La clause 8.3 de la norme ISO 27001:2022 est cruciale parce qu’elle aborde la manière dont les organisations doivent réagir aux risques à la sécurité de l’information identifiés lors de l’évaluation des risques (lors de la clause 8.2).
La clause souligne l’importance de traiter ces risques de manière efficace et cohérente avec la méthode de traitement des risques définie dans la clause 6.1.3.
Pour rafraîchir notre mémoire, à la clause 6.1.3 nous avons défini notre méthode d’analyse de risque et la manière qu’on souhaite traiter de ces risques. Donc le comment on va faire a été documenté.
La clause 8.2 nous a demandé de réaliser l’analyse de risque. On connaît maintenant nos risques.
La clause 8.3 nous demande de traiter les risques!
Contexte de la clause 8.3 — La continuité
La clause 8.3 s’inscrit dans la continuité des clauses 6.1 et de la clause 8.2 la norme ISO27001:2022.
Clause 6.1 — documentation de la méthode
Selon la clause 6.1.3, chaque organisation doit établir et maintenir des critères pour évaluer les risques à la sécurité de l’information.
Ces critères doivent inclure l’identification des risques, l’analyse et l’évaluation des risques.
Clause 8.2 — faire l’identification des risques
La clause 8.2 nécessite une évaluation des risques à la sécurité de l’information. Cette évaluation doit identifier les risques, les analyser et les évaluer en fonction des critères établis en 6.2. Une fois ces risques identifiés, la clause 8.3 prend le relais pour leur traitement.
Clause 8.3 — Stratégie de traitement du risque
Une fois les risques identifiés, la clause 8.3 demande que l’organisation réagisse à ces risques de la manière convenue au préalable. Cela signifie que les actions à entreprendre en réponse aux risques doivent être planifiées et convenues lors de l’établissement de la méthode de traitement des risques.
Ces actions peuvent inclure l’acceptation, l’évitement, le transfert ou la réduction des risques.
Acceptation: Accepter le risque signifie reconnaître qu’un risque spécifique existe, mais décider de ne pas prendre de mesures correctives immédiates pour l’atténuer ou l’éliminer. Cela ne signifie pas ignorer le risque, mais plutôt prendre une décision éclairée que les coûts, efforts, ou impacts sur l’entreprise de l’atténuation du risque soient plus grands que les conséquences du risque lui-même.
Transfert: Transférer le risque implique de déplacer la responsabilité et les conséquences potentielles d’un risque à une tierce partie. Cette approche est souvent utilisée pour les risques qui ne peuvent pas être entièrement éliminés ou atténués de manière rentable par l’organisation elle-même. Exemple par l’utilisation d’une assurance, de contrats avec un tier ou encore de sous-traiter de portion de notre organisation.
Réduction: La réduction du risque désigne les actions ou les mesures entreprises pour diminuer la probabilité d’occurrence ou l’impact d’un événement, ou les deux!
Évitement ou éliminer: L’évitement du risque, signifie choisir de ne pas s’engager dans l’activité ou le processus qui génère le risque ou de modifier de manière significative les conditions pour que le risque n’existe plus.
La notion de risque résiduel
Malgré que nous ayons traité nos risques et que nous ayons mis en place des mesures, la notion de “risque résiduel” est centrale dans la gestion des risques puisqu’il est impossible d’éliminer tous les risques.
Le risque résiduel désigne le niveau de risque qui persiste après que toutes les mesures de gestion des risques aient été mises en œuvre. Autrement dit, il s’agit du risque qui demeure une fois que toutes les actions planifiées pour atténuer ou éliminer les risques initiaux ont été appliquées.
Crée un registre des risques
Concrètement, l’organisation doit avoir un registre de ses risques.
C’est un document qui décrit la manière dont l’organisation compte gérer et traiter ses risques identifiés lors de la clause 8.2 et le suivi du traitement demandé par la clause 8.3.
Le registre devrait comprendre les éléments suivants:
- La liste des risques identifiés, avec la probabilité et impact;
- Une description des stratégies de traitement des risques qui seront utilisées pour faire face à chacun des risques (accepter, diminuer, transférer ou éliminer);
- Une liste des contrôles qui seront mis en œuvre suite au traitement du risque, un lien est habituellement fait avec le fichier “Déclaration d’applicabilité” qui reprend l’ensemble des contrôles de sécurité de l’information de l’annexe A de la norme;
- Les dates de mise en œuvre des contrôles;
- Quel est le plan de suivi et d’examen de l’efficacité du plan de traitement des risques;
- Le niveau de risques résiduels;
- Le propriétaire du risque;
- L’acceptation formelle des risques résiduels.
Conservation des Informations
Un des aspects notés de la clause 8.3 est la nécessité de conserver des informations documentées sur le traitement des risques.
Cela signifie que l’organisation doit garder la trace des décisions prises concernant le traitement des risques ainsi que des raisons sous-jacentes à ces décisions.
Cette documentation aide à assurer la transparence du processus et facilite les révisions futures de la stratégie de gestion des risques.
Critères de succès
Pour satisfaire aux exigences du point 8.3, vous devez être en mesure de prouver que le plan de traitement des risques décrit dans la clause 6.1 est mis en œuvre.
Et afin de déterminer si nous avons bien répondu à la clause 8.3 de la norme ISO27001:2022, voici quelques questions qu’un auditeur peut vous poser:
- Quelles mesures de traitement des risques ont été mises en place ?
- Quels contrôles l’organisation a-t-elle mis en œuvre en réponse aux risques identifiés ?
- Comment ces contrôles sont-ils surveillés pour assurer leur efficacité continue ?
- Les actions suivant le traitement des risques ont-elles été mises en œuvre ?
- Les actions suivant le traitement des risques est-il revu et mis à jour régulièrement ?
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.
