conséquences potentielles de l'événement de risque (si aucune réponse au risque n'est appliquée).
Voici deux méthodes pour l'analyse des risques :
- L'analyse qualitative implique des descripteurs, tels que très faible, faible, modéré, élevé ou très élevé. L'échelle peut être informée par des sources externes, telles que des références ou standards de l'industrie, des métriques de scénarios de risques similaires précédents, ou des résultats d'inspections et d'évaluations.
- L'analyse quantitative implique des valeurs numériques basées sur des probabilités statistiques et une évaluation monétaire des pertes ou gains.
Voici des exemples d'une échelle qualitative et quantitative utilisée par Secureframe pour son registre des risques.
Regardons un exemple d'utilisation de ces échelles tiré de NISTIR 8286. Supposons que vous essayez d'estimer la probabilité et l'impact des conséquences de l'indisponibilité d'un serveur d'entreprise critique pour le département financier d'une organisation. Les sous-facteurs qui affecteraient la probabilité de ce scénario de risque sont :
- L'âge du serveur
- Le réseau sur lequel il réside
- La fiabilité de son logiciel
Par exemple, si le serveur a cinq ans ou plus, alors la probabilité de défaillance peut être modérée (sur une échelle qualitative) ou de 6 à 14 (sur une échelle quantitative).
Les sous-facteurs qui affecteraient l'impact de ce scénario de risque sont :
- Redondance
- Timing
- Nombre de clients dépendant du serveur
- Valeur financière des clients utilisant le serveur
Si un autre serveur est hautement disponible grâce à une connexion tolérante aux pannes, par exemple, alors l'impact de la perte du serveur initial peut être faible (sur une échelle qualitative) ou un 2-5 (sur une échelle quantitative).
5. Déterminez la cote d'exposition de chaque risque
Vous pouvez ensuite calculer la cote d'exposition pour chaque risque en fonction de la probabilité qu'un événement menaçant se produise et entraîne un impact négatif. Tout comme pour l'analyse des risques, vous pouvez utiliser à la fois des modèles qualitatifs et quantitatifs pour calculer et communiquer l'exposition.
Les risques doivent être priorisés en fonction de leur valeur d'exposition, parmi d'autres facteurs.
6. Déterminez le type de réponse au risque
Ensuite, déterminez quel type de réponse au risque serait le mieux pour gérer chaque risque identifié.
Les différents types de réponse aux risques sont : accepter, atténuer, transférer, résoudre et éviter.
- Les risques qui se situent dans les niveaux de tolérance aux risques de votre organisation peuvent être acceptés. La seule réponse au risque nécessaire est le suivi.
- Les risques qui peuvent être réduits à un niveau acceptable de manière rentable doivent être atténués ou transférés. Vous pouvez répondre à ces risques en mettant en œuvre des contrôles qui aident à prévenir ou limiter la perte si un événement menaçant se produit.
- Les risques qui ne peuvent pas être réduits à un niveau acceptable de manière rentable doivent être évités.
- Si une solution ou une réparation est mise en œuvre, un risque peut être résolu.
7. Décrivez la réponse à chaque risque
Décrivez brièvement l'action que vous prenez pour répondre à chaque risque. Un exemple du risque décrit à l'étape 2 pourrait être de mettre à niveau le protocole d'authentification de l'[application web].
8. Calculez le coût de la réponse au risque
Calculez le coût estimé de l'application de la réponse au risque. Pour l'exemple ci-dessus, si votre organisation dispose déjà des outils nécessaires pour effectuer la mise à niveau, le coût serait de 0 $.
Le coût d'exposition au risque doit être comparé au coût de la réponse au risque pour déterminer s'il vaut la peine d'essayer de réduire ou de transférer le risque.
9. Évaluez et enregistrez le risque résiduel
Après avoir déterminé les réponses aux risques, envisagez d'analyser et d'enregistrer le risque qui subsiste après l'application d'une réponse. Cela est connu sous le nom de risque résiduel. Vous pouvez évaluer la probabilité et l'impact d'un risque résiduel en utilisant les mêmes méthodes que celles utilisées pour les risques inhérents afin de déterminer si une réponse supplémentaire au risque est nécessaire.
10. Désignez un responsable du risque
Attribuez une partie désignée responsable et redevable de s'assurer que le risque est maintenu conformément aux exigences organisationnelles. Cette partie peut travailler avec un gestionnaire de risques désigné responsable de la gestion et du suivi de la réponse au risque sélectionnée.
11. Ajoutez un statut
Ajoutez un statut pour suivre l'état actuel du risque et toute activité suivante. Des exemples de statuts pourraient être « ouvert », « en cours » ou « terminé ».
Qu'est-ce qu'un plan de mitigation des risques ?
Qu'est-ce qu'un plan de mitigation des risques ?
Un plan de mitigation des risques fait référence à la stratégie organisationnelle documentée pour atténuer les risques. Il met généralement en évidence et décrit tous les risques potentiels auxquels une organisation est confrontée, ainsi que différentes stratégies et pratiques que les gestionnaires de risques et autres employés doivent utiliser pour atténuer ces risques.
La clé pour créer un plan efficace est d'identifier les risques les plus susceptibles de se produire ou d'avoir le plus grand impact s'ils se produisent et de prioriser les efforts d'atténuation pour eux.
Une matrice des risques peut être utile pour identifier vos plus grandes priorités. Vous pouvez alors commencer à atténuer les risques au plus haut niveau et continuer à aborder les niveaux inférieurs au fur et à mesure que le temps et les ressources le permettent.
Exemple de registre des risques
Vous trouverez ci-dessous un exemple de registre des risques. La première ligne contient des catégories basées sur le registre des risques notionnels dans NISTIR 8286. La deuxième ligne contient une entrée pour le risque décrit dans la section ci-dessus.
Modèle de registre des risques
Nous avons créé un modèle pour fournir des conseils et des informations utiles pour compléter et utiliser un registre des risques et l'intégrer à votre stratégie globale de gestion des risques.
Logiciel de registre des risques
Le logiciel de registre des risques peut faciliter la création d'un registre des risques et sa mise à jour avec de nouveaux risques et informations.
Avec Secureframe par exemple, vous pouvez commencer à construire votre registre des risques avec des risques modélisés à partir de notre bibliothèque de risques ou avec des risques personnalisés. Une fois que vous importez une description de risque en utilisant un risque pré-construit de la bibliothèque de risques ou que vous remplissez une description de risque et son propriétaire, vous pouvez utiliser Comply AI for Risk pour remplir automatiquement la plupart des champs dans le flux de travail d'évaluation des risques, y compris la note de risque, la justification, le traitement, et plus encore. À la fin du flux de travail, vous pouvez revoir et valider que le résultat est précis et compléter l'évaluation des risques.
En plus de vous faire gagner un temps et des ressources précieuses, cette fonctionnalité garantit que chaque risque est signalé de manière cohérente et répétable et que vous n'aurez pas besoin de passer du temps à réfléchir aux catégories ou à effectuer des calculs de formules de risques.
Le registre des risques Secureframe est facile à mettre à jour et à consulter d'un coup d'œil, ce qui permet à votre organisation de rester consciente des changements de risques, de revoir les résultats des risques et des performances, et d'améliorer continuellement ses processus de gestion des risques pour aider l'organisation à atteindre ses objectifs. En savoir plus sur le nouvel outil de gestion des risques de Secureframe.